CISSP® (Certified Information Systems Security …jasa.jp/past/seminar/edu-seminar/pdf/6_CISSP.pdf他のCISSP認定保持者or 上級管理職からの推薦継続教育（CPE: Continuing

国内外における情報セキュリティ人材の必要性と

CISSP® (Certified Information Systems Security Professional)

(ISC)2 Japanwww.isc2.org/japan

Professionalizing the Information Security Workforce© Copyright 1989-2006 (ISC)2, Inc. All Rights Reserved.

© Copyright 1989-2007 (ISC)2, Inc. All Rights Reserved. Professionalizing the Information Security Workforce

2

講師プロフィール

与儀大輔横河電機株式会社 CMK本部経営企画室セキュリティコンサルタント

E-Mail：[email protected]

＜主なセキュリティ関連資格＞・CISSP・ISMS審査員補

＜主な活動＞NPO 日本ネットワークセキュリティ協会教育部会メンバーNPO （ISC)2 Japan セールス＆マーケティング東京大学情報セキュリティコミュニティ会員


3

Agenda

(ISC)²® について

国内外の情報セキュリティ人材育成動向

プロフェッショナルとは？

CISSP®のご紹介

ケーススタディ

取得のメリット

CISSP取得のために

CISSP CBK®10ドメインのご紹介


4

(ISC)²について

International Information Systems Security Certification Consortium

1989年設立

全世界の情報セキュリティプロフェッショナルを、教育・認定することに特化する非

営利団体（NPO）

情報セキュリティの共通言語を策定共通知識分野CBK®

世界124カ国に、47,000人以上の会員（2007年1月現在）


5

情報セキュリティプロフェッショナル人口の動態

情報セキュリティプロフェッショナル人口の地域別予測2004-2009

0

200000

400000

600000

800000

1000000

2004 2005 2006 2007 2008 2009年

プロフェッショナルの人数

北・中・南米

EMEAAP

※EMEA：ヨーロッパ、中東、アフリカ

※AP:アジア太平洋諸国

IT業務従事者人口の成長率は、４．８％情報セキュリティプロフェショナル人口の成長率は、８．９％人口増加の埋もれない為には資格取得も必要！

IT業務従事者人口の成長率は、４．８％情報セキュリティプロフェショナル人口の成長率は、８．９％人口増加の埋もれない為には資格取得も必要！

Source: IDC’s Information Security Workforce Study, 2005


6

資格・免許があるから信頼できる

資格・免許を持っていないとできないこと

車の運転、医者、弁護士

⇒ クオリティは免許の有無では測れない

資格・免許がなくてもできること

たとえば、ソムリエ

ソムリエバッジはどんな印象を与えますか？

筆記、テイスティングの難関試験に突破したワインのプロ

料理にぴったりのワインを選んでくれるに違いない

ソムリエが選んだワインはおいしい

ワインに関するアドバイス

ワイン愛好家 ⇒ うんちく

ソムリエ資格保持者 ⇒ プロフェッショナルな助言

⇒ 資格がなくてもできることだからこそ、資格が信頼のベースになる

情報セキュリティの世界ではどうでしょうか

情報セキュリティの世界ではどうでしょうか


7

情報セキュリティ資格国際比較

情報セキュリティ従事者の所得と昇進についての調査（The SANS

2005 Information Security Salary & Career Advancement Survey）に

よると、回答者4,278名のうち、1,172名が(ISC)2の資格を保有

(ISC)2認定資格が、保有率No.1


8

海外の主要職種におけるCISSP需要

CompTIA発表の資料によるとITセキュリティに従事する人材には

ほぼ全ての職域にCISSPが求められている

CompTIA発表の資料によるとITセキュリティに従事する人材には

ほぼ全ての職域にCISSPが求められている


9

Certification Magazine ‒ “2005年所得調査”

ITセキュリティ認定資格中－年収第1位

CISSP-ISSMP（ CISSPの上位資格）：$116,970

CISSP-ISSAP （ CISSPの上位資格）：$111,870

CISSP：$93,870

世界170ヶ国35,167人のITプロフェッショナルを調査

年収No.1のITセキュリティ認定資格年収No.3のIT認定資格（全８５認定資格中）

年収No.1のITセキュリティ認定資格年収No.3のIT認定資格（全８５認定資格中）

Source: http://www.certmag.com/articles/templates/cmag_feature.asp?articleid=1524&zoneid=1

http://www.certmag.com/default.asp


10

Certification Magazine ‒ “2005年所得調査”

情報セキュリティ職は、平均年収No.1！！

需要過多で人材が足りないのが現状需要過多で人材が足りないのが現状

Source: http://www.certmag.com/articles/templates/cmag_feature.asp?articleid=1524&zoneid=1


11

情報セキュリティ人材の育成・客観的評価が急務！

内閣官房情報セキュリティセンター(NISC)

「人材育成・資格制度体系化専門委員会報告書」発行

「国際的に通用する人材の育成が必要」

情報セキュリティ第１次基本計画より

企業における情報セキュリティに携わる人材の雇用の現状

ベンダ企業：「条件に見合うスキルを持った人が少ない」

ユーザ企業：「応募者のスキルを測るのが難しい」「どういう人材を募集してよいかわからない」

ことも大きな問題の一つ

IPA調査資料より

第三者から認証されたプロフェッショナルの必要性プロフェッショナルは総合的な知識も有するジェネラリスト

第三者から認証されたプロフェッショナルの必要性プロフェッショナルは総合的な知識も有するジェネラリスト


12

認定資格－プロフェッショナル度の指標

採用担当課長が認定資格を求めるのは：

55% - 従業員の能力を裏付けるため

43% - 仕事の質を裏付けるため

18% - 会社の方針

17% - 法規制 Source: IDC’s Information Security Workforce Study, 2005

客観的な認定資格を持った

情報セキュリティ人材が必要とされている


13

NISC 「人材育成・資格制度体系化専門委員会報告書」より

情報セキュリティに係る人材

情報セキュリティに関する製品・サービス・ソリューション等を提供する企業等における人材

政府機関、企業等の組織において情報セキュリティ対策に係る人材

技術系の製品等を提供する企業等における人材

管理系の製品等を提供する企業等における人材

情報セキュリティ対策を担当する者

セキュリティ専門一般セキュリティコンサルティング

セキュリティ監査CISO又はCISOを補佐するもの

技術系分野管理系分野

SV(IPA) CISM CISA SU(IPA) SU(IPA)

- CompTIA CISSP SAAJ - - CISM - CISM

CISSP CISSP

iisec iisec iisec iisec・CISO 中央大・拠点/副

中央大・COE 中央大・拠点/副 CMU CMU 工学院大

CMU 工学院大

CMU

YRP - - YRP YRP

ｿﾌﾄﾋﾟｱ・Tec ｿﾌﾄﾋﾟｱ・Tec ｿﾌﾄﾋﾟｱ・Tec

ひょうごひょうごひょうご

SANS・Tec CSPM・Tec SANS・Mgt JASA SANS・Top CSBM CSPM・Mgt

NISM CSPM・Tec

SANS・Ess SANS・Ess

訓練・実習型の教育プログラム

レベル判定型の教育プログラム

幹部、経営者

一般職員社員

情報セキュリティに係る人材に求められる能力と各種教育プログラムの体系図【平成18年11月時点】

http://www.nisc.go.jp/active/kihon/res_training.html


14

Security+

技術的

知識の深度

概念的

ISMS審査員

SEA/JＣＩＳＡ

（公認情報システム監査人）

“プロ”資格カバレージ⇒今まで空洞だった

.COMマスターセキュリティ

セキュリティアドミニストレーター

国内セキュリティ資格ポートフォリオ

管理職監査員技術者

資格対象者


15

国内セキュリティ資格ポートフォリオ

Security+

技術的

ISMS審査員

SEA/JＣＩＳＡ

（公認情報システム監査人）

CISSP

.COMマスターセキュリティ

セキュリティアドミニストレーター知

識の深度

概念的

管理職監査員技術者

資格対象者


16

プロフェッショナルとは？

プロフェッショナル

それを職業として行うさま。専門的。「―な考え方」⇔アマチュア

アマチュア

芸術・学問・スポーツなどを、職業ではなく、趣味や余技として行う人。素人。愛好家。アマ。⇔プロフェッショナル

三省堂提供「大辞林第二版」より

ProfessionalFunction: adjective1 a : of, relating to, or characteristic of a profession b : engaged in one of the learned professions c (1) : characterized by or conforming to the technical orethical standards（技術標準や倫理規範） of a profession (2) : exhibiting a courteous（礼儀正しい）, conscientious（良心的な）, and generally businesslike manner in the workplace

Function: noun: one that is professional; especially : one that engages in a pursuit or activity professionally

Merriam-Webster Online Dictionary より


17

Certified Information Systems Security Professional (CISSP)

経験豊富な情報セキュリティプロフェッショナルに最適

厳格な試験（250問4択・制限時間6時間）

CBK10ドメイン分野での4年以上の業務経験（大卒は3年以上）

(ISC)²倫理規約への同意

他のCISSP認定保持者or上級管理職からの推薦

継続教育（CPE: Continuing Professional Education)プログラムによる、認定の維持

複数の上位資格

ISSAP, ISSEP, ISSMP

日本では、CISSP-行政情報セキュリティ

2007年初旬試験開始

IT資格として世界で初めてISO/IEC 17024認証を２００４年６月に取得


18

ISO/IEC 17024認証取得

ISO-150カ国近く

ANSI ‒ 米国規格協会、ISOの米国における代表

ISO/IEC 17024

88カ国が参加

「個人認証システム」標準

(ISC)²の認定資格

CISSPは、世界で最初に、ISO/IEC17024認証を獲得した情報セキュリティ認定資格

ISO/IEC17024について、初めてANSIに認証を受けたIT関連組織

CISSPは国際標準に基づき認証されています。

http://www.iso.org/iso/en/ISOOnline.frontpage


19

CISSP認証

「情報セキュリティの国際標準の専門知識」の保有度合いを評価する

つまり、「情報セキュリティ＆CBK（Common Body of Knowledge：共通

知識分野）の理解度」

この場合の「知識」および「理解度」とは、

理論やメカニズムを理解するだけでなく、それを体系的・構造的にして

、さらに応用し、状況に応じて適切な判断をするための合理的かつ実

践的な「知識」と「理解度」である。

この「評価」によって、認証（Certified）される、情報システムセキュリティ（Information System Security）の、専門家（Professional）が、CISSP


20

CISSP – 特徴

国際的－世界に認められたCBKをベースとしている

試験－CBKの理解度を測る厳格な試験

独立性（中立性）－特定の製品やサービスに特化しない

推薦－厳格な推薦と監査プロセス

倫理－包括的な行動規範－プロフェッショナルとしての判断

実務経験－実務経験を通したCBKの実践

維持更新－認定を維持するための継続的教育・訓練

成熟－能力を測る尺度として、広く受け入れられている


21

CISSP認定保持者＝現在進行形のプロフェッショナル

Continuing Professional Education （継続プロフェッショナル教育）

プロフェッショナルとしての能力を維持・向上するための、継続的教育が

求められる

CISSPは、３年間毎に120ポイントのCPEクレジット取得が必要

試験に合格したからといって、一生CISSP認定保持者を名乗れるわけ

ではない

CISSP認定保持者＝現在進行形のプロフェッショナル


22

参考：継続教育単位（CPE)対象活動

セキュリティ関連のトレーニングコース参加

セキュリティ関連展示会参加

セキュリティ団体の会合参加

セキュリティ団体の役員活動

政府・公共機関でのボランティア活動

大学院のセキュリティコース参加

セキュリティベンダーとの打合せやプレゼン参加

トレーニングコース開発

セキュリティ関連記事執筆

自己学習、オンライントレーニングコース完了

セキュリティ関連本読了

セキュリティ本のレビュー執筆


23

CISSPの根幹 CBK

CBK (Common Body of Knowledge: 共通知識分野)

情報セキュリティを包括的にカバーする共通知識＝情報セキュリティの共通言語

世界中の誰とでもコミュニケーションできる！

分野が違っても、話が通じる！

CBKは常に最新の状態

世界各国のプロフェッショナルからなる、CBK委員会

CISSPを対象とした定期的な調査

現場で求められている知識・技術をタイムリーに反映

机上の空論ではない、活きたノウハウが凝縮されている


24

CISSP CBK 10ドメイン

① Information Security Management情報セキュリティマネージメント② Enterprise Security Architectureエンタープライズセキュリティアーキテクチャ③ Access Control Systems ＆ Methodologyアクセス制御のシステムと方法論④ Applications Securityアプリケーションセキュリティ⑤ Operations Security運用セキュリティ⑥ Cryptography暗号学⑦ Telecommunications, Network ＆ Internet Security通信、ネットワーク、インターネットのセキュリティ⑧ Physical Security物理的セキュリティ⑨ Business Continuity Planning事業継続計画⑩ Law, Investigation ＆ Ethics 法、捜査、倫理


25

CISSPの人数推移

3,3706,907

15,36822,103

30,149

38,40146,500

55,000

0

10,000

20,000

30,000

40,000

50,000

60,000

2000年

2001年

2002年

2003年

2004年

2005年

2006年

2007年（予

想）


26

CISSP認定保持者数上位国

Canada

2,641Hong Kong

1,3151000+ United Kingdom

2,175United States

29,706

500+

Korea, South

1,720

Singapore

887

200+

Australia

802India

787Netherlands

630

Switzerland

336China

377

South Africa

245

Germany

440

Finland

233United Arab

Emirates

231

Taiwan

208

Belgium

201Sweden

336

France

290

Japan

706世界で47,000名以上が既に取得

Denmark

216

2007年1月22日現在


27

都道府県別CISSP認定保持者

地方別TOP31.関東地方 577名

2.近畿地方 24名

3.中部地方 9名

都道府県別TOP101.東京都 292名

2.神奈川県 149名

3.千葉県 89名

4.埼玉県 42名

5.大阪県 14名

6.兵庫県 6名

7.茨城県 4名

8.静岡県、愛知県、熊本、沖縄 3名

地方別CISSP認定保持者割合

近畿

4%

その他

2%

九州

1%中部

1%

関東92%

関東

近畿

中部

九州

その他


都道府県別CISSP認定保持者の割合

埼玉県

7%

大阪府2%

兵庫県1%

その他5%

千葉県

14%

神奈川県24%

東京都47%

東京都

神奈川県

千葉県

埼玉県

大阪府

兵庫県

その他


国内のCISSP認定保持者の割合625名のうち8割が関東に集中（2006年11月1日現在）


28

CISSPプロフィール職種分布 – グローバル

技術系21%

監査3%

その他12% コンサルティング

34%

管理職30%

監査- セキュリティ監査人

コンサルティング- セキュリティアナリスト- セキュリティコンサルタント- システムインテグレーター

管理職- CISO- CPO (Chief Privacy Officer)- CRO (Chief Risk Officer)- CSO-ディレクター、セキュリティ部門- IT部門ディレクター・マネージャー- セキュリティマネージャー-オペレーション担当副社長-ウェブセキュリティマネージャー

技術系- CTO-ネットワークアドミニストレーター-ネットワークアーキテクト- システムアドミニストレーター- システムセキュリティエンジニア- プログラマー

～32%がIT部門に所属～ 20%が情報セキュリティ関連部門

～18%が経営陣直下

～32%がIT部門に所属～ 20%が情報セキュリティ関連部門

～18%が経営陣直下

Source: (ISC)² Information Security Global Workforce Survey, 2005


29

CISSPプロフィール業種分布 – グローバル

政府関係,14%

通信, 5% 金融関係,23%

製造業, 4%

健康医療

4%

教育, 1%その他, 23% プロフェッショ

ナルサービス,28%

Source: (ISC)² Information Security Global Workforce Survey, 2005

IT関連業種だけでなく、幅広い業種にCISSPが必要とされている

IT関連業種だけでなく、幅広い業種にCISSPが必要とされている


30


CISSPはサイバーセキュリティにおける資格として米国政府のゴールドスタンダードとして認定されている

NSA（国家安全保障局）： CISSP取得義務付け、上位資格（ISSEP)の提供DoD(国防総省)：取得必須資格要件を満たしているのはCISSPのみ「米国従軍軍人省（米国政府で2番目の規模の省庁）」「米国DANTES (U.S. DefenseActivity for Non Traditional Education Support)」： CISSP取得費用の負担

米国政府では

英国スコットランドヤードのコンピュータ犯罪局やインターポール（国際警察機構）においても、情報テクノロジー犯罪の専門家のCISSP取得が進んでいる

英国政府のInfosec Training Paths and Competencies (ITPC)（英国政府機関、認定契約機関及び関連組織における機密情報を管理する情報セキュリティ専門家のために設けられたトレーニングプログラム・資格認定の仕組み）で、CISSP認定保持者を自動的に資格認定することを決定

ヨーロッパでは


31


シスコシステムズ社の取り組み800人以上のシステムエンジニアとプリセールスエンジニアを教育700人以上のCISSP認定保持者（さらに増え続けている）CISSP CBKのベストプラクティスを活用することにより教育顧客と接するエンジニアは、ITの観点からのみならず、エンタープライズセキュリティの観点からセキュリティ問題を解決できようになった

業界が認めたCBK10ドメインの理解によって、技術を適切な文脈で提示できるようになった

資格獲得従業員の情報セキュリティ能力を確認することができた

認定保持者の保有情報セキュリティが事業の必要不可欠な要素となっている既存・潜在顧客に、能力を証明することができている。つまり、安全な製品およびサービスであるという印象を与えることができている

国際企業では


32


金融業界：みずほ銀行では、偽造・盗難カードやインターネットバンキングの不正取引等の犯罪への対策として、専門業者に頼るだけでなく、銀行の実態に精通している行員に専門知識を持たせる必要があるとの考えから、CISSP認定保持者を育成

日本企業では

2006年7月20日(木) 朝日新聞より


33


通信業界：NTTコミュニケーションズ社では全社人材育成施策の一環としてCISSP取得を推進。約250名の取得者を保有。これを活かして顧客への一歩上のランクのサービス提供を目指す。2006年度も90名を育成予定

メーカー：HP社では、バランスの取れた高度なセキュリティ知識を有する人材育成の重要性を経営層も認識し、CISSPをセキュリティの最上位資格として位置づけ取得を奨励している。HP全体では既に250名以上を育成し日本においては2006年中に50名育成を予定富士通グループでは海外グループ企業との連携をスムーズにする意味での CISSP取得を推奨マイクロソフト社においては、セキュリティ製品パートナーのコアコンピテンス資格として取得最低人数を義務付け

SI企業：日本ユニシス社ではセキュリティコンサルタントの質向上を目指し、社内人材育成施策として採用2006年度50名の育成を目指す。ディアイティ社ではセキュリティコンサルチーム全員がCISSP認定保持者伊藤忠テクノソリューションズ社でも同様に社内人材育成施策として採用されている

その他、金融関連企業、インフラ企業などが積極的にCISSP保持者を増やしている

日本企業では


34

CISSP認定保持者所属企業リスト

ランキンググローバル日本

1 CISCO ＮＴＴコミュニケーションズ株式会社

2 Microsoft Corporation 日本ヒューレット・パッカード株式会社

3 IBM 日本電信電話株式会社（NTT)

4 Deloitte & Touche 日本ユニシス株式会社

5 EDS 株式会社ラック

6 Symantec Corporation 株式会社CSKシステムズ（旧CSK）

7 Department of Difense 伊藤忠テクノサイエンス株式会社

8 East & Young KDDI株式会社

9 Booz Allen & Hamilton NRIセキュアテクノロジー株式会社

10 Hewlett Packard / Compaq 富士通株式会社

11 Northrop Grumman 株式会社シマンテック

12 General Dynamics 日本ユニシス・ソリューション株式会社

13 Citygroup 株式会社NTTデータ

14 Department of Navy 横河電機株式会社

15 SAIC ドコモシステムズ株式会社

16 Bearing Point マイクロソフト株式会社

17 Lockheed Martin 企業通信システムエンジニアリング株式会社（BCSE)

18 Computer Associates 日立電子サービス株式会社

19 Pricewataerhouse Coopers 日本IBMシステムエンジニアリング株式会社

20 NTT Communications NTTコムウェア株式会社


35

CISSP受験準備から認定・維持までの流れ

■ 概要：日本人講師による5日間の座学形式 CBK１０ドメインのレビュー原則毎月1回東京都内で開催

■ 費用：消費税込２１万円～

オフィシャルセミナーの受講

認定条件■上記試験への合格（1000点満点 700点以上で合格）■CBK（Common Body of Knowledge）の10分野のうち、少なくとも1つの情報セキュリティ分野における最低4年間の「プロフェッショナルとしての」経験（大卒者は3年間で可）■上記経験が事実であることの証明及び倫理規約に合意すること■正しく記述された推薦状を提出すること■無作為に行われる業務経験に関する監査に合格すること（約10％）■犯罪に関連した履歴に関する4つの質問事項に正しく答えること

CISSP認定の維持■年間認定維持料の支払い■継続教育単位CPEポイントの取得（3年間で120単位以上）

■ 問題数：２５０問／４択（試験問題は日本語・英語の併記式）■ 総時間：６時間■ 受験料：６８，２５０円

CISSP試験


36

(ISC)2公式CISSP10ドメインセミナーについて

(ISC)2 では、CISSP取得を支援する為に、CBK10ドメインの全てをレビューする

場として「(ISC)2公式CISSP10ドメインレビューセミナー」を開催しています

５日間で構成されたセミナーは、各ドメインに関わる技術や概念、ベストプラクティスを詳細に解説し、またドメイン間の関連性などについても理解を深めることができる内容となっています

さらに、CISSP10ドメインの概念を現場の仕事にどのように活用できるのか、現場の第一線で活躍する講師陣がレクチャーします

午前9時30分から午後9時まで講義および復習、問題演習。(ISC)2認定日本人講師による質の高い講義を実施しています

セミナー終了翌々日（日曜日）にCISSP認定試験の受験が可能です（受験料は別途必要です）

セミナー費用

５日間コース：５６１，７５０円（消費税込）公式ガイドブック（NTT出版）を５日間コース参加者には無料配布

モジュール別コース：２１万円～（消費税込）


37

公式セミナー：現場の第一線で活躍する講師陣

横河電機㈱コーポレートマーケティング本部経営企画室セキュリティプロジェクト長

武智洋

㈱dit セキュリティガバナンスビジネス部部長

河野省二

NTTコミュニケーションズ㈱プラットフォームサービス部主査

東京大学国際・産学共同研究センタ客員研究員

大河内智秀

NECラーニング㈱ IT・NW研修本部主任

小林浩史

日本ユニシス㈱セキュリティBD ビジネス推進グループ上級セキュリティスペシャリスト

長谷川長一

㈱情報数理研究所専務取締役

東海大学総合情報センター講師

伏見諭

その他、企業の第一線で活躍する充実した講師陣

http://www.yokogawa.co.jp/jp/

http://www.dit.co.jp/index.html

http://www.ntt.com/


38

5日間コースの他に、ご希望のドメインのみでの受講も可能です

CBK１０ドメインのうち関連性のあるドメインをまとめた、「モジュールA～モジュールD」と、CISSPの概念と演習がセットになった「モジュールE」の5つのモジュールから構成されています

モジュールＡ

◇情報セキュリティマネージメント◇エンタープライズセキュリティ

アーキテクチャ

モジュールB

◇法・捜査・倫理◇事業継続計画◇物理セキュリティ ◇暗号学

◇通信・ネットワーク・インターネットのセキュリティ

モジュールC

モジュールD

◇アクセス制御のシステムと方法論◇アプリケーションセキュリティ

◇運用セキュリティ

モジュールE(※)

◇イントロダクション◇模擬試験◇質疑応答

CBK 10ドメイン

(ISC)2公式CISSP10ドメインセミナー：モジュール別コース

※モジュール別コースを受講される場合、初回受講時にはモジュールA～Dから最低1コース＋モジュールEの受講が必要です


39

セミナースケジュール(参考）

１日目

モジュールA

２日目

モジュールB

３日目

モジュールC

４日目

モジュールD

５日目

モジュールE

9:30-12:00

(休憩有り）

情報ｾｷｭﾘﾃｨ

ﾏﾈｰｼﾞﾒﾝﾄ

法・捜査・倫

理暗号学

ｱｸｾｽ制御の

ｼｽﾃﾑと方法

論

ｲﾝﾄﾛﾀﾞｸｼｮﾝ

CISSP®概論

13:00-21：

00

（休憩有り

）

ｴﾝﾀｰﾌﾟﾗｲｽﾞ

ｾｷｭﾘﾃｨｱｰｷ

ﾃｸﾁｬ

事業継続計

画

物理ｾｷｭﾘﾃｨ

通信、ﾈｯﾄﾜ

ｰｸ、ｲﾝﾀｰﾈｯ

ﾄのｾｷｭﾘﾃｨ

ｱﾌﾟﾘｹｰｼｮﾝｾ

ｷｭﾘﾃｨ

運用ｾｷｭﾘﾃｨ

模擬試験

&解答・解説


40

公式セミナー受講のメリット

CISSP受験の準備ができる

「受験準備としてとても役に立った」

得意分野以外のセキュリティ関連技術・概念を体系的に理解できる

「日々の業務遂行にあたって、｢プロ｣としての自覚と自信が付いた」

「ベンダやコンサルタントの発言・提案に対し、自信を持って正確な判断ができるようになった」

「製品・サービスの販売に際し、営業トークに複数次元に渡る幅が出来た」

受講者間のネットワーク構築

参加者全員がセキュリティ関連業務に従事しているので、将来的にビジネスに役立つようなコミュニティ作りができることも大きなメリット

※受講者アンケートより抜粋して作成


41

2007年 CISSP試験および公式セミナースケジュール


42

CISSPに認定されると・・・

CISSP認定証

CISSP ラペルピン認定証と一緒に送付される無料オーダー券を使用し米国(ISC)2ストアから取得可能但し、送料は別途必要

CISSP® IDカード

• 各種業界イベント（RSAカンファレンスなど）への割引参加• CISSP専用コミュニティへの参加• CISSPフォーラムへの無料参加（CISSPとの友好促進、情報交換、また業界著名人のスピーチ聴講など）• (ISC)2サイトでの各種情報発信（求人情報含む）


43

CISSP認定維持条件

継続教育単位(CPE: Continued Professional

Education)クレジットの取得

３年間で1２０ポイント以上

無作為に監査が行われ、その際は提出単位の正当性を示

す必要あり

(ISC)2英語版にログインし、個人で登録

年間認定維持料=¥12,000/年間（消費税込）の支払い

(ISC)2倫理規約に従い行動する

＊準会員は、5,000円/年間（税込）の年間認定維持料の

支払いのみで認定維持可能


44

継続教育単位（CPE)について

CPEクレジットには下記の2種類がある

「A」クレジット「A」クレジットとは、CBK10ドメインに直接関連するものとして(ISC)2が認めるCPEクレジット（例：Trusted CPE プロバイダー・トレーニングコースへの参加など）。120ポイントのうち、少なくとも80ポイント以上の「A」クレジットが必要

「B」クレジット「B」クレジットとは、CBK10ドメインに直接関連しない(ISC)2が認めるCPEクレジット（例：(ISC)2サーベイへの協力など）。120ポイントのうち、40ポイントを上限として取得が可能

Trusted CPE

無作為の監査の非対象、かつ各プロバイダーがCPE登録を代行する

随時増えていくので、対象プロバイダーについては(ISC)2ジャパンのホームページで確認


45

CISSPの声－エンジニア－

CBKの学習を通して

自分の得意領域だけでなく、幅広い情報セキュリティ知識を系統立てて理解できた

お客様のニーズをより早く正確に把握できるようになり、仕事の質と効率が向上した


46

CISSPの声－営業－

CISSPの取得を通して

情報セキュリティを考慮した的確なソリューションを考えることができるようになった

技術部門のお客様にも自身を持って提案できるようになった

営業マンからコンサルタントへスキルアップができた


47

CISSPの声－管理職－

CBKを学び、CISSPを取得して

情報セキュリティを俯瞰的に考えられるようになり、新規事業・サービスに、体系

的に情報セキュリティのコンセプトを盛り込むことができるようになった

最新知識の習得とその水平展開により、組織の企画・開発能力の向上にも役

立っている


48

CISSP認証の利点

高度な専門知識と豊富な経験を実証できる。

キャリアを差別化できる。専門家同士のネットワークを利用できる。

情報セキュリティ分野での信頼性が得られる。

セキュリティ専門家としての信頼性が高まる。現在、欧米の多くの組織は、情報システムセキュリティの求人で「CISSP認定」の

取得を条件としている。

組織にとっての利点

情報システムセキュリティを幅広く理解することで、問題解決の方向性を従業員に示すことができる。

業界および各分野の専門家で構成されたグローバルネットワークにアクセスできる。

従業員が情報セキュリティ専門家として認定されることで、組織全体における情報セキュリティの信頼性が高まる。


49

まとめ

組織のセキュリティ認証はISMS製品のセキュリティ認証はISO/IEC15408個人のセキュリティ認証はCISSP

日本が抱える情報セキュリティの人材不足

プロフェッショナルとしての能力を備えた人材の必要性

プロフェッショナルかつ、国際的に通用する人材の必要性

今、企業に求められ、グローバルに通用するプロフェッショナル人材育成への解：

世界的に実績を誇る(ISC)2の

情報セキュリティプロフェッショナル資格CISSP®


50

お問い合わせ、お申し込みは

(ISC)2 Japan （アイエスシー・スクエアジャパン）

ホームページ: www.isc2.org/japan

お問い合わせ用メールアドレス： [email protected]

“次はCISSP!”


51

パート２

CISSP®CBK®10ドメイン概要


52

■ 情報セキュリティマネジメント

このドメインでは、機密性、完全性、可用性を軸にしたセキュリティマネジメントを行うために必要なポリシー、スタ

ンダード、プロシージャ、ガイドラインの策定、文書化、実施方法について説明すると共に、そのマネジメントを有

効に実施するため、情報の分類、リスクの特定、リスク評価、リスク分析（定性的・定量的）等の手段を用いてセ

キュリティの脅威を特定し、資産を分類し、システムの脆弱性を評価する方法について説明します。同時にポリシ

ーを含めたマネジメントを組織内に定着される手法についても紹介します。

● このドメインでCISSPに求められる能力：

１．組織の情報資産を洗い出し、それらを保護する上で必要となる計画を立て、組織を構成し、経営幹部や情報システムセキュリティ専門家、各オーナ、管理者、ユーザ、IT責任者、情報システム監査員等の役割を明確にできること。

２．セキュリティマネジメントに適用されるポリシー、スタンダード、ガイドライン、およびプロシージャの違いを定義できること。

３．セキュリティ意識の重要性を明示し、従業員が情報セキュリティの必要性を認識できるように取り組めること。

４．情報資産に対するリスクを特定し、それらに優先順位を付け、軽減を図るためのリスクマネジメント手法と手段の重要性を説明できること。


53

参考問題

リスク分析のレビューの責任を持つ管理者が、特定されたリスクについて対応策を

とらないことが許されるのは、どのような場合か？

A)リスクを生じさせる状況の責任が、部門外にあるとき。

B)対応策のコストが、リスクが現実化した際の潜在コストを上回るとき。

C)リスク軽減手段が事業の生産性に影響を及ぼすとき。

D)そのような場合はない。特定したリスクを軽減または排除するために

常に対応策をとる必要がある。

答え： B

解説：対応策は、常に費用対効果をリスクとの背中合わせの中で判断した上でとらな

いといけません。


54

■ エンタープライズセキュリティアーキテクチャ

このドメインでは、企業組織におけるネットワークインフラを設計し、モニターし、セキュリティを確保するための

概念、原則、構造、規格･標準について説明します。インフラと呼ばれるものには次のものが含まれます：

ハードウェア、ソフトウェア、オペレーティングシステムとそれに関わる全ての機能、アプリケー

ション、ユーティリティ、ネットワーク環境、セキュリティ意識の向上とトレーニング、ポリシー・プロシージャ・

ベースライン、および標準・規格に基づく情報システムセキュリティ。


１．アーキテクチャおよび設計に関連するセキュリティの問題点と管理方法を特定できること。

２．コンピュータとネットワークの一般的な構成、企業組織におけるアーキテクチャ、設計の原則につ

いて説明できること。

３．様々なセキュリティモデルを理解し、定義できること。これには各種、機密性、完全性、可用性モ

デルの機能理解も含まれます。

４．歴史的及び現存する（コモンクライテリア、ISO15048を含む)セキュリティ標準・規格、の内容理解

と適用について説明できること。


55

参考問題

Bibaの呼び出し属性は、以下のどれを防止するためのものか？

A)サブジェクトが、機密性の低いオブジェクトのサービスを要求する

B)管理者が、権限のあるユーザーに高いレベルのクリアランスを与える

C)下位のプロセスが、上位のプロセスを介して高いアクセス権を取得する

D)リソースが利用可能になるまでプロセスが保留される

答え： C

解説：呼び出し属性は、そのサブジェクトが自分より完全性が高いサブジェクトにメッセー

ジを送信できないことを示しています。サブジェクトは、自分と同等又は下位のユーティ

リティやツールだけを呼び出すことができます。


56

■ アクセス制御のシステムと方法論

このドメインでは、組織の情報へのアクセスを制御するさまざまな情報セキュリティシステムについて説明します。具体的には、アクセス制御の原則・基本概念や、脅威の特定、アクセス制御の種類及び分類、アクセス制御技術とモデル、監視システム、監査方法等が含まれます。


１．強制的・任意アクセス制御を軸としたアクセス制御の概念と方法について説明できること。

２．アクセス制御に必要なツールと技術を明確にできること。そして、それらの制御が何に対して有効なのかを理解していること。

３．情報システムの動作、使用状況、内容を分析するためのテスト方法及び監査機能について説明できること。


57

参考問題

生体認証システムを選択する際の重要な要素として当てはまらないものは

次のうちどれか？

A)ユーザーの許容度

B)正確性

C)生産性

D)処理速度

答え： C

解説：生体認証装置の重要な要素は、正確性、処理速度、ユーザーの許容

度です。


58

■ アプリケーションセキュリティ

このドメインでは、ソフトウェアアプリケーションに適用される重要なセキュリティ概念を扱います。またアプリケーションレベルの脅威についても特定し解説をします。そしてソフトウェアの設計と開発に必要な環境の概要を示すと共に、情報システムセキュリティでソフトウェアが果たす重要な役割について説明します。ここでいうソフトウェアとは、オペレーティングシステムソフトウェアとアプリケーションソフトウェアを含むものです。


１．ライフサイクル管理プロセスを通じて、アプリケーションをセキュアにするための原則を説明できること。

２．アプリケーション開発プロセス管理、更には変更管理、データウェアハウジング、データマイニング、ナレッジベースシステム、プログラムインタフェース、ソフトウェアの可用性・完全性・機密性を実現するための概念について説明できること。

３．アプリケーションソフトウェア設計のエンジニアリング方針を定義できること。


59

■ アプリケーションセキュリティ（続き）

４．さまざまな種類の悪質なコードを把握し、それらの悪質なコードがコンピューティング環境に入り込む過程、および悪質なコード攻撃を阻止、検出、修正するための保護手段について説明できること。

５．開発されたソフトウェアの評価、認証、認定について明確に意義と具体的な手法を説明できること。

プログラマーのようなアプリケーションソフトウェア開発コード等の知識は必要ありませんが、CISSP®はソフトウェア開発時のデザインや開発における基礎的な手順や概念、およびさまざまなアプリケーション開発プロセスの利点・欠点を理解しておかなければなりません。これは、CISSP®がソフトウェア開発プロセスを管理し、セキュリティ用件が正しく含まれているかどうかを確認するのに必須の知識となります。


60

参考問題

XYZ社は、従業員が出張報告書を電子的に作成できる出張管理するソフトウェアを独自

に開発することにした。頻繁に出張する従業員にとって重要な点は、設計及び開発にアド

バイスできることである。このシナリオに基づき、このプロジェクトに適しているソフト開発モ

デルは次のうちどれか？

A)アドホックモデル

B)プロトタイプモデル

C)探索的モデル

D)クリーンルーム

答え： B

解説：アドホックモデルでは従業員の意見を十分に取り入れられない。プロトタイプモデル

の場合、最初に従業員がチェックし、そのあと最終的なソフトを開発することができます。

探索的モデルは、初期段階ではすべての要件を特定できないため、あとから拡張する場

合に使用します。クリーンルーム手法は、コードを最初から正しく記述することに主眼を置

いており、必ずしも外部からの入力を伴いません。


61

■ 運用セキュリティ

運用セキュリティでは、ハードウェアや記録媒体、また、これらのリソースにアクセス権を持つオペレーターや管理者等を管理する方法について触れていきます。これは、ネットワークやデータ処理環境に接続されたコンピュータや記憶媒体上の情報資産を保護するためのものです。運用上の違反行為の特定、検出方法、対処策の説明をし、運用システムの種類と必要性、またデータセンター、サーバールーム、コンピュータルームの必要性、及びアクセス権の管理に焦点をあてて説明します。


１．受動的および能動的な情報セキュリティの制御を定義できること。それが何に対する制御を行なおうとしているのかについても理解していること。

２．ハードウェア、記録媒体、それらの運用者のセキュリティ管理手法について具体的に説明できること。


62

参考問題

ソフトウェアまたはハードウェアの提供についてベンダーと契約を交わす際

、注意すべきことは何か？

A)すべての変更が最新の状態で維持されることを確認する

B)すべての変更が変更管理プロセスを経て行われることを確認する

C)社内の技術スタッフがシステムに関する知識を習得できるようにする

D)システム上のあらゆる活動を監視できるようにする

答え： B

解説：従業員以外（ベンダー）の人員が保守作業を行う場合、知識のある従

業員、または作業の影響をよく理解した信用できる関係者が監督します。


63

■ 暗号学

このドメインでは、完全性・機密性・信頼性を確保するための暗号化の原則、手段及び方式について説明します。具体的には、暗号技術の歴史から、さまざまな暗号方式・アルゴリズムの原則・特徴、公開鍵・共通鍵のアルゴリズム、PKI、システム上の暗号化アーキテクチャ、暗号への脅威等が含まれます。


１．暗号学の基本概念を定義できること。

２．公開鍵と共通鍵を適用、及び使用する際のアルゴリズム及びそれぞれの利点・欠点を説明できること。

３．暗号方式・アルゴリズムのタイプ、鍵の配布と管理、暗号解読・攻撃方法を識別でき、それぞれにおける強弱点を認識できること。

４．デジタル署名の適用方法、作成及び使用について定義できること。


64

参考問題

デジタル署名で対応できないのは、次のうちどれか？

A)メッセージの無制限の変更

B)署名者の認証

C)第三者による送信者の検証

D)文書の機密性

答え： D

解説：デジタル署名は、権限のないデータの変更を検出したり、文書の署名

者や作成者の本人性確認をしたりする時などに使用されます。さらに、受信

したメッセージにデジタル署名があれば、その署名が、間違いなく署名者本

人によって生成されたものであることを第三者に証明することができます。


65

■ 通信、ネットワーク、インターネットのセキュリティ

このドメインでは、ネットワーク構造や伝送（トランスミッション）方式、伝送（トランスポート）形式、可用性・完全性・機密性を提供するために使用されるセキュリティ手段、専用通信網・公衆通信網・メディア上の通信の認証技術、ネットワーク上の脅威およびその防護策について説明します。


１．ローカルエリア、ワイドエリア、リモートアクセス（ワイヤレス含む）、またインターネット、イントラネット、エクストラネット上での情報伝送に関連する技術や概念を理解とそれぞれに対するセキュリティの脅威及び要素を説明できること。

２．ネットワーク通信用プロトコル及びネットワークセキュリティ用プロトコールの理解と脅威、各種ネットワークにおけるセキュリティ対策（ファイアウォールやその他の技術を含む）を説明できること。


66

参考問題

組織がバッファーオーバーフローを防止する対策として適切でないもので

はどれか？

A)ソフトウェアを正しくコーディングし、テストする

B)メモリーの割当を拡張する

C)すべてのユーザー入力を検証する

D)ほかのプログラムからの入力を制御する

答え： B

解説：バッファーオーバーフロー攻撃の対抗策として最も効果的なのは、ソ

フトウェアを正しくコーディングしてテストし、スタックが破壊されないようにす

ることです。また、ユーザー及びほかのプログラムからの入力をすべてチェ

ックし、割当てられている記憶領域に収まる事を確認する必要があります。


67

■ 物理セキュリティ

このドメインでは、外部周辺エリアから内部のデータセンターやサーバールームを含むオフィスエリアにおけるすべての情報資産やその施設全体の物理的な保護技術を階層化モデル、環境設計、施設の場所、施設建設の影響、インフラサポート設備といったような観点から説明します。


１．企業の重要な情報資産を物理的に保護する上で、知っておくべき脅威、脆弱性、およびその対策（阻止、遅延、検出、判断、対処という５つの観点からの対策）について説明できること。

２．物理的なセキュリティに関して、施設、データ、媒体、機器、サポートシステム、およびオフィス備品に対するリスクを特定でき、リスク抑止対策、損害軽減策等について理解していること。


68

参考問題

最善の物理セキュリティ対策を実施しようとする時、最も重要な要素は何

か？

A)初期の財務費用

B)導入費用

C)保守費用

D)人命の安全への配慮

答え： D

解説：その他のセキュリティ問題や財務上の問題より、人命の安全が常に

優先されます。


69

■ 事業継続計画

このドメインでは、正常な事業運営機能が停止した場合の業務の維持と復旧について説明します。重要な事業プロセスを保護するため、実行すべき行動を予め計画し、その内容をテストし、維持更新していくことが求められます。


１．事業継続計画（BCP）の作成、導入、テスト、更新の見地から、最重要（クリティカル）な事業の運営を維持するために必要な具体的措置を計画する手法について理解していること。

２．ＢＣＰの目的、必要性について明確に理解しており、災害復旧計画とＢＣＰとの違いや事業影響度分析の重要性について説明できること。

３．様々なバックアップ手法を理解していると共に、ＢＣＰ計画のテストに関する5段階のアプローチも明確に説明することができること。


70

参考問題

クリティカルなビジネス機能の再開時に実行する作業はどれか？

A)損害の程度を判断する

B)災害を発表する

C)指令本部を設置する

D)復旧チームのメンバーに連絡する

答え： C

解説：クリティカルなビジネス機能の再開時には、経営管理、スタッフ機能、

ロジスティクス（全般の流れ）、通信・コミュニケーションをサポートするため

に指令本部を設置します。


71

■ 法、捜査、倫理

このドメインでは、法、捜査、倫理の３分野について説明します。法の分野では、組織および人員に関わる法律、コンピュータ犯罪法、規制を扱います。また捜査では、犯罪が行われたかどうかを判断するために使用する捜査手段と技術、犯罪事件の捜査、証拠の収集方法、法執行機関への連絡方法について扱います。そして倫理では、社会、従業員、CISSP®保持者に適用される情報セキュリティの倫理規約を扱います。


１．法 …コンピュータ犯罪に適用される法律と法的問題を説明できること。２．捜査…証拠の収集と保存、およびコンピュータ犯罪の調査に使用される法科学犯罪捜査（フォレンジック）手法を説明できること。

３．倫理…倫理問題およびセキュリティ専門家に適用される行動規範を理解すること。

尚、ここで取り上げる法は、米国等、どこかの国に依存する法ではありません。あくまでもグローバルで通用する、またはグローバルで共通した法（ライセンス問題、知的所有権、輸出・輸入問題等）について取り上げます。


72

参考問題

証拠が許容されるためには、次の全ての条件を満たすものでなければい

けない。例外となるのはどれか？

A)有形のものであること

B)関連性を有すること

C)重要なものであること

D)証拠能力を有すること

答え： A

解説：事件の審理の際に提示される前に、証拠は、その事実にとって適切

なものであり、関連性を有し、かつ重要なものでなければなりません。

次はＣＩＳＳＰ！

CISSP is the next!

Documents

CISSP® (Certified Information Systems Security …jasa.jp/past/seminar/edu-seminar/pdf/6_CISSP.pdf他のCISSP認定保持者or 上級管理職からの推薦 継続教育（CPE: Continuing

CISSP® (Certified Information Systems Security …jasa.jp/past/seminar/edu-seminar/pdf/6_CISSP.pdf他のCISSP認定保持者or 上級管理職からの推薦継続教育（CPE: Continuing