CISSP CBKトレーニング
CISSP CBKトレーニング
- 早期:440,000円(税込)
- 団体:440,000円(税込)
- 通常:539,000円(税込)
CISSPとは(概要・試験について)
組織の信頼度・向上
2022年1月現在、全世界で152,000名を超えるCISSP資格保持者が各国政府機関、グローバル企業で活躍しています。また日本でのCISSP資格保有者も2,900名を超え、認知度と共に保有者数も増加致しております。CIO、CISOを始めとする管理職、技術職、コンサルタント、営業の中枢でIT業務に取り組んでいる方々が、数多く取得しています。
体系的にセキュリティを考えリスク管理を正しく判断できるCISSPが自組織内にいることは、社内資産の保護はもちろん、外部に対する信頼度向上につながります。セキュリティ先進国アメリカでも、国家安全保障局がセキュリティ従事者への推奨資格としているなど、高い評価を得ているCISSPを雇用する組織メリットは明白です。
ISC2およびCISSPについて
ISC2(International Information System Security Certification Consortium:国際情報システムセキュリティ認証コンソーシアム)は、米国のNPO(非営利団体)です。CISSP(Certified Information Systems Security Professional)はISC2が認定している資格です。詳細はこちらをご参照ください。
ISC2 Official Seminarの優位性
- 日本国内では唯一のISC2公式トレーニング
- トレーニングコンテンツがCISSP資格の根幹となるCBK(Common Body of Knowledge)に忠実に作成されており、CBKが年2回アップデートされる毎にトレーニングコンテンツにもそれを反映するべく対応している
- 講師陣が全員CISSP保有者で、ISC2の講師認定プログラムを経たISC2公認講師である
- 毎年講師陣に対し継続教育プログラムを提供し、質の維持・向上を図っている
- 講師陣がISC2公認で全員日本人である。これによって講義の中で使用する事例として日本市場での実例を提供できる。しかも、これらの講師はCISSPの専任講師ではなく、市場での実ビジネスにも携わっており、提供される事例が講師の業務における実体験を元にしたものになっているため、鮮度が高く、受講者の実業務にも役立つ。また日本語を話せる講師のため、受講者とのコミュニケーションがより円滑に図れる
- CISSP試験の過去問などを用いた演習を行っており、自己評価としても有効。
試験出題範囲(CAT/Computerized Adaptive Testing※)
- セキュリティとリスクマネジメント
- 資産のセキュリティ
- セキュリティアーキテクチャとエンジニアリング
- 通信とネットワークセキュリティ
- アイデンティティおよびアクセス管理
- セキュリティの評価とテスト
- セキュリティの運用
- ソフトウェア開発セキュリティ
問題数:最低100項目、最高150項目(正解率によって、出題される問題数が変わります)
総時間:最大3時間
[提供元]ISC2
※CAT形式の詳細はこちらをご確認ください。
CISSP試験受験方法
受験形式 :Computerized Adaptive Testing(CAT)形式
試験運営元:ピアソンVUE
試験申込における注意点:
- バウチャー(受験用チケット)による受験になります。
- バウチャー発行後の交換、返金、払い戻し等は一切出来かねますので予めご了承下さい。
- バウチャー発行後の日程変更はピアソンVUEにて直接受付となります。変更手数料は50ドルです。
(2021年5月現在) - バウチャーの転売は禁止されております。
- バウチャーには有効期限がありますので有効期限内に受験下さい。有効期限は納品時にお知らせしますが最大1年間です。
- 使用、未使用の調査および追跡はいたしかねますので、納品後は管理の徹底をお願い致します。
- 有効期限を過ぎた未使用バウチャーの交換、ご返金、期限延長は一切出来かねます。
- 試験のみ受験の方は、ピアソンVUEに直接お申込みください。
ピアソンVUE - CBTによる試験配信のリーディングカンパニー
CISSP8ドメイン
1. セキュリティとリスクマネジメント
「セキュリティとリスクマネジメント」ドメインでは、情報セキュリティの基本的な考え方となるセキュリティ原則に関する知識が求められます。機密性、完全性、可用性などの原則を理解することと、幅広く一般的な情報セキュリティとリスクマネジメントに関する知識が必要です。
このドメインでは、セキュリティガバナンスとコンプライアンス分野をベースに知識とスキルを積み上げていかなければいけません。
CISSPには、情報セキュリティポリシーの策定やセキュリティ機能を実践するための手順を策定するスキルが求められます。それは、セキュリティ機能が慎重かつ一様に適用されるための成功要因となります。この他にも、情報と要件の収集、ビジネス影響度分析、目標復旧時点の設定を含む、事業継続計画におけるあらゆる側面が求められます。
本ドメインの中心はリスクマネジメントです。リスク分析、対策の選択と実施、モニタリング、報告、リスクフレームワークについての知識が求められます。さらに、脅威モデルの導入、ハードウェア、ソフトウェア、サービスの調達や運用に関する契約や管理など、リスクマネジメントの統合的な考え方も求められます。
人的セキュリティについては、ポリシー策定、セキュリティ教育や訓練、意識向上(気づき)トレーニングの計画、実行を含む維持管理のスキルが求められます。
最後に、ISC2 が提供しているその他の資格と同様に、CISSPでも一般的な倫理考慮事項についての知識が求められ、 更に資格所有者として求められるISC2倫理規約について理解していなければなりません。情報セキュリティ専門家は自らの技能が、独立的で信頼され、一貫して倫理的かつ健全であることが求められることも理解しておく必要があります。
2. 資産のセキュリティ
「資産のセキュリティ」ドメインでは、情報のライフサイクル全体を通じた資産の入手、取り扱い、保護についての知識とスキルが求められます。情報分類と資産の取り扱いをベースに、情報、システム、ビジネス・プロセスなどの所有権についての理解も求められます。
データ化された個人情報の収集やストレージサービスが急速に発展した結果として、プライバシーに考慮した情報の管理も求められるようになりました。プライバシーについては、データオーナー、データ利用者、データの残留性の観点からの考慮が必要とされ、情報の収集やストレージの取り扱いに影響を与えるものとなっています。
情報の収集とストレージについて考慮する際には、データの保有についてのルールを明確にしておく必要があります。保有については、組織のルールだけではなく、法規制の観点からも考慮する必要があります。
CISSPには、適切なデータセキュリティ対策を選択できることが求められるため、特にこの分野については詳細な知識とスキルが必要です。
データの取り扱いについてはライフサイクルに従って取り扱い要件を理解しなければいけません。特にラベル付けや廃棄などの要件を評価し、これに基づいてポリシーや手順を策定できる知識とスキルが求められます。
3. セキュリティアーキテクチャとエンジニアリング
「セキュリティアーキテクチャとエンジニアリング」ドメインでは、様々な問題(例えば、悪意のある行為、人的エラー、ハードウェアの故障や自然災害によるトラブルなど)が発生しても、必要なビジネス機能を続行する情報システムおよびそれに関連するアーキテクチャを構築することができる知識やスキルが求められます。これは、システムエンジニアリングにおける情報セキュリティ原則の適用ができるかどうかというスキルに関連します。
CISSPはセキュアな設計の概念や原則について理解している必要があります。
セキュリティモデルの基本的な概念を理解し、組織のビジネス要件とセキュリティポリシーに基づいた設計要件を満たすセキュリティ対策の選択ができるスキルが求められます。これらを実践するためには、情報システムにおけるセキュリティの制限と能力を正しく把握する必要があるため、それらに関する知識も求められます。
CISSPは継続的に情報システムの脆弱性を評価し、低減するための知識とスキルも求められます。具体的には、クライアントとサーバの脆弱性、データベースに関するセキュリティ要件、分散システムやクラウドに関するセキュリティや暗号システム、産業用の制御システムなどが対象となります。また、ウェブアプリケーションやモバイルデバイス、組込みシステムなどの脆弱性についても把握できる知識とスキルが必要です。
暗号は機密性、完全性、真正性を確保することが目的であり、情報の意図しない変更からの保護に有効な対策であるため、本ドメインでも詳細な知識が求められます。一般的な暗号の概念だけではなく、暗号のライフサイクル、システム、公開鍵基盤、鍵管理の実践、デジタル署名およびデジタル著作権管理の広範囲にわたる知識が求められます。また、セキュリティ専門家として暗号解読の攻撃手法(ソーシャルエンジニアリング、総当たり、暗号文、既知平文、頻度分析、選択暗号、実装攻撃など)を十分に理解しておく必要があります。
セキュリティエンジニアリングに関する知識は、情報システムの開発に限定されることなく、施設や設備の設計などの物理的なセキュリティに関する設計の原則についても知識が求められます。
4. 通信とネットワークのセキュリティ
「通信とネットワークセキュリティ」ドメインでは、ネットワークアーキテクチャ、伝送方法、トランスポートプロトコル、制御デバイスのほかオープンなネットワークやクローズなネットワークを介して送信される情報の機密性、完全性、可用性を維持するために利用されるセキュリティ対策の理解が求められます。
CISSPは、ネットワークの基礎(トポロジー、アドレス、セグメンテーション、スイッチングやルーティング、無線、OSIやTCP/IPモデルおよびプロトコルスイートなど)を十分に理解していることが求められます。また、セキュアなネットワークを実装するための暗号、ネットワーク機器のセキュリティ対策など広範なトピックについても理解しておかなければなりません。ネットワーク機器の(スイッチ、ルータ、無線LANアクセスポイントなど)の安全な設置と維持管理に関する知識とスキルが求められます。ネットワークにおけるアクセス制御、エンドポイントのセキュリティ、コンテンツ配信ネットワーク(CDN)についての知識も必要です。
CISSPはネットワークを利用した多くのアプリケーション(データ、音声、リモートアクセス、マルディメディアなど)の利用を推進するために様々な技術を利用して、セキュアな通信チャネルを設計および実装できるスキルが求められます。また、これらのアプリケーションに対する攻撃ベクトルの知識や、それらを防止、低減する知識やスキルについても求められます。
5. アイデンティティとアクセスの管理
「アイデンティティとアクセスの管理」ドメインでは、情報セキュリティに不可欠な、人と情報システムの相関、情報システム同士の相関、さらには情報システムの個々のコンポーネント間の相関に利用されるアイデンティティとアクセス権のプロビジョニングや管理に関連した知識が求められます。これらのセキュリティが損なわれると、攻撃者の不正アクセスによって機密性が侵害されます。情報セキュリティ専門家はこの問題に多大な時間を費やすため、この分野の知識やスキルも必要です。
このドメインでは、利用者、システムおよびサービスの識別と認可を扱います。CISSPには、ID管理システム、単一要素認証や多要素認証、説明責任、セッション管理、ID登録とその証明、IDフェデレーション、およびクレデンシャル(資格情報)管理システムに関する知識も求められます。
クラウドベースによるID管理やアクセス制御、またそれらと社内のID管理サービスとの統合についての知識も求められます。CISSPは認可に関する仕組み(ロールベース、ルールベース、強制アクセス制御、任意アクセス制御など)の実装と管理に関するスキルも求められます。
他のドメインと同様に、本ドメインでもシステムに対する攻撃やライフサイクルにわたる攻撃の防止や低減についての知識も求められます。
6. セキュリティの評価とテスト
「セキュリティの評価とテスト」のドメインでは、情報資産やそれに関わるインフラの評価をさまざまな技術やツールを用いて実施する知識とスキルが求められます。これらの評価は構造的な問題や設計上の欠陥、設定のミスやハードウェアやソフトウェアの脆弱性、コーディングのミス、その他の欠陥など、情報システムが期待通りに機能するために、リスクの識別や低減を状況に応じて実施します。CISSPには、組織における情報セキュリティの計画、ポリシー、プロセスおよび手順が適用されていることに関する継続な検証も求められます。
CISSPには、評価とテストの戦略を検証し、これらのテストを実行できるスキルが求められます。脆弱性検査、ペネトレーションテスト、代理トランザクション、コードレビューやコードテスト、ミスユースケース、およびインタフェース試験についての知識も求められます。
CISSPにはセキュリティポリシーとそれに伴う手順を継続的に、かつ一様に適用することが求められます。また、障害復旧や事業継続計画を維持管理、必要に応じて更新し、災害発生時にはそれらが目的に応じて確実に機能するようにしなければなりません。このため、本ドメインではセキュリティ運用におけるデータ収集に関する知識が求められます。アカウント管理、マネジメントレビュー、パフォーマンスとリスクの指標、バックアップの検証、セキュリティ訓練と意識向上(気づき)トレーニングおよび障害復旧と事業継続に関する知識も求められます。
セキュリティ評価とテストにおいては、適切なリスク低減戦略を策定し、実施できるだけの綿密な分析と、評価結果の報告がなければ意味をなしません。CISSPにはテスト結果の分析と報告を行うスキルが求められます。
7. セキュリティの運用
「セキュリティの運用」ドメインは、エンタープライズコンピューティングシステムの運用に対する情報セキュリティのコンセプトとベストプラクティスの適用に関わる広範なトピックを含んでいます。
情報セキュリティの専門家が、日常的に実行することが要求されるタスクおよびその状況を示すことを目的としています。
フォレンジック調査に関する知識およびそれらを指揮したりサポートしたりする能力についてのトピックが含まれ、様々な調査コンセプトの概念(証拠の収集と取り扱い、文書化と報告、調査手法およびデジタルフォレンジックを含む)に関する知識が求められます。また、運用状況、犯罪、市民、および規制の観点から調査の要件を理解する必要があります。
ロギングとモニタリングの仕組みづくりは、セキュリティの基盤となる機能です。フォレンジック調査のサポートに加えて、ログ取得記録とモニタリングは、インフラストラクチャの日常業務を俯瞰するのに役立ちます。侵入検知防御、セキュリティ情報とイベントモニタリングシステムSIEM(Security Information and Event Monitoring system)、および漏えいからの保護が含まれます。
また、「セキュリティの運用」ドメインでは、リソースのプロビジョニングとそれらのリソースのライフサイクル全体を通じた管理と保護も扱っており、リソースの保護に関するセキュリティ運用基盤についての知識も求められます。保護制御(ファイアウォール、侵入防止システム、アプリケーションホワイトリスト、アンチマルウェア、ハニーポットとハニーネットおよびサンドボックスを含む)の運用と維持ならびにサードパーティのセキュリティサービス契約と管理を行うことに関するスキルも求められます。パッチ、脆弱性および変更管理についての知識も必要になります。
さらに、インシデント対応と回復復旧、障害・災害復旧、および事業継続も含まれます。CISSPには、インシデント管理などに関するスキルについて、および障害・災害復旧プロセスの実装とテストを行い事業継続計画に参加する知識とスキルが求められます。物理的セキュリティと人と個人の安全に関するトピックも含まれています。
8. ソフトウェア開発セキュリティ
「ソフトウェア開発セキュリティ」ドメインは、ソフトウェアの開発、およびソフトウェアの開発環境に対するセキュリティコンセプト概念とベストプラクティスの適用に関わっています。ソフトウェア開発者や、ソフトウェアセキュリティエンジニアが環境内で運用しているソフトウェアに関するセキュリティ制御を評価、実行します。CISSPは、この目的を達成するためにソフトウェア開発のライフサイクルに照らしてセキュリティを理解し適用しなければなりません。CISSPは、ソフトウェア開発手法、成熟度モデル、運用および保守、変更管理、統合された製品開発チームの必要性を理解する必要があります。
またCISSPは、ソフトウェア開発環境においてセキュリティ管理策制御を実行できなければなりません。CISSPは、ソフトウェア開発ツール、ソースコードの弱点と脆弱性、構成管理のセキュリティを含む(これは、ソースコード開発、コードリポジトリのセキュリティおよびアプリケーションプログラミングインターフェースのセキュリティに関連しています)この領域分野のいくつかのトピックについての理解が求められます。
またCISSPは、ソフトウェア保護統制評価の領域分野についても知っている必要があります。この領域分野のトピックには、監査とログ記録(これは変更管理に関連しています)、リスクの分析と低減(これはソフトウェアセキュリティに関連しています)および取得されたソフトウェアのセキュリティ上の影響が含まれます。
特長
- 国際的に最も権威あるセキュリティプロフェッショナル認証資格。
- 最も広範囲な知識レベルを必要とする資格で、セキュリティ業務従事者から管理職者が対象。
- ISC2(国際情報システムセキュリティ認証コンソーシアム)NPOが実施。
- 全世界で152,000名以上(2022年1月現在)が取得。
- 2004年6月にISO/IEC17024を認証取得。
CISSP トレーニング構成
ISC2では、CISSP取得を支援する為に、CBK8ドメインの全てをレビューする場として「ISC2公式 CISSP CBKトレーニング」を開催しています。5日間で構成されたトレーニングは、各ドメインに関わる技術や概念、ベストプラクティスの定義を詳細に解説し、またドメイン間の関連性などについても理解を深める内容です。
|
日程 |
内容(ドメイン) |
|---|---|
| 1日目 |
|
| 2日目 |
|
|
3日目 |
|
|
4日目 |
|
|
5日目 |
|
| 研修期間 |
5日間 9:30~18:30 |
|---|
本国ISC2認定日本語講師にて質の高い講義を実施しています。
CISSPトレーニング費用
|
トレーニング |
○ 早期割引:400,000円(税込 440,000円) ○ 団体割引:400,000円(税込 440,000円) ○ 通常価格:490,000円(税込 539,000円) ※トレーニング受講費用に試験費用は含まれておりません。 |
|---|---|
|
試験費用 |
○ 130,000円(税込 143,000円) ※試験形式:Computerized Adaptive Testing(CAT)形式 |
- お申込みが多数に及ぶ場合、受講料の全額支払を受け取った順序を基準として先着順で登録を受け付けます。
- お問い合わせなく振り込まれた場合は、振り込み手数料を差し引いて返金いたします。
- 定期開催のほか、お客様のご要望に応じて個別開催も承ります。
CISSPトレーニング開催予定日
2025年度
※全てオンライントレーニングとなります
| 日程 | 1日目 | 2日目 | 3日目 | 4日目 | 5日目 | 早割申込締切 | 通常申込締切 |
|---|---|---|---|---|---|---|---|
| 3月 | 11日(水) | 12日(木) | 13日(金) | 16日(月) | 17日(火) |
|
2月17日(火) |
2026年度
※全てオンライントレーニングとなります
| 日程 | 1日目 | 2日目 | 3日目 | 4日目 | 5日目 | 早割申込締切 | 通常申込締切 |
|---|---|---|---|---|---|---|---|
| 5月 | 25日(月) | 26日(火) | 27日(水) | 28日(木) | 29日(金) |
- |
5月1日(金) |
| 6月 | 22日(月) | 23日(火) | 24日(水) | 25日(木) | 26日(金) |
- |
5月29日(金) |
| 7月 | 23日(木) | 24日(金) | 27日(水) | 25日(木) | 26日(金) |
6月5日(金) |
7月1日(水) |
| 9月 | 14日(月) | 15日(火) | 16日(水) | 17日(木) | 18日(金) |
7月30日(木) |
8月21日(金) |
| 10月 | 22日(木) | 23日(金) | 26日(月) | 27日(火) | 28日(水) |
9月4日(金) |
9月30日(水) |
| 11月 | 16日(月) | 17日(火) | 18日(水) | 19日(木) | 20日(金) |
10月1日(木) |
10月23日(金) |
| 12月 | 14日(月) | 15日(火) | 16日(水) | 17日(木) | 18日(金) |
10月29日(木) |
11月20日(金) |
| 1月 | 25日(月) | 26日(火) | 27日(水) | 28日(木) | 29日(金) |
12月10日(木) |
1月4日(月) |
| 2月 | 15日(月) | 16日(火) | 17日(水) | 18日(木) | 19日(金) |
1月4日(月) |
1月22日(金) |
| 3月 | 15日(月) | 16日(火) | 17日(水) | 18日(木) | 19日(金) |
1月28日(木) |
2月19日(金) |
オンライン(LIVE配信):講師がインターネット回線を用いてオンラインで講義を配信する形態です。オンサイトでの講義と同様に質疑応答も含まれます。
- 必要なソフトウェア:Zoom
公式サイトのダウンロードセンターより「ミーティング用Zoomクライアント」をダウンロードし、インストールをお願いします。 - 配布物:
日本語テキスト(冊子※、電子版)
英語テキスト(電子版)
日本語確認問題(冊子※、電子版)
英語確認問題(電子版)
日本語CISSP公式問題集(電子版)<終了後のアンケート回答者に配布>
※トレーニング開催の数日前にテキスト(冊子)等を送付いたしますので、申込み先住所と別の場所に配送希望の場合は、お申込み画面の備考欄に希望送付先住所の記載をお願いいたします。
特典1. CISSP公式問題集(日本語 電子書籍)をプレゼント!!
終了後のアンケート回答者にCISSP公式問題集(日本語 電子書籍)※約1000問をプレゼントいたします。(3,000円相当)
CISSP資格取得を目指している方を応援します。
配布方法は、トレーニング開催中に説明いたします。
※出版社:NTTアドバンステクノロジ株式会社
特典2. 録画データにアクセス可能!!
講義内容は全て録画されます。
トレーニング参加者は、終了後180日間、何度でもアクセス可能です。
5日間、全ての参加が難しい方や、聞き逃してしまった場合、試験に向けて復習をされる方・・など。是非、ご活用ください。
本コースは、NRIセキュアテクノロジーズ株式会社主催のセミナーです。