資格取得支援コース
CISSP CBKトレーニング
Certified Information Systems Security Professional
情報セキュリティに必要な知識を包括的にカバーした、
グローバル・スタンダードなセキュリティプロフェッショナル認定資格
セキュリティプロフェッショナル認定資格制度(CISSP)は、国際的に認定されている資格であり、この資格の保有者がセキュリティ共通知識分野(CBK)の8分野について、深い知識を有していることを証明するものです。戦略的かつ公平な判断のできるベンダーフリーの認定資格CISSPにより、セキュリティ専門家としてのスキルの裏付けを提供します。
特長
- 国際的に最も権威あるセキュリティプロフェッショナル認証資格。
- 最も広範囲な知識レベルを必要とする資格で、セキュリティ業務従事者から管理職者が対象。
- (ISC)² (国際情報システムセキュリティ認証コンソーシアム)NPOが実施。
- 全世界で96,000名以上(2015年1月現在)が取得。
- 2004年6月にISO/IEC17024を認証取得。
組織の信頼度・向上
2015年1月現在、全世界で96,000名を超えるCISSP資格保持者が各国政府機関、グローバル企業で活躍しています。また日本でのCISSP資格保有者も1,300名を超え、認知度と共に保有者数も増加致しております。CIO、CISOを始めとする管理職、技術職、コンサルタント、営業の中枢でIT業務に取り組んでいる方々が、数多く取得しています。
体系的にセキュリティを考えリスク管理を正しく判断できるCISSPが自組織内にいることは、社内資産の保護はもちろん、外部に対する信頼度向上につながります。セキュリティ先進国アメリカでも、国家安全保障局がセキュリティ従事者への推奨資格としているなど、高い評価を得ているCISSPを雇用する組織メリットは明白です。
(ISC)² およびCISSPについて
(ISC)² (International Information System Security Certification Consortium:国際情報システムセキュリティ認証コンソーシアム)は、米国のNPO(非営利団体)です。CISSP(Certified Information Systems Security Professional)は(ISC)² が認定している資格です。詳細はこちらをご参照ください。
試験出題範囲(CBK/Common Body of Knowledge※)
1. Security and Risk Management (Security, Risk, Compliance, Law, Regulations, Business Continuity)
セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
2. Security Operations (Foundational Concepts, Investigations, Incident Management, Disaster Recovery)
セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
3. Identity and Access Management (Controlling Access and Managing Identity)
アイデンティティとアクセスの管理(アクセス制御とID管理)
4. Asset Security (Protecting Security of Assets)
資産のセキュリティ(資産の保護)
5. Security Engineering (Engineering and Management of Security)
セキュリティエンジニアリング(セキュリティ設計と構築)
6. Communications and Network Security (Designing and Protecting Network Security)
通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
7. Software Development Security (Understanding, Applying, and Enforcing Software Security)
ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
8. Security Assessment and Testing (Designing, Performing, and Analyzing Security Testing)
セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)
問題数 : 250問/4択(日本語・英語併記)
総時間 : 6時間
[提供元](ISC)²
- ※CBK/Common Body of Knowledgeとは
(ISC)² が提唱する情報セキュリティの共通言語。全世界にいるセキュリティ専門家の知識の尺度として情報セキュリティに関する知識を分野別にまとめています。
CISSP試験受験方法
受験形式 :Computer Based Testing(CBT)形式
試験運営元:ピアソンVUE
試験申込における注意点:
- バウチャー(受験用チケット)による受験になります。
- バウチャー発行後の交換、返金、払い戻し等は一切出来かねますので予めご了承下さい。
- バウチャー発行後の日程変更はピアソンVUEにて直接受付となります。変更手数料は50ドルです。(2013年6月現在)
- バウチャーの転売は禁止されております。
- バウチャーには有効期限がありますので有効期限内に受験下さい。有効期限は納品時にお知らせしますが最大1年間です。
- 使用、未使用の調査および追跡はいたしかねますので、納品後は管理の徹底をお願い致します。
- 有効期限を過ぎた未使用バウチャーの交換、ご返金、期限延長は一切出来かねます。
- 試験のみ受験の方は、ピアソンVUEに直接お申し込みください。
CISSP トレーニング構成
(ISC)² では、CISSP取得を支援する為に、CBK8ドメインの全てをレビューする場として「(ISC)² 公式 CISSP CBKトレーニング」を開催しています。5日間で構成されたトレーニングは、各ドメインに関わる技術や概念、ベストプラクティスの定義を詳細に解説し、またドメイン間の関連性などについても理解を深める内容です。
| 日程 | 内容(ドメイン) |
|---|---|
| 1日目 | セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続) 資産のセキュリティ(資産の保護) |
| 2日目 | アイデンティティとアクセスの管理(アクセス制御とID管理) セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ) |
| 3日目 | セキュリティエンジニアリング(セキュリティ設計と構築) |
| 4日目 | 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護) ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行) |
| 5日目 | セキュリティの評価とテスト まとめ 模擬試験の解説 |
トレーニングは、午前9時30分から午後7時まで講義および復習、問題演習が行われます。
(途中休憩、昼食時間含む:進行状況により終了時間は異なります)
本国(ISC)² 認定日本語講師にて質の高い講義を実施しています。
CISSP8ドメイン
1. セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
ここでは、すべての情報セキュリティ機能のベースとなる、機密性、可用性および完全性という基本的なセキュリティ原則範囲を始めとして、さまざまな情報セキュリティとリスクマネジメントのトピックス全般を扱っており、セキュリティガバナンスとコンプライアンス領域におけるこれらの概念を基に構築されています。
また、倫理学的考察全般、そして特に(ISC)²の倫理規定に関する知識を必要とします。情報セキュリティという枠組みのなかでポリシーおよびプロシージャを策定し導入することができるかどうかについての知識や、情報および要件の収集、ビジネスインパクト分析、目標復旧時点(RPO)といった事業継続計画のあらゆる側面も含まれます。そして、リスクマネジメントの概念である、リスク分析、対応策の選択と実施、リスク監視、報告、およびリスクの枠組み、脅威モデルの導入とハードウェア、ソフトウェアおよびサービス契約の取得および管理へのリスクマネジメントの統合などの理解が必要です。そして、人員のセキュリティポリシー領域についても問われ、セキュリティに関する教育、トレーニングおよび意識向上プログラムを構築し維持できることが求められます。
2. 資産のセキュリティ(資産のセキュリティ保護)
ライフサイクル全体を通した情報の収集、処理および保護を取り上げます。情報の分類および資産のサポートは、このドメインで取り上げるすべてのトピックスの基礎となっております。そして、情報、システム、およびビジネスプロセスに関しての所有権は、分類と切り離して考えることはできず、資産のセキュリティのドメインで取り上げられる2個目のトピックとなります。プライバシー保護も非常に重要な要素となっていて、データオーナー、データ処理装置、データの残留、および収集と保管の制限の概念などがあります。情報の収集と保管に関する議論を行う場合は、データ保存を含んだ、適切なデータセキュリティ管理策について詳細の知識を保有している事が求められます。最後にデータの保管、ラベリングおよび破棄などを含んだデータ処理要件についての理解が必要となります。
3. セキュリティエンジニアリング(セキュリティ設計と構築)
セキュリティエンジニアリングは、悪意ある行為、人的エラー、ハードウェア障害および自然災害により引き起こされる可能性のある脅威に対し、必要な機能を提供し続ける情報システムおよび関連アーキテクチャの構築の実践と定義することができます。このドメインでは、安全な設計原則を使用してセキュリティエンジニアリングプロセスを実装および管理する能力について問われます。セキュリティモデルの基本概念を理解し、組織の要件およびセキュリティポリシーに基づいて設計要件を策定し、これらの設計要件を満たす制御および対応策を選択することができなければなりません。セキュリティアーキテクチャ、設計およびソリューション要素における脆弱性を継続的に評価および軽減しなければならず、この領域について詳細に理解をしていることが求められます。暗号化とは、情報の完全性、機密性および信ぴょう性を確保するため情報を変更することにより、情報の移行中も保存中も情報を保護するということで、セキュリティエンジニアリングのドメインで詳細に取り上げています。一般的な暗号化の概念、暗号化のライフサイクル、暗号化システム、公開鍵インフラストラクチャ、暗号化キー管理実務、デジタル署名、およびデジタル著作権管理についての理解が必要となります。最後に、事業所および施設の設計および物理的セキュリティへの安全な設計原則の適用などへの理解も必要となります。
4. 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
ここでは、私設および公設通信ネットワーク双方を介して送信される情報の機密性、完全性および可用性を維持するのに使用される、ネットワークアーキテクチャ、通信方法、配送プロトコル、制御デバイス、およびセキュリティ対策を網羅しています。ネットワークトポロジー、IPアドレス設定、ネットワークのセグメンテーション、スイッチングとルーティング、無線ネットワーク利用、OSIとTCPモデルおよびTCP/IPプロトコルスイートなど、ネットワークの基本を十分に理解していることを示すことが求められます。かつ、安全なネットワーク通信に関連して、暗号化についても問われます。
また、ネットワークデバイスの保護という見出しの下に、さまざまなトピックスも含まれていますので、スイッチ、ルーターおよび無線アクセスポイントといったネットワーク制御デバイスを安全に操作および保守する知識と能力についての知識も問われます。また、さまざまな伝送媒体に元々備わっているセキュリティについて熟知していなければなりません。ネットワークアクセスコントロール、エンドポイントセキュリティ、およびコンテンツ配信ネットワークについても取り上げます。データ、音声、リモートアクセス、マルチメディアコラボレーションおよび仮想化ネットワークなど多くの適用を促す、幅広い技術を使用して安全な通信チャネルを設計し実装できることが求められます。そして、ネットワーク攻撃のベクトルの知識や、これらの攻撃を防いだり軽減したりできるかについての理解も必要となります。
5. アイデンティティとアクセスの管理(アクセス制御とID管理)
ここでは、人間と情報システム、異種情報システム間、さらには情報システムの個々のコンポーネント間のやりとりに使用される、アイデンティティとアクセスのプロビジョニングと管理を扱います。システムや情報に不正にアクセスするためにアイデンティティまたはアクセス制御システムを危険にさらすことは、データの機密性に関するほぼすべての攻撃の目標にもなるため、これは情報セキュリティプロフェッショナルが相当な時間をかけなければならない領域です。ユーザー、システムおよびサービスの特定と承認に関する知識が必要となり、具体的にはID管理システム、単一要素および多要素認証、説明責任、セッション管理、登録と確認、フェデレーテッドID管理、および信用管理システムについての知識保有を求めています。さらに、サードパーティのクラウドベースおよびオンプレミスIDサービスの統合についても問われます。そして、ロールベース、ルールベース、強制および任意アクセス制御に基づくものを含め、承認メカニズムの実装および管理ができることが求められます。最後に、アクセス制御システムをターゲットとした攻撃の防止と軽減、およびID管理のライフサイクルも含まれます。
6. セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)
ここでは、アーキテクチャの問題、設計上の欠陥、構成エラー、ハードウェアとソフトウェアの脆弱性、コーディングエラー、および情報システムの能力に影響を及ぼす可能性のあるその他の弱点が原因となるリスクを特定および軽減して、意図された機能を安全に提供するため、さまざまなツールや手法を用いて、情報資産および関連するインフラストラクチャの評価に関しての知識が求められます。評価およびテスト戦略を検証し、さまざまな手法を用いてこれらの戦略を実行することができなければなりません。脆弱性評価、ペネトレーションテスト、代理トランザクション、コードレビューとテスト、悪用ケース、およびインターフェーステストに関する知識の保有が求められます。これら評価には、セキュリティポリシーとプロシージャの検証、ディザスタリカバリおよび事業継続計画も含まれます。最後に、テスト結果について分析し報告することができるか、さらに、社内監査および第三者監査を実施または円滑に進めることができるかどうかも理解している必要があります。
7. セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
ここでは、エンタープライズコンピューティングシステムの運用に関する情報セキュリティ概念およびベストプラクティスの適用に関するさまざまなトピックスが含まれています。証拠の収集と取り扱い、文書化と報告、捜査手法とデジタルフォレンジックといったさまざまな調査概念を含めたフォレンジックを指揮する、あるいはサポートするための知識が必要です。運用上、刑事上、民事上、および規制上の観点からも、調査要件を理解しなければなりません。効果的なロギングおよび監視の仕組みは、不可欠なセキュリティ機能です。そこについては、侵入検知と防止、セキュリティ情報とイベント監視システム、およびデータ漏洩防止などが含まれます。そして、リソースのプロビジョニングおよびこれらリソースのライフサイクルを通した管理と保護についても取り上げますが、セキュリティの運用が前提としているのはこれらリソースの保護です。ファイアウォール、侵入検知システム、アプリケーションホワイトリスティング、マルウェア対策、ハニーポットとハニーネットおよびサンドボクシングといった保護制御を運用し維持すると同時に、サードパーティのセキュリティ契約およびサービスを管理する能力、そしてパッチ、脆弱性および変更管理についても理解をすることが求められます。インシデントレスポンスとリカバリ、ディザスタリカバリ、および事業継続の運用面での理解が必要となります。物理的セキュリティおよび個人の安全についてのトピックスで締めくくります。
8. ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
実稼働および開発ソフトウェア環境へのセキュリティ概念およびベストプラクティスの適用について扱います。ソフトウェアに対するセキュリティ制御を評価し執行するために、ソフトウェア開発のライフサイクルにおいてセキュリティを理解し適用できなければなりません。その中で、ソフトウェア開発方法、成熟度モデル、オペレーションと保守および変更管理についての理解を必須とし、同時に統合化された製品開発チームの必要性も理解しないといけません。また、ソフトウェア開発環境においてセキュリティ制御を執行することもできなければならないので、ソフトウェア開発ツール、ソースコードの弱点と脆弱性、ソースコード開発に関する構成管理、コードリポジトリのセキュリティおよびアプリケーションプログラミングインターフェースのセキュリティなどについての知識取得も求めます。かつ、変更管理に関する監査とロギング、ソフトウェアセキュリティに関するリスク分析と軽減および取得したソフトウェアのセキュリティインパクトを含めたソフトウェアセキュリティ制御評価の領域についても理解が求められます。
CISSPトレーニング費用
| 5日間トレーニング受講費用 |
|
|---|---|
| 試験費用 |
|
- ※「早期割引」「団体割引」共に申し込み後の変更などで、条件に満たない場合は通常価格500,000円(税抜)が適用されます。
- ※早期割引・団体割引の重複による更なる割引はございません。
- ※お申し込みが多数に及ぶ場合、受講料の全額支払を受け取った順序を基準として先着順で登録を受け付けます。
- ※お問い合わせなく振り込まれた場合は、振り込み手数料を差し引いて返金いたします。
- ※定期開催のほか、お客様のご要望に応じて個別開催も承ります。
(ISC)² Official Seminarの優位性
- 日本国内では唯一の(ISC)² 公式トレーニング
- トレーニングコンテンツがCISSP資格の根幹となるCBK(Common Body of Knowledge)に忠実に作成されており、CBKが年2回アップデートされる毎にトレーニングコンテンツにもそれを反映するべく対応している
- 講師陣が全員CISSP保有者で、(ISC)² の講師認定プログラムを経た(ISC)² 公認講師である
- 毎年講師陣に対し継続教育プログラムを提供し、質の維持・向上を図っている
- 講師陣が(ISC)² 公認で全員日本人である。これによって講義の中で使用する事例として日本市場での実例を提供できる。しかも、これらの講師はCISSPの専任講師ではなく、市場での実ビジネスにも携わっており、提供される事例が講師の業務における実体験を元にしたものになっているため、鮮度が高く、受講者の実業務にも役立つ。また日本語を話せる講師のため、受講者とのコミュニケーションがより円滑に図れる
- CISSP試験の過去問などを用いた演習を行っており、自己評価としても有効。
CISSPトレーニング会場
2018年11月開催
場所: フクラシア東京ステーション
東京都千代田区大手町2-6-1 朝日生命大手町ビル6F
2019年1月・3月開催
場所: 大手町ファーストスクエアカンファレンス
東京都千代田区大手町 1-5-1 ファーストスクエア イーストタワー2F
2019年2月開催
場所: 秋葉原UDX
東京都千代田区外神田4-14-1 6F
CISSPトレーニング開催予定日
| 日程 | 1日目 | 2日目 | 3日目 | 4日目 | 5日目 | 早割申込 〆切日 |
通常申込 〆切日 |
|---|---|---|---|---|---|---|---|
| 2019年 | |||||||
| 1月 | 21日(月) | 22日(火) | 23日(水) | 28日(月) | 29日(火) | 12月6日(木)満席 | 12月26日(水)満席 |
| 2月 | 18日(月) | 19日(火) | 20日(水) | 21日(木) | 22日(金) | 1月7日(月)終了 | 2月1日(金) |
| 3月 | 12日(火) | 13日(水) | 14日(木) | 18日(月) | 19日(火) | 1月25日(金) | 2月18日(月) |
- ※トレーニング受講月と試験受験月が同月ではなくても構いません。
詳しくは(ISC)² サイトもしくはピアソンVUEサイトをご覧ください。 - ※ドメインコンテンツ更新により、2018年7月開催のみ英語テキストでの講義となります。
【 7月開催 配布物 】※講義は日本語で行います。
1.英語テキスト(冊子、ダウンロードデータ)
2.日本語テキスト(冊子、ダウンロードデータ)※9月に送付予定
3.日本語補助教材(冊子)
4.日本語模擬試験問題(冊子)
【 8月開催以降 配布物 】※講義は日本語で行います。
1.日本語テキスト(冊子、ダウンロードデータ)
2.日本語補助教材(冊子)
3.日本語模擬試験問題(冊子)
お申込(個人情報の取り扱いについて)
株式会社ラック(以下「当社」)は、個人情報保護方針に基づいて、お客様、お取引先様、株主の皆様、従業員の方々の個人情報を適切に管理し、個人情報の保護に努めています。具体的には、当社の個人情報の取り扱いについてをご参照ください。
お問い合わせ専用フォームは、トライコーン株式会社が提供するWEBマーケティング用顧客管理システム『クライゼル』を利用しております。お問い合わせフォーム画面は一時的に『クライゼル』のページに移動します。予めご承知おきください。
