株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

資格取得支援コース

CISSP CBKトレーニング

このサービスについて問い合わせる

Certified Information Systems Security Professional

情報セキュリティに必要な知識を包括的にカバーした、
グローバル・スタンダードなセキュリティプロフェッショナル認定資格

セキュリティプロフェッショナル認定資格制度(CISSP)は、国際的に認定されている資格であり、この資格の保有者がセキュリティ共通知識分 野(CBK)の8 分野について、深い知識を有していることを証明するものです。戦略的かつ公平な判断のできるベンダーフリーの認定資格CISSPにより、セキュリティ 専門家としてのスキルの裏付けを提供します。

特長

  • 国際的に最も権威あるセキュリティプロフェッショナル認証資格。
  • 最も広範囲な知識レベルを必要とする資格で、セキュリティ業務従事者から管理職者が対象。
  • (ISC)² (国際情報システムセキュリティ認証コンソーシアム)NPOが実施。
  • 全世界で96,000名以上(2015年1月現在)が取得。
  • 2004年6月にISO/IEC17024を認証取得。

組織の信頼度・向上

cissp

2015年1月現在、全世界で96,000名を超えるCISSP資格保持者が各国政府機関、グローバル企業で活躍しています。また日本でのCISSP資格保 有者も1,300名 を超え、認知度と共に保有者数も増加致しております。CIO、CISOを始めとする管理職、技術職、コンサルタント、営業の中枢でIT業務に取り組んでい る方々が、数多く取得しています。

体系的にセキュリティを考えリスク管理を正しく判断できるCISSPが自組織内にいることは、社内資産の保護はもちろん、外部に対する信頼 度向上につながります。セキュリティ先進国アメリカでも、国家安全保障局がセキュリティ従事者への推奨資格としているなど、高い評価を得ている CISSPを雇用する組織メリットは明白です。

(ISC)² およびCISSPについて

(ISC)2

(ISC)² (International Information System Security Certification Consortium:国際情報システムセ キュリティ認証コンソーシアム)は、米国のNPO(非営利団体)です。CISSP(Certified Information Systems Security Professional)は(ISC) ² が認定している資格です。詳細はこちらをご参照ください。

試験出題範囲(CBK/Common Body of Knowledge※)

1. Security and Risk Management (Security, Risk, Compliance, Law,Regulations, Business Continuity)
セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)

2. Security Operations (Foundational Concepts, Investigations, Incident Management, Disaster Recovery)
セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)

3. Identity and Access Management (Controlling Access and Managing Identity)
アイデンティティとアクセスの管理(アクセス制御とID管理)

4. Asset Security (Protecting Security of Assets)
資産のセキュリティ(資産の保護)

5. Security Engineering (Engineering and Management of Security)
セキュリティエンジニアリング(セキュリティ設計と構築)

6. Communications and Network Security (Designing and Protecting Network Security)
通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)

7. Software Development Security (Understanding, Applying, and Enforcing Software Security)
ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)

8. Security Assessment and Testing (Designing, Performing, and Analyzing Security Testing)
セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)

問題数 : 250問/4択(日本語・英語併記)
総時間 : 6時間
[提供元](ISC)² 

URL : http://www.isc2.org/japan/

※CBK/Common Body of Knowledgeとは
(ISC)² が提唱する情報セキュリティの共通言語。全世界にいるセキュリティ専門家の知識の尺度として情報セキュリティに関する知識 を分野別にまとめています。

CISSP試験受験方法

受験形式 :Computer Based Testing(CBT)形式
試験運営元:ピアソンVUE
試験申込における注意点:

  • バウチャー(受験用チケット)による受験になります。
  • バウチャー発行後の交換、返金、払い戻し等は一切出来かねますので予めご了承下さい。
  • バウチャー発行後の日程変更はピアソンVUEにて直接受付となります。変更手数料は50ドルです。(2013年6月現在)
  • バウチャーの転売は禁止されております。
  • バウチャーには有効期限がありますので有効期限内に受験下さい。有効期限は納品時にお知らせしますが最大1年間です 。
  • 使用、未使用の調査および追跡はいたしかねますので、納品後は管理の徹底をお願い致します。
  • 有効期限を過ぎた未使用バウチャーの交換、ご返金、期限延長は一切出来かねます。
  • 試験のみ受験の方は、ピアソンVUEに直接お申し込みください。

ピアソンVUE: http://www.pearsonvue.com/japan/

CISSP トレーニング構成

(ISC)² では、CISSP取得を支援する為に、CBK8ドメインの全てをレビューする場として「(ISC)² 公 式 CISSP CBKトレーニング」 を開催しています。5日間で構成されたトレーニングは、各ドメインに関わる技術や概念、ベストプラクティスの定義を詳細に解説し、またドメイン間 の関連性などについても理解を深める内容です。

日程 内容(ドメイン)
1日目 セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
資産のセキュリティ(資産の保護)
2日目 アイデンティティとアクセスの管理(アクセス制御とID管理)
セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
3日目 セキュリティエンジニアリング(セキュリティ設計と構築)
4日目 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
5日目 セキュリティの評価とテスト
まとめ
模擬試験の解説

トレーニングは、午前9時30分から午後7時まで講義および復習、問題演習が行われます。
(途中休憩、昼食時間含む:進行状況により終了時間は異なります)
本国(ISC)² 認定日本語講師にて質の高い講義を実施しています。

CISSP8ドメイン

1. セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)

ここでは、すべての情報セキュリティ機能のベースとなる、機密性、可用性および完全性という基本的なセキュリティ原則範囲を始めとして、さ まざまな情報セキュリティとリスクマネジメントのトピックス全般を扱っており、セキュリティガバナンスとコンプライアンス領域におけるこれらの概 念を基に構築されています。 また、倫理学的考察全般、そして特に(ISC)²の倫理規定に関する知識を必要とします。情報セキュリティという枠組みのなかでポリシーおよびプ ロシージャを策定し導入することができるかどうかについての知識や、情報および要件の収集、ビジネスインパクト分析、目標復旧時点(RPO)といった 事業継続計画のあらゆる側面も含まれます。そして、リスクマネジメントの概念である、リスク分析、対応策の選択と実施、リスク監視、報告、および リスクの枠組み、脅威モデルの導入とハードウェア、ソフトウェアおよびサービス契約の取得および管理へのリスクマネジメントの統合などの理解が必 要です。そして、人員のセキュリティポリシー領域についても問われ、セキュリティに関する教育、トレーニングおよび意識向上プログラムを構築し維 持できることが求められます。

2. 資産のセキュリティ(資産のセキュリティ保護)

ライフサイクル全体を通した情報の収集、処理および保護を取り上げます。情報の分類および資産のサポートは、このドメインで取り上げるすべ てのトピックスの基礎となっております。そして、情報、システム、およびビジネスプロセスに関しての所有権は、分類と切り離して考えることはでき ず、資産のセキュリティのドメインで取り上げられる2個目のトピックとなります。プライバシー保護も非常に重要な要素となっていて、データオーナ ー、データ処理装置、データの残留、および収集と保管の制限の概念などがあります。情報の収集と保管に関する議論を行う場合は、データ保存を含ん だ、適切なデータセキュリティ管理策について詳細の知識を保有している事が求められます。最後にデータの保管、ラベリングおよび破棄などを含んだ データ処理要件についての理解が必要となります。

3. セキュリティエンジニアリング(セキュリティ設計と構築)

セキュリティエンジニアリングは、悪意ある行為、人的エラー、ハードウェア障害および自然災害により引き起こされる可能性のある脅威に対し 、必要な機能を提供し続ける情報システムおよび関連アーキテクチャの構築の実践と定義することができます。このドメインでは、安全な設計原則を使 用してセキュリティエンジニアリングプロセスを実装および管理する能力について問われます。セキュリティモデルの基本概念を理解し、組織の要件お よびセキュリティポリシーに基づいて設計要件を策定し、これらの設計要件を満たす制御および対応策を選択することができなければなりません。セキ ュリティアーキテクチャ、設計およびソリューション要素における脆弱性を継続的に評価および軽減しなければならず、この領域について詳細に理解を していることが求められます。暗号化とは、情報の完全性、機密性および信ぴょう性を確保するため情報を変更することにより、情報の移行中も保存中 も情報を保護するということで、セキュリティエンジニアリングのドメインで詳細に取り上げています。一般的な暗号化の概念、暗号化のライフサイク ル、暗号化システム、公開鍵インフラストラクチャ、暗号化キー管理実務、デジタル署名、およびデジタル著作権管理についての理解が必要となります 。最後に、事業所および施設の設計および物理的セキュリティへの安全な設計原則の適用などへの理解も必要となります。

4. 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)

ここでは、私設および公設通信ネットワーク双方を介して送信される情報の機密性、完全性および可用性を維持するのに使用される、ネットワー クアーキテクチャ、通信方法、配送プロトコル、制御デバイス、およびセキュリティ対策を網羅しています。ネットワークトポロジー、IPアドレス設定 、ネットワークのセグメンテーション、スイッチングとルーティング、無線ネットワーク利用、OSIとTCPモデルおよびTCP/IPプロトコルスイートなど、 ネットワークの基本を十分に理解していることを示すことが求められます。かつ、安全なネットワーク通信に関連して、暗号化についても問われます。 また、ネットワークデバイスの保護という見出しの下に、さまざまなトピックスも含まれていますので、スイッチ、ルーターおよび無線アクセスポイン トといったネットワーク制御デバイスを安全に操作および保守する知識と能力についての知識も問われます。また、さまざまな伝送媒体に元々備わって いるセキュリティについて熟知していなければなりません。ネットワークアクセスコントロール、エンドポイントセキュリティ、およびコンテンツ配信 ネットワークについても取り上げます。データ、音声、リモートアクセス、マルチメディアコラボレーションおよび仮想化ネットワークなど多くの適用 を促す、幅広い技術を使用して安全な通信チャネルを設計し実装できることが求められます。そして、ネットワーク攻撃のベクトルの知識や、これらの 攻撃を防いだり軽減したりできるかについての理解も必要となります。

5. アイデンティティとアクセスの管理(アクセス制御とID管理)

ここでは、人間と情報システム、異種情報システム間、さらには情報システムの個々のコンポーネント間のやりとりに使用される、アイデンティ ティとアクセスのプロビジョニングと管理を扱います。システムや情報に不正にアクセスするためにアイデンティティまたはアクセス制御システムを危 険にさらすことは、データの機密性に関するほぼすべての攻撃の目標にもなるため、これは情報セキュリティプロフェッショナルが相当な時間をかけな ければならない領域です。ユーザー、システムおよびサービスの特定と承認に関する知識が必要となり、具体的にはID管理システム、単一要素および多 要素認証、説明責任、セッション管理、登録と確認、フェデレーテッドID管理、および信用管理システムについての知識保有を求めています。さらに、 サードパーティのクラウドベースおよびオンプレミスIDサービスの統合についても問われます。そして、ロールベース、ルールベース、強制および任意 アクセス制御に基づくものを含め、承認メカニズムの実装および管理ができることが求められます。最後に、アクセス制御システムをターゲットとした 攻撃の防止と軽減、およびID管理のライフサイクルも含まれます。

6. セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)

ここでは、アーキテクチャの問題、設計上の欠陥、構成エラー、ハードウェアとソフトウェアの脆弱性、コーディングエラー、および情報システ ムの能力に影響を及ぼす可能性のあるその他の弱点が原因となるリスクを特定および軽減して、意図された機能を安全に提供するため、さまざまなツー ルや手法を用いて、情報資産および関連するインフラストラクチャの評価に関しての知識が求められます。評価およびテスト戦略を検証し、さまざまな 手法を用いてこれらの戦略を実行することができなければなりません。脆弱性評価、ペネトレーションテスト、代理トランザクション、コードレビュー とテスト、悪用ケース、およびインターフェーステストに関する知識の保有が求められます。これら評価には、セキュリティポリシーとプロシージャの 検証、ディザスタリカバリおよび事業継続計画も含まれます。最後に、テスト結果について分析し報告することができるか、さらに、社内監査および第 三者監査を実施または円滑に進めることができるかどうかも理解している必要があります。

7. セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)

ここでは、エンタープライズコンピューティングシステムの運用に関する情報セキュリティ概念およびベストプラクティスの適用に関するさまざ まなトピックスが含まれています。証拠の収集と取り扱い、文書化と報告、捜査手法とデジタルフォレンジックといったさまざまな調査概念を含めたフ ォレンジックを指揮する、あるいはサポートするための知識が必要です。運用上、刑事上、民事上、および規制上の観点からも、調査要件を理解しなけ ればなりません。効果的なロギングおよび監視の仕組みは、不可欠なセキュリティ機能です。そこについては、侵入検知と防止、セキュリティ情報とイ ベント監視システム、およびデータ漏洩防止などが含まれます。そして、リソースのプロビジョニングおよびこれらリソースのライフサイクルを通した 管理と保護についても取り上げますが、セキュリティの運用が前提としているのはこれらリソースの保護です。ファイアウォール、侵入検知システム、 アプリケーションホワイトリスティング、マルウェア対策、ハニーポットとハニーネットおよびサンドボクシングといった保護制御を運用し維持すると 同時に、サードパーティのセキュリティ契約およびサービスを管理する能力、そしてパッチ、脆弱性および変更管理についても理解をすることが求めら れます。インシデントレスポンスとリカバリ、ディザスタリカバリ、および事業継続の運用面での理解が必要となります。物理的セキュリティおよび個 人の安全についてのトピックスで締めくくります。

8. ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)

実稼働および開発ソフトウェア環境へのセキュリティ概念およびベストプラクティスの適用について扱います。ソフトウェアに対するセキュリテ ィ制御を評価し執行するために、ソフトウェア開発のライフサイクルにおいてセキュリティを理解し適用できなければなりません。その中で、ソフトウ ェア開発方法、成熟度モデル、オペレーションと保守および変更管理についての理解を必須とし、同時に統合化された製品開発チームの必要性も理解し ないといけません。また、ソフトウェア開発環境においてセキュリティ制御を執行することもできなければならないので、ソフトウェア開発ツール、ソ ースコードの弱点と脆弱性、ソースコード開発に関する構成管理、コードリポジトリのセキュリティおよびアプリケーションプログラミングインターフ ェースのセキュリティなどについての知識取得も求めます。かつ、変更管理に関する監査とロギング、ソフトウェアセキュリティに関するリスク分析と 軽減および取得したソフトウェアのセキュリティインパクトを含めたソフトウェアセキュリティ制御評価の領域についても理解が求められます。

CISSPトレーニング費用

5日間トレーニング受講費用
  • 通常価格 500,000円(税抜)
  • 早期割引 450,000円(税抜)
    トレーニング開始日より45日(暦日)前までに申込完了が条件
  • 団体割引 450,000円(税抜)
    同月のトレーニングに同一組織より3名以上の申し込みが条件

※トレーニング受講費用に試験費用は含まれておりません。

試験費用
  • 85,000円(税抜)
    ※2017年10月1日より価格改定(旧価格:75,000円(税抜))
    ※2017年9月1日以降にトレーニングと試験をセットでお申込の方は、試験費用は85,000円となります。
  • ※試験のみの受験は(ISC)² に直接お申し込みください。弊社では試験のみの申し込みは受け付けておりません。ご了承 ください。

※「早期割引」「団体割引」共に申し込み後の変更などで、条件に満たない場合は通常価格500,000円(税抜)が適用されます。
※早期割引・団体割引の重複による更なる割引はございません。
※お申し込みが多数に及ぶ場合、受講料の全額支払を受け取った順序を基準として先着順で登録を受け付けます。
※お問い合わせなく振り込まれた場合は、振り込み手数料を差し引いて返金いたします。
※定期開催のほか、お客様のご要望に応じて個別開催も承ります。

 

(ISC)² Official Seminarの優位性

  • 日本国内では唯一の(ISC)² 公式トレーニング
  • トレーニングコンテンツがCISSP資格の根幹となるCBK(Common Body of Knowledge)に忠実に作成されており、CBK が年2回アップデートされる毎にトレ ーニングコンテンツにもそれを反映するべく対応している
  • 講師陣が全員CISSP保有者で、(ISC)² の講師認定プログラムを経た(ISC)² 公認講師である
  • 毎年講師陣に対し継続教育プログラムを提供し、質の維持・向上を図っている
  • 講師陣が(ISC)² 公認で全員日本人である。これによって講義の中で使用する事例として日本市場での実例を提供できる。しか も、これらの講師はCISSPの専任講師ではなく、市場での実ビジネスにも携わっており、提供される事例が講師の業務における実体験を元にしたものに なっているため、鮮度が高く、受講者の実業務にも役立つ。また日本語を話せる講師のため、受講者とのコミュニケーションがより円滑に図れる
  • CISSP試験の過去問などを用いた演習を行っており、自己評価としても有効。

CISSPトレーニング会場

場所: 大手町ファーストスクエアカンファレンス
東京都千代田区大手町 1-5-1 ファーストスクエア イーストタワー2F

CISSPトレーニング開催予定日

日程 1日目 2日目 3日目 4日目 5日目 早割申込
〆切日
通常申込
〆切日
2018年
1月 15日(月) 16日(火) 17日(水) 18日(木) 19日(金) 12月1日(金)終了 12月25日(月)
1月 22日(月) 23日(火) 29日(月) 30日(火) 31日(水) 12月8日(金)終了 1月4日(木)

※トレーニング受講月と試験受験月が同じでなくても構いません。
詳しくは(ISC)² サイトもしくはピアソンVUEサイトをご覧ください。
※2018年4月よりドメインコンテンツの更新があるため、2018年2月及び3月開催は中止となりました。なお、2018年4月以降の開催スケジュールは決まり 次第お知らせいたします。

お申込(個人情報の取り扱いについて)

株式会社ラック(以下「当社」)は、個人情報保護方針に基づいて、お客様、お取引先様、株主の皆様、従業員の方々の個 人情報を適切に管理し、個人情報の保護に努めています。具体的には、当社の個人情報の取り扱いについてをご参照ください。

個人情報の取り扱いについて

お問い合わせ専用フォームは、トライコーン株式会社が提供するWEBマーケティング用顧客管理システム『クライゼル』を利 用しております。お問い合わせフォーム画面は一時的に『クライゼル』のページに移動します。予めご承知おきください。

当社の個人情報の取り扱いに同意いただけますか?

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top