情報セキュリティ実務担当者向けの認定資格「SSCP」は、ネットワーク・システム開発や運用などに従事し、必ずしも情報セキュリティを専業とはしていないものの、情報セキュリティの知見を技術としての観点だけでなく、「組織」という観点から理解したり、情報セキュリティ専門家や経営陣とコミュニケーションが図れることを目指している人のための認証資格です。

SSCP取得を支援する為に、CBK7ドメインの全てをレビューする場として 「(ISC)² 公式 SSCP 7ドメインレビューセミナー」を開催しています。

3日間で構成されたセミナーは、各ドメインに関わる技術や概念、ベストプラクティスを詳細に解説し、またドメイン間の関連性などについても理解を深める内容です。

モジュール	モジュール内容（ドメイン）
モジュールA（1日目）	セキュリティの運用と管理 リスク、対応、復旧
モジュールB（2日目）	アクセス制御 不正なコード ネットワークと通信
モジュールC（3日目）	暗号学 分析とモニタリング

セミナーは、午前9時30分から午後8時まで講義および復習、問題演習が行われます。
本国(ISC)²認定日本語講師にて質の高い講義を実施しています。

セキュリティの運用と管理（1日目）

組織の資産を特定・評価したり、セキュリティポリシー、スタンダード、プロシージャ、ガイドライン浸透に向けたそれぞれの文書化、情報分類を経営陣を巻き込んで実行する事などは、組織のセキュリティレベル向上には、非常に重要な要素です。SSCPは、これらの実行責任者として、データ分類方法、データ完全性の確保、監査手法、セキュリティポリシー、スタンダード、プロシージャ、ガイドラインの理解、組織構造・実装済みセキュリティ対策の把握、意識向上プログラム策定・展開、ベストプラクティス（最適慣行）の理解、変更・構成管理手法の知識などが求められます。

• 運用セキュリティ概念の理解
• 「変更管理」概念、運用の理解
• システム開発ライフサイクル概念の理解
• 定期的セキュリティ評価、アセスメント実施、組織へのフィードバック
• セキュリティ意識向上に向けたユーザー教育実施
• 倫理規定の策定
• 認証（certification）と認定（accreditation）の概念理解とそのプロセスへの理解
• セキュリティのベストプラクティス（最適慣行）の組織への勧告、導入推進、導入

リスク、対応、復旧（1日目）

リスクマネジメントとは、インシデント発生時の損失の特定、測定及びコントロールを実施する事を指します。実施に当たっては、全般的なセキュリティレビュー、リスク分析、保護策の評価・選択、投資対効果分析、保護策の実装、効果的・定期的な保護策レビューなどが含まれます。SSCPは、これらのそれぞれについて理解をすると共に、それらにまつわる必要な情報収集・分析（脅威や脆弱性分析・把握、資産評価）やリスクマネジメントツールや手法についても理解をしていなければなりせん。またインシデント発生時の対応についても、フォレンジック（証拠収集、取り扱い、レポーティング手法）に対しての概念、実施作業の理解が求められます。かつ、事業継続、災害復旧計画の策定から始まり、実装、組織内浸透、定期レビュー、損失発生時のデータ回復手法の理解も求められます。

• リスクマネジメント全般への理解
• リスク分析、セキュリティアセスメントの実施
• 事業継続・災害復旧計画策定
• DR/BCPの全フェーズへの参加
• フォレンジックの実施

アクセス制御（2日目）

様々なアクセス制御システムが存在し、それぞれが異なったレベルの機密性、完全性、可用性をもたらす中で、このドメインにおいて、SSCPは、様々なアクセス制御システムがどのように機能し、どのようにシステムやデータを保護しているのかを知っていなければなりません。加えて、アクセス制御の概念、アカウント管理やアクセス制御システムを打ち破るために用いられる攻撃手法などについても理解している必要があります。

• アクセス制御の概念
• サブジェクト・オブジェクトの理解
• 認証技術の実装に関しての理解

不正なコード（2日目）

悪意のあるコードを利用した攻撃が増え続けています。コード作成に当たっても特定のコンピュータプラットフォームに依存しない言語を使用して、複数のプラットフォーム攻撃可能なコードが出てきたりもしています。その中でSSCPは、悪意のあるコードやモバイルコードの概念、悪意のあるコードの種類への知識が求められると共に、悪意のあるコードの攻撃手法、保護対策や攻撃を受けた時の回復手法などについても理解をしている必要があります。

• ウイルス、トロイの木馬、ワームの違いの説明
• ウィルスアクティビティの特定
• トラップドアとバックドアの違いの理解
• ウイルスのデマ情報や伝説の及ぼす影響
• 悪意のあるコードの特徴の認識と特定

ネットワークと通信（2日目）

情報の共有を安全に行う事が必須になってきている中、様々な通信ネットワークを移動していく情報の、完全性・可用性・信憑性・機密性を確保するネットワーク基盤、通信手段、移動時のデータ形式、セキュリティ対策の実装は必須です。SSCPは、LAN/WAN上での通信におけるセキュリティの理解や、リモートアクセスにまるわるセキュリティ（インターネット・イントラネット・エクストラネットなどの設定、ファイアウォール・IDS概念・実装、VPN）、通信関連プロトコールへの知識、ネットワーク利用の攻撃の検知と防御方法などについても理解をしていなければなりません。

• ビジネスにおけるセキュリティ要件の理解
• リモートアクセスのアーキテクチャの理解
• ファイアウォールを始めとするネットワークセキュリティ対策の理解
• ワイヤレスを含むネットワークの種類

暗号学（3日目）

情報への悪意のあるアクセスや改ざんなどが大きな問題となってきている中で、データ保存やデータ通信における暗号化は、データの機密性、完全性、可用性、信憑性、否認防止を確保する上で非常に重要な要素になってきています。このドメインにおいて、SSCPは、暗号の基本的な概念の理解、公開・秘密鍵に関するアルゴリズム、電子署名の構築・運用、PKI基盤と証明書の原則への理解などが求められます。

• ビジネスやセキュリティ側面からの暗号の必要要件の理解
• 電子証明書や鍵管理の原則などの理解
• セキュアプロトコルへの知識

分析とモニタリング（3日目）

このドメインにおいて、SSCPは、モニタリングにおいて必要な様々なデータ収集手法（ログ集積、サンプリング、レポーティングなど）に対する知識をもっていなければなりません。また内部監査の実行可能なレベルの監査業務への理解、外部監査に際して、監査人と効果的に作業を進めるのに必要な監査や種々の分析手法、また、コンプライアンスチェック、モニタリングや分析に当たっての法的要求事項についても理解している必要があります。

• 情報セキュリティにおける原理原則、実践ガイドライン、方法論の理解
• 監査の実行
• 効果的なモニタリングシステムの運用
• 脅威への露出に関しての分析

SSCP公式セミナー （3日間） 受講料	157,500円（税込） テキスト（教材）費用が含まれます。
SSCP認定試験 受験料	31,500円（税込）

※お申込みが多数に及ぶ場合、受講料の全額支払いを受け取った順序を基準として先着順で登録を受け付けます。
※お問い合わせなく振り込まれた場合は、振り込み手数料を差し引いて返金いたします。
※定期開催のほか、お客様のご要望に応じてインハウスセミナーの開催も承ります。