« 2006年7月 | トップページ | 2006年9月 »

2006年8月の記事

2006年8月30日 (水)

さて、何で資格取るの?

(前回の続きで今までのキャリアの話をすると)仕事でセキュリティを担当していたら、周りから「おまえはかなり詳しい」とか「営業出身だからしゃべりが達者だ」とか言われ、いつの間にか講師の道へとズルズル・・・。さらには、資格制度の創設や運用、試験問題の作成と、さらにズルズル・・・。
という私のセキュリティ資格についての考えを書いてみます。

よく受ける質問として
「何の資格を取ったらいいでしょう?」(資格の関連のない講習の時)
「この資格は役に立ちますか?」「他にはどの資格を取ればいいでしょう?」(資格試験対策系の講習の時)

などがあります。

そこで私がなぜ資格を取ったか思い返してみると
・上司などからの業務指示(戦略上、あなたが取って内容を確認し、その業務または資格を推進しなさい)
・業務上の必要(ある製品のサポートをすることになったから)
・その資格の講師をするため(いくらなんでも資格持ってない人が教えちゃダメでしょ)

でしょうか。

ということで自慢になるか否かは置いておいて、必要のない資格取得はしていないんですね。

という自分の経験もあり、上記のような質問をされた際には必ず「その資格はあなたに必要ですか」とか「どんなスキルを身につけたいのか、またそれを実証する必要はありますか」「取ったら、どう使うつもりですか」などと聞き返しています。

つまり「必要のない資格は、いらないんじゃないの?」ということです。
私の場合、少なくとも必要がないと思ったら、それだけでかなりモチベーションが低下します

| | コメント (0) | トラックバック (0)

2006年8月29日 (火)

私のキャリア

(ごく稀に聞かれることがありますので)私の今までのキャリアをざっと振り返ってみます

ITの営業→IT製品の調達業務→セキュリティ製品のマーケティング・事業戦略→セキュリティ製品の営業支援→セキュリティ製品の技術支援→セキュリティコンサルタント→セキュリティ講師・・・

で、現在はプロフィールの通り、となりました。

ちなみに、高校は普通科、大学の専攻は、経営分析における意思決定・・・

ところが、どうしてもIT業界にいると「理系出身」と見られることが多いようです。

「やっぱり、Haseさんも工学部出身ですか?」なんて感じで、聞かれます。
「やっぱり」とか「も」って、ところがポイントですな。
「いいえ、違うんです」と答えると「意外ですね、じゃぁ、化学?物理?。まさか建築とか・・・」という具合。どうしても「文系」にたどり着いてくれないこともあります。

こんな話をするたびに、驚かれることも多いですし、「やはり、自分のような経歴は、あまりないキャリアパスなんだな」と実感します。(ということで私の例は参考になりませんね、「キャリアパスは多様化してる」ってことです)

| | コメント (0) | トラックバック (0)

2006年8月28日 (月)

「インターネットフォレンジック」

最近はフォレンジックものばかりで、すいません。
先週購入しましたフォレンジックス関連の書籍です。4873112974_01__ss500_sclzzzzzzz_v6252826

以前ご紹介した「コンピュータフォレンジックス入門」よりは、多少理論的・概念的といった感じがしました。とにかくフォレンジックス関連の書籍は少ないので、ご興味のある方はぜひ読んでください。(これでフォレンジックス関連は紹介しつくしたような気がします・・・)

「インターネットフォレンジック―ネット犯罪を解決する電子証拠の収集と分析」
商品の説明

内容(「BOOK」データベースより)
インターネットフォレンジックとは、インターネットという犯罪現場に隠されている手がかりを見つけ出すための手法のことです。現在のインターネットは、悪質なウィルス、スパムメール、クレジットカード番号を騙し盗ろうとするフィッシングサイトであふれています。しかしどんなスパムやWebページにも、発信者に関する情報を突き止めるためのいろいろな手がかりが含まれているのです。本書では、インターネットの中核となる技術、電子メール、Webページ、Webサーバー、ブラウザについてまとめ、悪用方法、残された状況から証拠を収集し、犯人を割り出していく分析方法を豊富なサンプルとともに解説します。ケーススタディとしてフィッシング詐欺、スパムネットワークを取り上げ、実社会で使える事例を解説。またこの分野で議論されている倫理的、法的問題についてもあわせて扱います。ネットワークでの犯罪の解明する「ネットワーク捜査官」になるための必携実践ガイドです。

内容(「MARC」データベースより)
インターネットの中核となる技術、電子メール、Webページ、Webサ-バー、ブラウザについてまとめ、悪用方法、残された状況から証拠を収集し、犯人を割り出していく分析方法を豊富なサンプルとともに解説。

| | コメント (2) | トラックバック (0)

2006年8月25日 (金)

CISSP認定試験対策~何を理解すべきか

以前の記事にもそれっぽいことを書きましたが)単に「知識」だけでは難易度の高い認定試験はパスできません。「知識」以上ということで「理解」や「応用」までの段階の能力が必要ってことになります。(もしかすると「分析」の段階までの能力が必要か・・・)

(ISC)2 Japanのサイト(「(ISC)2認定CISSP®資格とは」)にも、以下のような記述があります。

試験に合格するには、専門技術や概念の知識は勿論のこと、各々のドメインを超えた繋がりや様々な状況判断、環境などを体系だて、ベストプラクティスを見極める能力が必要となります。

「知識は勿論のこと」って書いてありますから、やはり「理解」や「応用」くらいの能力が認定試験で要求されるということですね。

これは重要な文だと思います。10ドメインを学習する際には、上記の記述をぜひぜひご念頭に。

(「じゃあ、そういう能力はどう磨くの?」は近いうちに書きますね)

| | コメント (0) | トラックバック (0)

2006年8月24日 (木)

IT資格の難易度

本日は某掲示板サイトにあった「IT資格の難易度(偏差値)」より。何を基準にこうなっているのかは不明ですが、CISSPが上位(もちろん、難しいほうの)にランクインしています。

その他、セキュリティ関連資格をチェック(赤字)しておきます。(参考になるかどうかはさておき、とりあえず・・・)

65:システムアナリスト
64:技術士(情報工学)、CISSP
63:システム監査技術者、CCIE
62:プロジェクトマネージャ
61:システム管理、上級シスアド、SJC-EA
60:アプリケーションエンジニア
59:テクニカルエンジニア(ネットワーク、セキュリティ、データベース、エンベデッド)
58:RHCE、SJC-D、Oracle Platinum
57:MCDBA、MCSE2003、.Com Master☆☆☆
56:CCNP、MCSD、RHCT
55:情報セキュアド、ソフ開、MCSE
54:PMP、MCAD、日商PC1級
53:XML Professional、UML-advanced、UMTP-L2、VBAエキスパートプロフェッショナル
52:CCDA、SCNA
51:J検1級、MCSA2003 、Oracle Gold(旧Platinum)、LPIC Level2
50:基本情報技術者、SJC-WC、SJC-BC、SJC-WS、SJC-MA、MCDST、P検1級、UML-intermediate
49:CCNA、Oracle Silver(旧Gold)、SJC-P、P検準1級、MCP、Security+、.Com Master☆☆
48:Oracle Silver Fellow(旧Silver)、SCSA、UMTP-L1、MCAMaster、Network+
47:初級シスアド、LPIC Level1、Linux+
46:XML Basic、SJC-A、UML-fundamental 、
45:J検2級 、日商PC2級、MCA、MOT、A+
44:P検2級、.Com Master☆
43:
42:J検準2級
41:VBAエキスパートスタンダード 、MOSマスター、P検準2級
40:日商PC3級、IC3
39:MOS上級、MOS一般(Access)
38:MOS一般(Access以外)

| | コメント (0) | トラックバック (2)

2006年8月23日 (水)

7 Types of Hard CISSP Exam Questions

今月の認定試験は、次の日曜日(8/27)ですね。直前ですが、それに間に合うように認定試験のアドバイスとなりそうな情報を。今後、受験の方もぜひ参考にしてください。

(明日のCISSPレビューセミナーも、私が講師だったりしますが・・・)

"7 Types of Hard CISSP Exam Questions and How To Approach Them"
 www.globalknowledge.com より

こちらのページも、ぜひご参照ください。

ここでは、CISSP認定試験は7つのタイプに分類される、とのこと。その分類と私なりの訳・解釈、例題と答えを入れておきます。

1.1 Detailed Knowledge Questions
-Description(特徴の説明) 
技術や主要原則での詳細な知識を要求する問題。広く深い知識がなければ解答できない。

-Example Question/Ansewer(例題と答え)
Q.At what level of the OSI model can a packet be corrected on the bit level?
 a) Level2
 b) Level3
 c) Level4
 d) Level5

A.a)Level2

 
1.2 Subset Questions
-Description(特徴の説明) 
少なくとも2つ以上の正しい選択肢がある。ただし、そのうちの1つが他よりもより正しいものである。
問題文の内容に対し、最も適切な選択肢を見つけなければならない。

-Example Question/Ansewer(例題と答え)
Q.An attack that involves an attacker creates a misleading context in order to trick a user into making an inappropriate security-relevant decision is know as:
 a) Spoofing attack
 b) Surveillance attack
 c) Social engineering attack
 d) Man-in-the-middle attack

A.c) Social engineering attack

1.3 Too Much Information Questions
-Description(特徴の説明)
必要以上の情報が与えられる(ので、必然的に長文)問題。その中から解答に必要な情報を取捨選択し、解答を導かなければならない。

 
-Example Question/Ansewer(例題と答え)
Q.When performing a risk assessment you have developed the following values for a specific threat/risk pair.Asset value = 100K, exposure factor = 35%; Annual rate of occurrence is 5 times per year; the cost of a recommended safeguard is $5000 per year, which will reduce the annual loss expectancy in half. What is the SLE?
a) $175,000
b) $35,000
c) $82,500
d) $77,500

A.b) $35,000

1.4 Application Questions
-Description(特徴の説明)
応用知識問題。概念、定義、セキュリティの技術・メカニズムを十分に理解しておく必要がある。さらにそれだけではなく、その知識を応用できなければならない。
判断を必要とし、どれが正解かの決断が困難な問題。 

-Example Question/Ansewer(例題と答え)
Q. The primary entry to a secured area has implemented a proximity card reader for entry into the main entry during working hours and a PIN code required in addition to the proximity card for access to the main entry
after hours. What type of access control is most appropriate for the secondary entry?
a) Proximity card / PIN code
b) Cipher lock
c) Motion-sensor activated entry lock
d) Deadbolt latch on inside

A. d) Deadbolt latch on inside

1.5 Technical Definition Questions
-Description(特徴の説明) 
技術的な定義の問題。情報セキュリティ対策の手段やメカニズムを正確に理解していなければ解答できない。

-Example Question/Ansewer(例題と答え)
Q. The task that includes the examination of threat sources against system vulnerabilities to determine the threats for a particular system in a particular operational environment is called:
a) Risk evaluation
b) Penetration testing
c) Threat analysis
d) Vulnerability assessment

A. c) Threat analysis

1.6 Poorly Worded Questions
-Description(特徴の説明) 
わかりにくい言葉(婉曲的な言い回し、2重否定など)を使った問題で、その意味を解釈し解答しなければならない。

1.7 Graphically-Challenged Questions
-Description(特徴の説明) 
CISSP認定試験では、視覚的な表現(図や表など)は使われない。本来は、視覚的な表現(図や表など)によって示されるものを、文章で表現している問題。その文章から視覚的な表現に変換し、解釈をしなければ解答が困難な問題。

-Example Question/Ansewer(例題と答え)
Q. The addressing mode in which an instruction references a memory location that contains the address of the data value is referred to as:
a) Immediate addressing
b) Direct addressing
c) Indirect addressing
d) Relative addressing

A. c) Indirect addressing

以上、参考になりましたでしょうか。特に問題文はよく読みましょう、正しく解釈をできないと解答に結びつかないという分類の問題が多いことにご留意を。

では日曜日受験の方、Good Luck!

| | コメント (0) | トラックバック (0)

2006年8月22日 (火)

学習のプロセス

前回の続きで、今回もどう学習するかを考えてみます。
実は出展は忘れてしまったのですが、やはりある教育の研究者の論文で「学習のプロセス」なるものがありました。
それをもとに私なりに若干カスタマイズして、よく使っているメソッドがあります。(社内外の研修などでよく使っています)
①「知識」のインプット
②「知識」の「体験」
③(自分及び他人の)「体験」の「観察」
④「観察」した内容の「具体化・一般化」
⑤「具体化・一般化」内容の「応用」
というものです。
具体的な学習方法としては、
①が知識教育(書籍・資料・研修等)、②と③が実習教育(ケーススタディ・ロールプレイ等)、④が実務教育(OJT、リハーサル等)、⑤が実践(実業務)
というような感じです。
このようなプロセスで考えても、ほとんどの教育や研修では①「知識」のインプットで終わってしまっていると思います。
前回と同じ結論になりますが、「わかる」と「できる」は違います。(そして、さらに前回書いたような次の段階があります)
私は常に、そう肝に銘じております。

| | コメント (0) | トラックバック (0)

2006年8月21日 (月)

「思考力」の6段階

今回は「プロフェッショナル」として、どう学習するかを考えてみます。
この6段階は、1956年にベンジャミン・ブルームというアメリカの研究者が「教育のねらいの分類」という論文で示したものだそうです。発表以来50年がたっていますが、欧米の教育者の間では「思考力」を扱う際の尺度として、今でも使われているそうです。
 ①知識-暗記力(事実や言葉ややり方や分類方法などを知っている)
 ②理解-内容を解釈したり、言い換えたり、説明したり、推し量ったりする能力
 ③応用-知識を1つの状況から別の状況に移すことができる能力
 ④分析-全体の中の部分を見つけたり、区別したりできる能力
 ⑤統合-部分を組み合わせて統一された全体を作り出せる能力
 ⑥評価-基準を使って情報の価値や使い道を判断できる能力
上から順番に、低い能力→高い能力、ということになります。 
この6分類は、私個人の考え方とかなり近い(正確には、それよりももっときめ細かい)ので、今後の自分の学習や講師業務に応用しようと考えております。
(特に日本の場合は)ほとんどの教育や研修では、①知識~②理解、までの段階で終わっているようです
これは教育や研修をする側が、「そこまでで十分」という思い込みがあったり、そのような教育や研修が必要とわかっていても提供できない、ということでの問題のことが多いと思います。
「わかる」と「できる」は違います。さらに「できる」と「結果を出せる」も違います
「プロフェッショナル」としては、③以上の「思考力」を持っていることが必要絶対条件ですね。
そして、上記の「結果を出せる」から、さらに「高いパフォーマンスで結果を出せる」で、広く認められて初めて「プロフェッショナル」なんだと私は考えています。
また、CISSP認定試験でも、そのような「思考力」を確認するために、あのような出題形式なのだということでしょう。

| | コメント (0) | トラックバック (0)

2006年8月18日 (金)

CBKの5つのセクション

JNSAのISSJP-WGに参加している関係で、最近CISSPのCBKについてその定義を調べました。

CISSPの10ドメインは1989年に開発されました。その後何度か見直され、1999年にはCBKの各分野をさらに5つのセクションに分けました

情報保護の要件
 セキュリティ要件とその典拠について、情報セキュリティ専門家が知っておくべき内容

情報保護の環境
 セキュリティ要件を満たすことが求められている環境を構成する情報技術、ネットワーク、システム、アプリケーションについて、情報セキュリティ専門家が知っておくべき内容

セキュリティの技術と手段
 セキュリティ要件を満たすための技術、メカニズム、手段について、情報セキュリティ専門家が知っておくべき内容

保証、信用、信頼をもたらすメカニズム
 セキュリティ対策の信頼性を高め、意図したとおりに機能させるために必要なメカニズムについて、情報セキュリティ専門家が知っておくべき内容

情報保護業務と情報管理業務
 情報セキュリティ管理者または経営陣が直結するビジネス機能およびビジネスサービスについての内容

と、なっています。
これが「CISSP認定試験公式ガイドブック」にも、ちゃんと書かれています。

CISSPホルダーでも、意外とご存じない方も多いのです。
皆さんは、ご存知でしたか?

でも、「法」とか「倫理」「政策・制度」って、「セキュリティの技術と手段」「保証、信用、信頼をもたらすメカニズム」「情報保護業務と情報管理業務」って、何でしょうか

って、ISSJP-WGで、最近悩んでおります・・・

| | コメント (0) | トラックバック (0)

2006年8月17日 (木)

「コンピュータフォレンジックス入門」

コンピュータフォレンジックスの実践的なことが書かれた書籍というのは、なかなかありません。この技術は、「コンピュータ法科学捜査のため」ということですが、決して警察や検察などのためだけではなく、監査(検査・診断)やセキュリティ運用者(不正アクセス等の監視、インシデントレスポンス)にも必要なスキルです。
4861001854_01__ss500_sclzzzzzzz_v1135137_1

で、やっと探しあてたのがこの本でした。
¥6,825(税込み)と価格は高いのですが、どうしてもこのジャンルの書籍が欲しかった(一応自分もCISSP、公認情報セキュリティ主任監査人だし・・・)ので今年の初めに購入しました。

この本はフォレンジック技術者のトレーニング用らしく、各セクションの最後に演習問題などもあり理解度も確認できます。

米国では、IACISというNPO認定の「CFCE」(Certified Forensic Computer Examiner;公認フォレンジックコンピュータ調査官)という資格試験もあるそうです。2~3年後くらいは日本にも上陸するのかな?(他にもフォレンジック関連の資格はいくつかあります)

「コンピュータフォレンジックス入門 - 不正アクセス、情報漏洩に対する調査と分析」
<目次>
 職業としてのコンピュータフォレンジックスとコンピュータ捜査
 コンピュータ捜査の理解
 WindowsとDOSシステムの使用
 MacintoshとLinuxの起動処理とディスク構造
 調査員のオフィスとラボ
 コンピュータ・フォレンジックス・ツール
 電子的な証拠の扱い
 犯罪現場および事故現場の処理
 データの獲得
 コンピュータフォレンジックス解析
 電子メールの調査
 画像ファイルの復元
 専門家証人になる

このジャンルの書籍は他にも捜索中です。
何かいいものを見つけたら、またここに書いてみます。

| | コメント (0) | トラックバック (0)

2006年8月16日 (水)

CISMとCISSPを比べてみよう(3)

前回は尻切れっぽかったので、さらに続きを。
CISSPとCISM/CISAのCPE対象はかなり共通していますが、違いとしては

年間20CPEが必要。(毎年です、3年で120CPEというのは同じ)
関連分野における専門資格試験の合格(つまり、CISSP合格なら6CPE)
A/Bクレジットなどという区別がない

というところでしょうか。

また、CISM/CISAを運営するNPOのISACAでは、「月例会」という自主開催的勉強会イベントが実施されており、CISM/CISAホルダーは、これに参加することによりCPEを獲得できるようになっています。(ちなみにCISM/CISAホルダー以外も参加できます)
このような会合は、CISSPでも欲しい気がしますね。

| | コメント (0) | トラックバック (0)

2006年8月14日 (月)

CISMとCISSPを比べてみよう(2)

CISM(CISAも同様)のCPEについて。

CPEの必要クレジットは、年間20CPE時間、かつ、3年間で120時間以上となっています。

ISACAによる専門教育活動や会議
ISACA主催の会議、セミナー、ワークショップ、プログラム、集会、その他の関連活動がこれに該当します。

ISACA以外の団体による専門教育活動や会議
ISACAが主催しない活動がこれに該当し、企業内訓練、大学の講義、会議、セミナー、ワークショップ、 専門家会議、その他の関連活動などが含まれます。

自主学習コース
CPE時間を申告できるよう設計された自己学習コースがこれに該当します。 コース主催者が取得CPE時間を記載した修了証などの証書を発行する場合に限り、有効となります。

ベンダによるセールス/マーケティングプレゼンテーション
ベンダの製品やシステムに限定されたセールスプレゼンテーションがこれに該当します。 

教授/講義/プレゼンテーション/認可を受けた大学研究
専門教育のプレゼンテーションに関する開発及び発表がこの活動に該当します。

記事、論文、書籍の執筆
情報セキュリティマネジメントに直接関連する著作物(ハードコピー又はオンライン)の 出版又は評論などがこれに該当します。

CISM試験問題の作成とレビュー
CISM試験又は学習参考書の作成又はレビューの活動がこれに該当します。

関連分野における専門資格試験の合格
これは、他の専門試験の合格を目指した活動です。合格した場合、試験時間1時間につき1時間、CPEの時間数を獲得できます。

専門家集会への参加
情報セキュリティ専門家による評議会、委員会又はタスクフォースへの参加が、これに該当します。 実際の活動時間に応じて、CPE時間が与えられます。 

情報セキュリティ分野への貢献
ISACA及び他の団体における情報セキュリティの専門分野での貢献 (例えば、研究開発、CISM認定レビューマニュアルの作成、K-Netでの製作)がこれに該当します。

「CISM」「ISACA」と限定されていないものは、対象とされる活動が類似していますからCISSPと同時に取得できそうですね。

| | コメント (0) | トラックバック (0)

2006年8月13日 (日)

たまには、違うこと書いてみよう

たまには仕事以外のこと書いてみます。(開設およそ3ヶ月にしてようやく・・・)

今週の週末ですが、土曜は先月オープンしたばかりのこども向け遊戯施設「ピアレッテ」に行って、午前中たっぷり遊んで「玉川高島屋SC」でランチしてぶらぶら。

日曜は「こどもの城」行って、「東急百貨店東横店」8Fのちびっこ遊園地へ。

ということで、いつも週末は娘(3歳)とべったり遊んでいます。これが普段の私の週末です。これが趣味であり、生きがいであり、仕事の活力にもなっていますね。

あ~ぁ、疲れた・・・

こどもと遊ぶのは体力要ります。最近の運動不足を痛感します。

娘は先に寝てしまいました。おやすみ・・・

| | コメント (0) | トラックバック (0)

2006年8月11日 (金)

CISMとCISSPを比べてみよう(1)

12月9日にCISMの認定試験が実施されます。去る8月4日にISACA東京支部主催で説明会が開催されました。「認定試験案内」もwebにアップされていました。

せっかくなので、CISSPと試験範囲(CBK)と試験方式を比較してみましょう

まずは、試験範囲。

CISM試験ドメイン(領域)概要

CISM試験の領域並びに出題される割合は以下の通りです。

  1. ドメイン1:情報セキュリティ・ガバナンス(21%)
    Information Security Governance
  2. ドメイン2:リスク・マネージメント(21%)
    Risk Management
  3. ドメイン3:情報セキュリティ・プログラム・マネージメント(21%)
    Information Security Program(me) Management
  4. ドメイン4:情報セキュリティ・マネージメント(24%)
    Information Security Management
  5. ドメイン5:レスポンス・マネージメント(13%)
    Response Management

が、CISMの試験範囲。テクニカルよりマネジメントの領域が広いのです。割合も示されているのが特徴でしょうか。(この割合はドメインが改訂されると変わります)

では、次に認定試験の内容

・問題は、実践的な知識と経験を確認するように設計しています。

・CISA(公認情報システム監査人)と同じ試験実施スキームで行われます。

・連続4時間の中で、200問を解く必要があります。

・問題は多枝(4枝)選択で、一つの最適解となるよう設計しています。

・スケールドスコアーで75点以上が合格となります。

が、CISMの試験方式。問題数はCISSPより少ない(実は数年前までは同じ250問でした)のですが、合格が75%以上でこちらはCISSPより高い設定。

ちなみに、CISMは合格者も(不合格者も)スコアがわかるようになっています。

ご興味と必要のある方は、ぜひチャレンジを。

えっ、私は受けるのか、って??

聞かないでください・・・

| | コメント (0) | トラックバック (0)

2006年8月10日 (木)

プロフェッショナル的「後進の育成」

前回の記事にあった「後進の育成」(誤変換しちゃいましたが・・・)について、取り上げて考えてみます。

P・F・ドラッカーさんの「プロフェッショナルの条件―いかに成果をあげ、成長するか」 でも、「後進の育成」はまさに「プロフェッショナルの条件」であると書かれています。
やはり、「プロフェッショナル」たるものは、この書のサブタイトルの通り、「いかに成果をあげ」更に継続的に「成長するか」が重要なのだ、と常々肝に銘じています。
その「成果」は業務での「成果物」には限らないと思います。つまり「成果」は「物」に限らない、ということ。(私は「成果物」という言い方が好きではありません)
私は、「後進の育成」というのは「物」以上の「成果」だと思っています。

そして「後進の育成」は自らも「成長すること」につながっていると、講師業務などで実感しています。そうして、少しでも「プロフェッショナル」に近づきたい、と考えています。

| | コメント (0) | トラックバック (0)

2006年8月 8日 (火)

ITSSの「プロフェッショナル貢献」とCPE

IPA ITスキル標準センターのプロフェッショナルコミュニティ - ITスペシャリストコミュニティの「ITスキル標準改善提案報告書」では、「ITスペシャリストの達成度指標」 専門分野:セキュリティの中で、このような定義がされています。(ここでも「スペシャリスト」と「プロフェッショナル」が、ごちゃごちゃ)

【プロフェッショナル貢献】

●以下のセキュリティ領域のいずれかについて他を指導することができる高度な専門性を保有し、業界をリードできる

 □WEBアプリケーション

 □データセキュリティ

 □ネットワークセキュリティ

 □セキュリティ管理ツール

セキュリティの技術的な問題に関して業界に貢献する

技術の継承に対して、次の5項目以上の実績を有する

 □学会、委員会等プロフェッショナルコミュニティ活動

 □著書

 □社外論文掲載

 □社内論文掲載

 □社外講師

 □社内講師

 □特許出願

●後進の育成(メンタリング、コーチング等)

ITSS(ここの定義の内容や実効性は、また別途検討するとして)を人材育成におけるスキルモデルとしているような組織に所属しているのなら、理解も得られやすいでしょうしこのような活動を支援してくれるでしょう(というよりすべきですよね)。つまり、このような内容でCPEを取得できるなら、業務も様々な活動もしやすいということになるはずですね。(実際にこれを使っている組織も多いですし)

次回以降で、これをモデルに「プロフェッショナル貢献」とされる活動とCPE取得をどう結びつけるのか、そうした視点で、私なりに詳細に中身を検討していきます。

| | コメント (2) | トラックバック (0)

2006年8月 7日 (月)

「プロフェッショナル」とは?(CISSP的にはどうなの?)

以下の私のもう1つのブログから、自ら引用します。

「スペシャリスト? プロフェッショナル?」

「スペシャリスト? プロフェッショナル? その2」

ということで、「スペシャリスト」と「プロフェッショナル」の違いを考えておりました。私なりに、その違いをこの記事に書いてみたのですが、「そういえば、最近どこかで関連する話を聞いたぞ」と思い出してみたら、7/28(金)の「情報セキュリティ人材育成セミナー」、(ISC)2 Institute Exective Vice Presidentであるマーク・トンプソンさん(この日、名刺交換と数分立ち話をさせていただきました!)の「情報セキュリティプロフェッショナルの条件とは」という講演で、以下のような話がありました。
 

Professional on IT Security

5 stages of IT Security

DesignBuild/ImplementationManagement/ControlMaintenanceUsage

Professional:To plan and manage all five stages

Specialist:To implement any one of five stages with specific skill to do that

これを見ると、CISSP的には「スペシャリスト? プロフェッショナル? その2」の記事のような理解(「スペシャリスト」はより特定された領域で抜群の能力を持つもの・・・)でいいような気がしますね。

この件は、もうちょっと調べたり考えたりして、また(どっちかのブログ、または両方で)書きます。

| | コメント (1) | トラックバック (0)

2006年8月 4日 (金)

ブログを続けるモチベーション

このブログをご覧いただいている皆様、ありがとうございます。

最近2~3週間は特にアクセスが増えました。おかげさまで最近はコンスタントに平日は100アクセスを超えています。先に始めたブログの4~5倍です。

もとはインプットされた自分自身の知識や情報を整理しながら、ブログという場でアウトプット能力を磨き、さらに楽しみたい、というのが動機でした。

このように予想以上にいろいろな方にご覧いただき、そして何らかの形でお役に立っている、そう思うとこのブログを続けるモチベーションもあがります。そういうこともあり、こちらのブログのほうが更新頻度が高くなっています。

これからもできる限り、有益な情報をご提供できるようがんばって更新します。

さて、今日もこれからレビューセミナー講師をしてきます。(「物理セキュリティ」「事業継続計画」「法・捜査・倫理」です)1人でも多く合格していただけるよう、がんばってきます。

※ 実は「(あちらのブログの更新をやめて)こちらのブログをメインにして、一本化しようか」と考えている今日この頃です。2つ書いていることに、やや疲れてきました・・・

| | コメント (1) | トラックバック (0)

2006年8月 3日 (木)

お詫びと訂正

過去の記事(7/12と7/13)に誤った内容がありました。取り急ぎ訂正するとともに、お詫び申し上げます。また、ご指摘いただきました方々には、厚く御礼申し上げます。

●7/12の記事より、

(誤)認定試験の監督業務は「B」クレジット

(正)認定試験の監督業務は「A」クレジット、です

●7/13の記事より

(誤)CPEは1年間で最低20クレジット以上が必要

(正)1年間に最低限必要なクレジットの条件はありません

これは、他の資格制度(CISA/CISM)における条件を誤って書いてしまいました。

今後はできるかぎり正確な情報をお伝えできるようにいたします。これに懲りることなく、引き続きよろしくお願いいたします。

| | コメント (0) | トラックバック (0)

CISSPの学習を始める前に その2

米国の(ISC)2のサイトには「セルフアセスメントテスト」というページ(有料サービスです)があります。

現在の自分自身の知識がどれくらいあるかの自己診断ができます。ただ、現在のところは英語での提供のみです。英語に堪能な方は、こちらのページを学習を始める前や認定試験前に利用することにより、自分の得意ドメイン、不得意ドメインを把握することができます。(CISSP認定取得後の知識維持、という使い方もあるでしょう)

日本語での提供も計画されており、年内には利用が可能になる予定、とのこと。

これから取得を予定されている方には朗報ですね。

| | コメント (0) | トラックバック (0)

2006年8月 2日 (水)

コンセントレーション

今日はコンセントレーションについてです。

CISSPホルダーは、更に「コンセントレーション」と呼ばれる情報セキュリティに関する3種類の上位資格を得ることができます。
ISSEP、ISSAP、ISSMPの3種で、現在のところ認定試験は英語のみ提供されています。

コンセントレーションは、大学でいう「専門課程」に当たるもので、この取得には、CISSPのCBK10分野に加えて、さらに深い知識を必要とされます。また、コンセントレーションに含まれる資格試験を受験するためには、CISSP取得者であることに加え、(ISC)2の「優良会員」であるという条件を満たすことが要求されています。

ISSJPは、日本におけるCISSPのコンセントレーションにあたります

※ここでの「優良会員」とは、「(ISC)2の定める倫理規定に則っている者」、「年会費を支払っている者」、「資格有効期限中、CPEプログラムにおいて一定の成績を収めている者」、と定義されています。

1.ISSEP(Information Systems Security Engineering Professional)
●対象者:民間及び行政部門における情報セキュリティ・エンジニアリング専門家
●ドメイン(CBK):
・システム・セキュリティ・エンジニアリング(Systems Security Engineering)
・認証及び認定(Certification and Accreditation)
・テクニカル・マネジメント(Technical Management)
・米国政府情報保証(U.S. Government Information Assurance Regulations)

ISSEPは、(ISC)2とU.S. National Security Agency(NSA)の情報保証局(Information Assurance Directorate=NSA/IAD)との合意の下、2003年2月に発表された特別プログラムで、NSA職員として、あるいは外部コントラクタとして同省のために仕事をしたいと望む情報セキュリティ・プロフェッショナル向けの資格として設立されました。現在ではNSAだけではなく、米国連邦政府におけるセキュリティ関連職従事者及びコントラクタの必須資格としても認定されています。
認定者は、250名うち日本は1名(2006年6月1日現在)。

2.ISSAP(Information Systems Security Architecture Professional)

●対象者:情報セキュリティ・アーキテクチャ専門家
●ドメイン(CBK):
・アクセスコントロール・システムと方法論(Access Control Systems and Methodology)
・テレコミュニケーション及びネットワーク・セキュリティ(Telecommunications and Network Security)
・暗号学(Cryptography)
・要求分析、セキュリティ・スタンダード、ガイドライン及び基準(Requirements Analysis and Security Standards, Guidelines, Criteria)
・BCP及びDRP(障害修復計画)に関連した技術(Technology Related Business Continuity Planning (BCP) and Disaster Recovery Planning (DRP))
・物理セキュリティのインテグレーション(Physical Security Integration)

認定者は、749名うち日本は3名(2006年6月1日現在)。

3.ISSMP(Information Systems Security Management Professional )

●対象者:情報セキュリティ・マネジメント専門家
●ドメイン(CBK):
・企業セキュリティ・マネジメント(Enterprise Security Management Practices)
・全社的システム開発セキュリティ(Enterprise-Wide System Development Security)
・オペレーション・セキュリティ遵守監督(Overseeing Compliance of Operations Security)
・BCP、DRP、COOP(管理計画の継続) の理解(Understanding Business Continuity Planning (BCP), Disaster Recovery Planning (DRP) and Continuity of Operations Planning (COOP))
・法、調査、科学捜査及び倫理(Law, Investigations, Forensics and Ethics)

認定者は、630名うち日本は3名(2006年6月1日現在)。

| | コメント (0) | トラックバック (0)

« 2006年7月 | トップページ | 2006年9月 »