« 2006年6月 | トップページ | 2006年8月 »

2006年7月の記事

2006年7月28日 (金)

CISSP、取ったらどうなんの?

CISSPに限らずの話ですが、「認定試験合格を目指し、がんばるぞ~」となった後、ふと「ところで、取ったらどうなんの?(何するの?、何かいいことあるの?)」と考えることありませんか。
これはとても重要なことです。できれば、学習を始める前に明らかにしておきましょうね。

CISSPの場合は認定試験が終わり、結果が出てもエンドースメントや職務経歴書を書いたりなど、やるべきことがあるので、ついズルズルとなってしまいがちです。

だいたいどの方もそうらしいんですが、上司に「合格しました」と報告しても「おう、そうか。おめでとう。手続き(CISSPの認定手続き、社内の所定の手続きなど)してね、名刺を作り変えてね、ちゃんとCPE取得して失効しないでね」と、事務的なリアクションばかりのようで。

そのあとのスキルアップやキャリアパスの話など、ほとんど出てきません。
その話題に及んでも「CISSP以上って、何があるの?」「これ以上って言われても、わからんよ」となり、「もう、これ(CISSP)で十分でしょ」とか「自分で考えて」という結論になります。

CISSPホルダーになると劇的に人生がバラ色になるわけでもないですし、何も努力しなくても地位も名誉も保証されるというものでもありません。
CISSPホルダーになったということは、情報セキュリティ専門家になるためのスタートラインについたに過ぎませんそこからどういう道を進み、どこをどう目指すかはそれぞれで考えていかなければなりません

このブログでは、そういうことも考えていけるようにしたいと思っています。

| | コメント (0) | トラックバック (0)

2006年7月27日 (木)

セキュリティ職で必要とされるITセキュリティ資格

CompTIAの資料に以下のようなものがあります。

「IT Security Positions with Requirement for IT Certification」

「security_certification.bmp」をダウンロード

これはアンケートの集計なのですが、様々なセキュリティ関連職(「こんな職種・職制、あるの?」というのも含まれている)と、ITセキュリティ認定資格の関係を示したものです。

ここで挙げられているITセキュリティ認定資格としては、CISSPをはじめとして、CISMCompTIA Security+GIAC/GSEC(SANS)などのベンダーフリー資格、CCNA/CCDA/CCIE(Cisco)、MCSE/MCSA(Microsoft)などのベンダー資格なども含まれています。

現状の日本の職種・職制、資格制度の考え方、CISSPをはじめとしたセキュリティ資格のステイタスや価値観などとは合わないところもありますが、ぜひご参考にしてください。(セキュリティ資格のステイタスや価値も、これくらいにはしたいですね)

| | コメント (0) | トラックバック (0)

2006年7月26日 (水)

情報セキュリティ人材育成・資格制度体系化の検討

7月25日のNISC情報セキュリティ政策会議の資料が公開されています。

情報セキュリティ政策に関する本年度の重点施策とその推進体制について

この重点政策の1つが、「人材育成・資格制度の体系化」です。

人材育成・資格制度体系化専門委員会の設置について(案)

検討期間が、8月下旬~11月中旬で、情報セキュリティに関する資格制度の体系化や戦略的な人材育成方策の検討などがされるとのことです。
どのような検討結果が出てくるか注目したいと思います。(結果は、12月~1月?)
情報処理技術者試験だけでなく、ここで取り上げているCISSP、CISM、CAISなどの資格も含まれ体系化されることを期待します

府省庁の情報セキュリティ対策の実施状況に関する重点検査及び評価結果 ~平成18年度第1回重点検査の評価結果~

こちらは予想通りという結果ですが、まずは検査が行われその結果を隠さず公表し、重要インフラ事業者や一般企業に先駆けて対策を実施する、という方向で進むことを期待したい、と思います。

| | コメント (0) | トラックバック (1)

CISSPの学習を始める前に

CISSP10ドメインレビューセミナー受講や認定試験受験前に「自分のスキルチェックをしておきたい」という方も多いはず。どれくらいの知識レベルにあれば、これから学習をはじめて合格するレベルに到達できるのか目安が必要と思います。

そのようなときには、まずCompTIA Security+の試験範囲がその目安になるでしょう。
CompTIA Security+は、情報セキュリティのファウンデーション資格として世界的なスタンダードです。
こちらはCISSPと同じ米国発ということもあり、試験範囲がかなり近いものになっています。

その他には、SEA/Jの基礎コースの資格であるCSBMの学習内容が目安になります。
こちらは日本発のベンダーフリーの資格です。

ちなみに私はCompTIA Security+、SEA/Jとも講師をしておりました。(現在、とりあえず休業中?)

どちらも認定試験を、アールプロメトリック社でのCBT形式で受験が可能なところが共通のメリットです。つまり任意の時間に、受験が可能ということです。情報処理技術者試験などでは、受験回数などの制限事項が多いため、このあたりは不都合なことも多くなります。

これらの認定試験の結果で、スキルチェックをしてから受講するというステップを踏むのが米国などでは一般的ですし、私としてもお奨めしたい学習方法です。

| | コメント (0) | トラックバック (0)

2006年7月25日 (火)

NIST SP800シリーズ、認定試験お役立ち順

NIST SP800シリーズを、CISSP認定試験対策のお役立ち順に並べてみました。あくまで、独断と偏見による認定試験対策学習のため、という視点ですので、実際の業務のお役立ち度とは直接関係しません。あしからず・・・

<★★★>ぜひじっくり読んで、<★★>できればご一読、<★>余裕があれば、の3段階にしてみました。おまけとして、<☆未公開;近日公開予定>もつけましたが、こちらは公開後にチェックしてみます。

<★★★>
NIST SP800-33「ITセキュリティのための基本テクニカルモデル」
Underlying Technical Models for Information Technology Security
 

<★★>
NIST SP800-30「ITシステムのためのリスクマネジメントガイド」
Risk Management Guide for Information Technology Systems

NIST SP800-34「ITシステムのための緊急時対応計画ガイド」
Contingency Planning Guide for Information Technology Systems

NIST SP800-35「ITセキュリティサービスガイド」
Guide to Information Technology Security Services 

NIST SP800-61「コンピュータインシデント対応ガイド」
Computer Security Incident Handling Guide 

NIST SP800-64「情報システム開発ライフサイクルにおけるセキュリティの考慮事項」
Security Considerations in the Information System Development Life Cycle

<★>
NIST SP800-26「ITシステムのためのセキュリティ自己アセスメントガイド」
Security Self-Assessment Guide for Information Technology Systems

NIST  SP800-42「ネットワークセキュリティテストにおけるガイドライン」
Guideline on Network Security Testing

NIST SP800-50「ITセキュリティの意識向上およびトレーニングプログラムの構築」
Building an Information Technology Security Awareness and Training Program

NIST SP800-53「連邦政府情報システムにおける推奨セキュリティ管理策」
Recommended Security Controls for Federal Information Systems

NIST  SP800-55「情報技術システムのためのセキュリティメトリクスガイド」
Security Metrics Guide for Information Technology Systems 

NIST SP800-76「個人識別情報の検証における生体認証データ仕様」
Biometric Data Specification for Personal Identity Verification 

<☆未公開;近日公開予定>
NIST SP 800-18「連邦情報システムのためのセキュリティ計画作成ガイド」
Guide for Developing Security Plans for Federal Information Systems

NIST SP 800-37「連邦政府情報システムのセキュリティに対する認証および認定ガイド」
Guide for the Security Certification and Accreditation of Federal Information Systems

NIST SP 800-60 Volume I「第I巻:情報および情報システムのタイプとセキュリティ分類のマッピングガイド」
Guide for Mapping Types of Information and Information Systems to Security Categories

NIST SP 800-73「個人識別情報の検証インタフェース」
Interfaces for Personal Identity Verification

| | コメント (0) | トラックバック (0)

2006年7月24日 (月)

「NIST SP800-33」

以前の記事にも書きましたが、CISSP認定の学習もしくは維持のための学習に役立つ公開文書として、NISTのSP800シリーズがあります。

その中でも、まず読んでいただきたいのが「ITセキュリティのための基本テクニカルモデル」(SP800-33)です。

CISSPの条件とされているような基本的なセキュリティモデルを理解するための文書としてお奨めします。また、重要な情報セキュリティ関連用語の定義やアプローチを整理するのにも役立ちます。(A-I-C3要素、アカウンタビリティ、保証、識別、認証、アクセスコントロール、否認防止、セキュリティドメイン、リスクマネジメント・・・)

できれば、「CISSP10ドメインレビューセミナー」の受講や「CISSP認定試験公式ガイドブック」での学習を始める前に、一読されることをお奨めします

この内容をある程度理解できていれば、その後の学習が円滑に進められるでしょう。

| | コメント (0) | トラックバック (0)

2006年7月23日 (日)

SSCPとCAP

(ISC)2では、CISSP以外にSSCPやCAPという資格の認定も行っています。どちらもまだ日本上陸を果たしていない(将来的に上陸するかどうかも疑問)のですが、参考までにご紹介します。CBKもCISSPと違いますので、比較してみてください。

SSCP(Systems Security Certified Practitioner)
SSCPは、情報セキュリティ部門の上級ポジションに就いている、もしくは今後就く予定の人材を対象とした資格であり、セキュリティ戦略策定に重要な以下7項目を対象としている。
①アクセス・コントロール(Access Control)
②アドミニストレーション(Administration)
③監査とモニタリング(Audit and Monitoring)
④暗号学(Cryptography)
⑤データ・コミュニケーション(Data Communications)
⑥悪質コード・ソフトウエア(Malicious Code / Malware)
⑦リスク、対応と復旧(Risk, Response and Recovery)

対象者は、これら7分野における1年以上の職歴があるシニア・ネットワーク・セキュリティ・エンジニア、シニア・セキュリティ・システム・アナリスト、及びシニア・セキュリティ・アドミニストレータとなっている。
認定者は、全世界で566名(2006/06/01現在)

CAP(Certification and Accreditation Professional)
CAP資格は、リスク評価を行い、セキュリティに必要な環境を整備する立場にある者で、ISC2のCBKが定める5分野での職歴が2年以上の者を対象としている。

①認証の理解(Understanding the Purpose of Certification)
②システム許可プロセス(Initiation of the System Authorization Process)
③認証(Certification Phase)
④認定(Accreditation Phase)
⑤継続的モニタリング(Continuous Monitoring Phase)

認定者は、全世界で144名(2006/06/01現在)

| | コメント (0) | トラックバック (0)

2006年7月22日 (土)

CISSP認定試験受験のアドバイス・その2

「CISSP認定試験受験のアドバイス」を、以前にこのブログで書きました。
そのときは、CISA/CISMホルダーの増田さんのブログ「情報セキュリティコンサルタントのお気楽Blog」をご紹介しました。

今回も、CISMホルダーからの認定試験受験のアドバイスをご紹介します。
「CISM合格体験記」

CISSP認定試験受験者にも参考になりますので、ぜひご一読を。
(この方も増田さんですが、前出の増田さんとは別の方です。念のため・・・)

特に参考になるところ、共感するところとしては、
・試験前日はよく寝る(前日の学習は最低限に)
・問題は注意深く読み、急がない

あたりでしょうか。

私も認定試験前日は、ほとんど勉強せずたっぷり睡眠を取りました。
それから問題(問題文でなく、選択肢も)は、よく読むことはとても重要です。

| | コメント (0) | トラックバック (0)

2006年7月21日 (金)

「情報セキュリティ人材育成セミナー」

開催が来週に迫っていますが、CISSPやISSJPの情報などを中心とした、情報セキュリティ人材育成セミナーが開催されます。(ISC)2 InstituteのVice Presidentも来日し、講演します。

CISSPホルダーの方も、これから取得を目指す方も、ぜひご来場を。(当日は、私も行っていますので、わかる方は見つけて声をかけてください)

JNSAの推奨教育検討WGには私も参加しておりました。(成果物は、こちら。活動報告は、こちら

そして、ISSJP-WGには現在参加しております。(活動報告は、こちら

「内部統制を見据えた、情報セキュリティ人材育成セミナー」

日時:2006年7月28日(金) 13:30~17:00(13:00開場)
場所:工学院大学 アーバンテックホール

主催:学校法人工学院大学、(ISC)2ジャパン
後援: 日本セキュリティ監査協会(JASA)
    日本ネットワークセキュリティ協会(JNSA)
    日本リスクマネジメント協会(NRA)

講演内容:
【基調講演】
 13:40~14:20
  「情報セキュリティ人材育成と信頼ある組織作り」
  工学院大学 情報学部 教授
  IBMビジネスコンサルティングサービス 顧問 大木 栄二郎

【講演】
13:40~15:00
 「JNSAが考える情報セキュリティ推奨教育」
 JNSA 推奨教育検討WG リーダー  持田啓司
15:10~15:50
 「情報セキュリティプロフェッショナルの条件とは」
 (ISC)2 Institute Exective Vice President Marc Thompson
15:50~16:30
 「大学における社会人教育の取り組みと情報セキュリティ専門家育成」
 工学院大学 情報学部 教授 CPDセンター 小野 諭
16:30~17:00
 「国内事情に合わせた情報セキュリティ知識体系の標準化と行政での
 活用方法への取り組み 」 JNSA ISSJP WG リーダー 大河内 智秀

参加お申し込みはこちら

このセミナーについては、後日ここで記事も書きます。(の、予定)

| | コメント (0) | トラックバック (0)

2006年7月20日 (木)

「称号」の名乗り方

以前にこのブログで書きましたが、CISSPは資格ではなく「称号(disignation)」です
「称号」ですから、Dr.とかKnight、などと同じ扱いなんですね。

「称号」は、氏名のあとに、カンマを入れてその称号の名称を入れます
ですから「氏名,CISSP」となります。

(しばらく、ケビンねたが続いたので)例としては、

ケビン・ミトニック,CISSP

っていうような感じです。(ケビン自体は、倫理規程に抵触する行為をしたので称号は与えられません。念のため・・・)
ちなみに、CISAなども「称号」なので、同様に表記します。

私も名刺や電子メールなどの署名では、このように書いて使っています。
所属する組織によっては、このような表記はしにくいかもしれませんが、ぜひこのように「称号」として、堂々と名乗ってください。

そうすることで、ホルダーである皆様自身およびCISSPのステイタスと価値を向上させましょう。

| | コメント (2) | トラックバック (0)

2006年7月19日 (水)

「ザ・ハッカー」

引き続き、ケビン・ミトニックねたです。

B00005lmsh_09__pe00_ou09_scmzzzzzzz_
実話をもとにした、サスペンスっぽい映画。
演技という作り物とはいえ、ソーシャルエンジニアリングを映像で見ると、かなり参考になります。(もちろん、セキュリティ対策をする側としてです)

ちなみに原題は”Takedown”、日本では公開されませんでした。

「ザ・ハッカー」

内容(「DVD NAVIGATOR」データベースより)
実際の事件を基にしたパニック・サスペンス。天才ハッカー、コンピュータ保安問題の専門家、FBI捜査官の、3者の攻防を描く。『スクリーム』のS・ウーリッチ主演。

内容(「Oricon」データベースより)
悪のハッカー、ケビン・ミトニックと日系セキュリティ専門家、下村努との9年にわたる戦いを描いた実録サスペンス。スキート・ウーリッチ、ラッセル・ウォンほか出演。

| | コメント (0) | トラックバック (0)

2006年7月18日 (火)

「欺術」

「欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法」
479732158x_09__pe00_ou09_scmzzzzzzz_

「ソーシャルエンジニアリング」や「ハッキング」の本質を知るには、最高最適にして唯一の書籍でしょう。情報セキュリティ専門家を目指すの方なども、技術解説書やCISSP試験対策本だけでなく、ぜひ読んで欲しい一冊です。
情報セキュリティは、技術だけでなく、人的、物理的対策も重要であることを実際のエピソードを通じて、実感できます。

Amazon.co.jp
   本書のタイトル、『The Art of Deception』は、つまり他人にうそをついて信用を勝ち取り、あとからその信用を裏切ることで、喜びや利益を得るということだ。ハッカーは婉曲的に「社会工学」という言葉を使う。そして、そのハッカーから崇拝されるケビン・ミトニックが、実際に起こりうるシナリオを描いてみせている
   ミトニックが挙げる例を10件ほども見れば、なんらかの組織のセキュリティを担当している者ならば、生きる気力をなくしてしまうだろう。昔からいわれていることだが、セキュリティと人間とは本来相いれないものなのだ。組織とは、モノやサービスを提供することを目的に存在するのであり、有能で親切な従業員がそのモノやサービスを広めようとすることを期待する。人間は他人から好かれることを好む社会的動物なのだ。セキュリティの人的要素をコントロールするということは、だれかを、あるいはなにかを否定することになる。これは不可能なことだ。

   ハッカーの崇拝を受けるミトニックの名声を考えると、ハッカーが社会工学を使って攻撃する最後の標的がコンピュータであるというのは皮肉だ。『The Art of Deception』に描かれているほとんどのシナリオは、コンピュータを使わない組織にもあてはまるし、フェニキア人でさえ理解したであろう原則だ。ただテクノロジーの進歩によってより容易に実行できるようになったにすぎない。電話は手紙より早いし、つまるところ、大きな組織を持つということは、大勢の他人とかかわるということなのだ。

   ミトニックのセキュリティを守るためのアドバイスは、ほとんどが実用的に聞こえるが、いざ実行に移すとなるとそうでないことに気づく。より効果的なセキュリティを実現するということは、すなわち組織の効率を下げることになるからだ。競争の厳しいビジネスの世界では、効率をなにかの引き換えにするなど、まず不可能な話である。そもそも、「だれも信じてはならない」というルールがあるような職場で働きたいと思う人がいるだろうか。ミトニックは、セキュリティがいかに信頼によって簡単に破られるかを示して見せるが、信頼を抜きにして人は生きられないし、一緒に働くことなどできない。現実の世界では、組織が効果的に機能するためには、完全なセキュリティなど妄想にすぎないことを認めて、保険料を増やすしかないのだ。(Steve Patient, Amazon.co.uk)

出版社/著者からの内容紹介
史上最強のハッカーが明かす禁断の技法。
セキュリティはどのように破られ、情報はいかにして盗まれるのか。史上最強と謳われた伝説のハッカー、ケビン・ミトニックがはじめて明かす、ソーシャルエンジニアリング(欺術)の手口。推理小説よりも面白い事例とエピソードが満載。この技法を使ったら、もうだれも秘密は守れない!?

なお、ケビン・ミトニックについては、こちら

| | コメント (0) | トラックバック (1)

2006年7月14日 (金)

テキストの現物画像

本日、10ドメインレビューセミナーの講師をしてまいりました。今日は7月のコースの最終日でした。受講生の皆様、お疲れ様でした。そして、認定試験(あさって、7/16)で良い結果が出ることを、お祈りいたしております。1名でも多くの方が合格されますように!

そこで最新のテキストの現物を、撮影してきましたのでここで公開します。(中身は公開できません、念のため)Dsc00096_1

旧テキストで受講された方、どうですか?かっこよくなったでしょう?

Dsc00097_1

| | コメント (0) | トラックバック (0)

2006年7月13日 (木)

「A」クレジットと「B」クレジット

今回もCPEのお話です。
CPEのクレジットには、2種類あります。
「A」クレジット
「A」クレジットとは、CBK(Common Body of Knowledge)10ドメインに直接関連するものとして(ISC)2が認めるCPEクレジットを指します。(例:Trusted CPE プロバイダー・トレーニングコースへの参加など)
120ポイントのうち、少なくとも80ポイント以上の「A」クレジットが必要です。
「B」クレジット
「B」クレジットとは、CBK(Common Body of Knowledge)10ドメインに直接関連しない(ISC)2が認めるCPEクレジットを指します。(例:(ISC)2サーベイへの協力など)
120ポイントのうち、40ポイントを上限として取得が可能です。
ということで、2/3以上は、「A」クレジットを獲得しなければなりません
というよりも、基本的にはこの「A」クレジットの対象の活動をしてCPEとしましょう、ということです。
(ちなみに私の場合は、今のところすべて「A」クレジットで申請しています)
「A」クレジットを獲得するには、以下のような活動をします。
下記12項目の活動について、CPE 「A」 クレジットが付与されます。
1.セキュリティ関連のトレーニングコース参加
参加1時間に対して1ポイント付与。
*必要提出事項: コース名、コース提供者名、参加時間

2.セキュリティ関連展示会参加
参加1時間に対して1ポイント付与。
*必要提出事項: 展示会名、展示会提供者名、参加時間
3.セキュリティ団体の会合参加
参加1時間に対して1ポイント付与。
*必要提出事項: 団体名、参加時間
4.セキュリティ団体の役員活動
セキュリティ団体の役員活動をすることで最大40クレジットまで付与。クレジットはそれぞれの団体に対する寄与度に応じて付与が決定されます。 原則は活動参加1時間につき1ポイント付与とします。
また(ISC)2に関するボランティア、例えば役員、委員会のメンバーになったり、試験問題作成に寄与したりという活動をすることでも クレジットが付与されます。どの活動にどれだけのクレジットと付与するかは(ISC)2の役員会で決定されます。
*必要提出事項: 団体名、資格有効期間内で役員であった年数
5.政府・公共機関でのボランティア活動
政府・公共機関でのボランティア活動にもCPEクレジットが付与されます。その場合、参加1時間に対して1ポイント付与されます。
*必要提出事項: 政府・公共機関名、活動時間
6..大学院のセキュリティコース参加
参加1時間に対して1ポイント付与。合格点以上の成績で終了することが条件となります。
*必要提出事項: コース名、大学院名、参加時間
7.セキュリティベンダーとの打合せやプレゼン参加
1時間のベンダーとの打合せやプレゼン参加で1ポイント付与。
*必要提出事項: ベンダー名、参加時間
8.トレーニングコース開発
トレーニング、講義資料を作成することに対してもCPEクレジットが付与されます。 その場合は1時間のトレーニングに必要な資料を作成することに付き、4ポイントが付与されます。 ただし、実際の講義やトレーニング実施の時間はクレジット付与の対象とはなりません。
*必要提出事項: 開発コース分野名、申請クレジット数
9.セキュリティ関連記事執筆
セキュリティ関連記事の執筆も独自作成のものであればCPEクレジット対象となります。 執筆原稿については10ポイントが付与され、セキュリティ関連本の執筆については1冊に付き40ポイントが付与されます。
*必要提出事項: 記事名、本のタイトル
10.自己学習、オンライントレーニングコース完了
自己学習型またはオンライン型のトレーニングの終了によってもCPEクレジットが付与されます。 参加1時間に対して1ポイントが付与され、監査の対象となった場合には、終了したという証明、終了証明書や学位証明書などの提出が求められます。
*必要提出事項: コース名、参加時間
11.セキュリティ関連本読了
情報セキュリティ関連本の読了で年間最大5ポイント付与されます。また情報セキュリティ関連雑誌の講読で年間最大5ポイントが付与されます。
年間で本1冊、購読雑誌1誌に限定。本・雑誌に関して、実際に読了した本、購読している雑誌の下記情報を提出しなければなりません。

タイトル、著者 (本) / 出版社 (雑誌)、ISBN番号
監査になった場合、読了した本や雑誌を保有している事の証明(本自体の提出、購入時のレシート・請求書、図書館の貸出記録、雑誌購読記録など) の提出が必要となります。
*必要提出事項: 本のタイトル・雑誌名、著者・出版社、ISBN番号
12.セキュリティ本のレビュー執筆
レビューについては、(ISC)2での英語での審査が必要となるため、申請は英語のみ可能です。
ほとんどの方は、この中の1.~3.でCPEを獲得しています
特にTrusted(監査などが必要のないもの)のトレーニングコース展示会に参加するなどが多いのです。
3.の場合は、JNSAのISSJP-WGの活動などが該当します。
それから私の場合は、8.でもCPEを獲得しています。
上記以外の活動が「B」クレジットということになりますが、(ISC)2からくるレターのアンケートに答えるなどがこれに該当します。
もちろん、「B」クレジットだけでは必要なCPEは獲得できませんので、こちらは活動の中心と考えてはいけません。
あくまで「A」クレジットの対象となる活動を中心としましょう

| | コメント (0) | トラックバック (0)

2006年7月12日 (水)

CPE Credit

CPEは、その資格の知識やスキルを維持継続する、ということで重要かつ有効な制度です。CISSP以外の国際標準的資格(CISA、CISMなど)も同様の制度を持っています。

(私もそういう資格を所有していますが)「取ったら一生もの」という資格には、このような手間もありませんが、知識やスキル、ひいてはホルダーとしての価値の低下を招くこともあります。

CPEは、基本的に1時間あたり1creditという計算をします。
ですから、10時~17時、ランチ休憩1時間というようなトレーニングコースに参加すれば、CPEは6creditsということになります。

維持のために必要になるのは3年間で120credits、ということは1年あたり40creditsです。つまり、40時間以上のトレーニングコースやイベントへの参加が必要だということです。
そしてCPEを獲得するためには、時間やコストが発生することも考慮しておく必要があります。

CPE獲得に苦労されている方が多いのが現状です。
獲得をする機会がなかったり、普段からCPEを獲得できるトレーニングコースやイベントに参加するような業務や活動をしていなかったり、ということがその原因であることが多いようです。

私の場合は幸いなことに、CPEを獲得できる機会に恵まれているので(今のところ)、心配の必要がありません。今年も既に40creditsを稼いでいます。

| | コメント (0) | トラックバック (0)

2006年7月11日 (火)

ところで、CPEって何?

今更ながら、CPEについて・その1です。
CPEとは何か?

(ISC)2 JapanのHPで以下のように紹介されています。

継続教育単位(CPEクレジット:Continuing Professional Educations credits)の取得について

CISSP®ホルダーは資格継続のため、資格取得時から毎3年間で120ポイント以上のCPEクレジットを取得しなければなりません。

●「A」クレジット
「A」クレジットとは、CBK(Common Body of Knowledge)10ドメインに直接関連するものとして(ISC)2が認めるCPEクレジットを指します。(例:Trusted CPE プロバイダー・トレーニングコースへの参加など)
120ポイントのうち、少なくとも80ポイント以上の「A」クレジットが必要です。
●「B」クレジット
「B」クレジットとは、CBK(Common Body of Knowledge)10ドメインに直接関連しない(ISC)2が認めるCPEクレジットを指します。(例:(ISC)2サーベイへの協力など)
120ポイントのうち、40ポイントを上限として取得が可能です。

つまり、CISSP資格を取得したら、それを継続するために、トレーニングコースやイベントに参加しなければならず、そうすることによって、それが資格維持(スキルの維持)の活動として認められ、CPEのポイントが与えられる、ということです。
これは資格維持の必須条件で、規定の上記のポイントを確保できないと、更新できず「失効」ということになってしまいます。

そうならないように、CISSPホルダーはCPEを一生懸命取得しているいうことですね。

| | コメント (0) | トラックバック (0)

2006年7月10日 (月)

CISSP認定試験の問題は

以前にご紹介した「情報セキュリティプロフェッショナル総合教科書」によると、選択式問題のタイプは、

・タイプ1:言葉を問う問題
 解答の選択肢が「SPAM」「DES」などの単語の形で表現されるもの。その知識項目について知っているかどうかが問われる。

・タイプ2:意味を問う問題
 解答の選択肢が、文章の形で問われるもの。知識項目として正しく理解しているかが問われる。

・タイプ3:プロセスを問う問題
 問題文が比較的長く、その文中に解答を選択する条件としての状況設定や、問題内容にいたるまでのプロセスが記述され、こうした状況の下で正解を求めるもの。具体的に設定された状況の下での判断力が問われる。

という3つに分類されています。(実は、この分類を検討し決定するWGに私も参加していたのですが・・・)

そして、この3つは、タイプ1(やさしい→難しい)タイプ3、となるわけです。

ですから、CISSP認定試験のようにスケールドスコア(傾斜配点、などとも呼ばれます)の場合は、タイプ3のような問題の配点ウエイトが通常は高くなると考えていいわけです。
CISSP認定試験は、このタイプ3のような問題がかなり多く出題されます。
さらに、 「具体的に設定された状況の下」が微妙に違うと答えも変わってくる、という問題が出題されたりします。例えば、経営者、管理者、利用者という立場で答えが違ってくるよというよう問題です。
そのため、どれも正解に見えてしまったり、違うものが正解に見えてしまったりします。
「紛らわしい」とか「ひっかけ」だとか、言われることもありますが、本質を理解し状況に応じた正しい判断ができるか、ということを問うものなのです。

この話は、また別の機会にも書いてみます。

| | コメント (4) | トラックバック (2)

2006年7月 9日 (日)

「オフィスセキュリティEXPO」行ってきました

先週の「情報セキュリティEXPO」に続き、今週も東京ビッグサイトへ行ってきました。
今度は「オフィスセキュリティEXPO」です。

ふだんの仕事での「セキュリティ」とはちょいと系統が違いますが、これももちろん「情報セキュリティ」なんですね
実はけっこう楽しみにしていたんです。

CISSPの10ドメインでは、まさに「物理セキュリティ」の分野です。
入退出管理とか、防犯カメラとか、耐火金庫とか。
実際に自分でセキュリティゲートを通ってみたり、施錠開錠してみたり、シュレッダーしてみたり、金庫を開けたり、防犯カメラのアングルを変えてみたり・・・
楽しかったぁ、だけでなく、実体験をもって「物理セキュリティ」を学習してきました。

CPEはつかないけど。

| | コメント (0) | トラックバック (0)

2006年7月 8日 (土)

ブラックハット・ジャパン・2006

ブラックハット・ジャパン2006は、今年で3回目のCPE対象イベントです。

ちょっとディープなイベントですが、世界の著名人が多数講演します。(同時通訳ついてます)どっぷりとセキュリティ漬けになれます。

行きたいんだけど、スケジュールが調整つくかな、有料だから受講料どうしようかな、同時通訳のセッションに丸2日も耐えられるかな、などなどが心配なため、私は現在は態度保留中。

ブラックハット・ジャパン・2006・ブリーフィングス

東京・新宿 京王プラザホテル • 2006年10月5日(木)-6日(金)

Black Hatと財団法人インターネット協会は、2006年10月5日と6日の2日間、第3回ブラックハット・ブリーフィングス・ジャパン (Black Hat Briefings Japan) を東京にて共同で開催いたします。

アメリカ、ヨーロッパ、アジアでそれぞれ開催されるブラックハット・ブリーフィングスには、セキュリティに関する最新の開発トピックスと技術についての情報交換と議論のために、毎年世界中から総数2000人を超えるコンピューターと情報と技術のセキュリティ・エキスパートが集まります。

 東京で開催されて3年目となるブラックハット・ジャパンでは、これらのエキスパートが東京に集結し、今年の最新のセキュリティに関する知識と研究と経験を発表します。参加者にとっては、彼らと間近に接して具体的に質問できる数少ない機会です。これは、日本とアジアの参加者がセキュリティについての国際的で高度な情報交換を行うことを促進するでしょう。

| | コメント (2) | トラックバック (0)

2006年7月 7日 (金)

情報セキュリティ監査シンポジウム

2006年 情報セキュリティ監査シンポジウム in TOKYO」

今日(正確には昨日)、行われたNPO日本セキュリティ監査協会(JASA)のシンポジウムです。

このイベントは、CISSPのTrusted CPEイベントです。

本シンポジウムはCISSP Trusted CPEイベントに認定されております。全てのセッションに対し、【1セッション1ポイント】付与されます

と、いうことでしたので、最大7ポイントになるってことですね。

今回は、「保証型監査」がメインテーマですね。
う~ん、大変ですよ、奥が深いですよ、「保証(assurance)」って。(CISSPでも、しょっちゅう出てくる重要キーワードですが)
合理的保証、限定的保証、段階水準保証、画一水準保証・・・
何がなんだかわからなくなっていた方もいらっしゃったようで。(自分のことか?)

今回のシンポジウムでは、JASA広報誌「Security Eye」第4号も配布されました。

こちらの号のブックレビューとCAIS資格に関してのインタビューで、私が掲載されております。
「Security Eye」は、年3回発行、購読無料(現在のところ)ですので、ご興味のある方は申し込んで読んでみてください。


ブックレビューでは、基調講演をされた日大の堀江教授の著書「IT保証の概念フレームワーク -ITリスクからのアプローチ-」について書かせていただいております。

この書籍を読んでブックレビューを書きましたで、「保証」についてはそれなりに知識がつきました。でもまだまだ奥が深い(「保証」も、「情報セキュリティ」も)です・・・

| | コメント (0) | トラックバック (0)

2006年7月 6日 (木)

CISSP情報源 第2版

CISSP 情報源 第2版

CISSPホルダーのBLUE PILLさんのブログです。

CISSPって何?から始まって、学習や認定試験の体験談、関連サイトのリンク集など、各種情報がよくまとめられています。

(私も何度か拝見しているブログです。ちなみにCISSP以外の記事のほうが多いのですが)

ご参考までに、一度訪問してみてください。

| | コメント (0) | トラックバック (0)

2006年7月 4日 (火)

CISSPと知り合う方法を考える

現在、世界には約42,000名のCISSPホルダーがいて、そのうち日本には約550名。さて、ホルダーどうしで知り合って情報交換したいと思ったら、何がいいでしょうか。私が利用しているネットのサイトやSNSで考えてみました。

mixiのコミュ:84名

GREEのコミュ:8名(2006年、投稿なし)

Yahoo!グループ:25名(2006年、投稿なし)

Yahoo!のブログ検索:4件

で、この中にはすべて私が含まれていますので、数は-1で考えなくてはなりません。

そうしてみると・・・

う~ん、有力な方法はないなぁ。(mixiが一番良さそうですが・・・)

ということもあり、しばらくはこのブログでCISSPホルダーやCISSPを目指す方と交流をしたいなぁ、と思っております。みなさん、お気軽にコメントやトラックバックしてくださいね。

| | コメント (2) | トラックバック (0)

2006年7月 3日 (月)

ラベルピンバッジ

CISSPでは日本の資格制度などでは、馴染みもなく想像もできないような制度やグッズがあります。

(ISC)2 STORE
で、様々なグッズを購入することができます。

今回ご紹介するのはCISSP lapel pin、価格は8ドルです。(通販番組みたい・・・)
ただし、CISSPの認定時に認定証といっしょに、このラベルピンバッジの無料チケットが同封されてきますので、それを利用すれば送料のみの負担で手に入れることができます。

Lapelpin

私ももちろん、このバッジを持っていて、いざというときは着用しています。
このピンバッジをつけている人を見かけたら、CISSPホルダーです。
(でも特にCISSPをご存知ない方には、その人の所属する会社の社員バッジにしか見えてないような気がします)

一部では、「セキュリティ業界の金バッジ」と呼んでおります。

| | コメント (0) | トラックバック (0)

2006年7月 1日 (土)

「ハイテク犯罪捜査入門 捜査実務編」

4809011194_01__ou09_pe0_scmzzzzzzz__1 「ハッカー検事」として、有名な大橋検事の著書です。CISSPとしては「法・捜査・倫理」の実務的な知識や能力を磨くのに有でしょうか。とくに、捜査、フォレンジックスというところですね。

昨日(6/30)の「情報セキュリティEXPO」では基調講演で大橋氏のセッションがあり、私も聴講してきました。かなり毒気があって面白かったですよ。

「ハイテク犯罪捜査入門 捜査実務編」

内容(「BOOK」データベースより)
好評の“ハッカー検事シリーズ”第2弾。初動から採証、送致まで、更に充実の初級+α講座。

内容(「MARC」データベースより)
ハイテク犯罪の捜査に関する基本的な知識や特有の事項、捜査手法、証拠化や立証方法などについて、分かりやすく具体的に説明する。『捜査研究』の連載16回分を単行本化。

| | コメント (0) | トラックバック (0)

« 2006年6月 | トップページ | 2006年8月 »