9月に日本での第1回試験が行われたSSCPの認定試験の結果の通知が、10月30日(日本時間)に送られてきたようです。
(私のところにも、何名かの方々からご報告をいただきました)
これで、SSCPホルダーが日本で誕生したということになります。
新しい(ISC)2ホルダーの仲間が増えて、とてもうれしいです。
そして、9月のSSCPレビューセミナー講師として、ホッとしました。
新しいホルダーの皆さん、ぜひ資格を使って、使って、使いまくってください。
(名刺に書くだけじゃ、使ったことになりませんよ)
ということで、(その使いまくる方法の1つである)リアルおよびバーチャルなコミュニティに、ぜひご参加ください。
そこで、ぜひお目にかかりたいと思っておりますので。
| 固定リンク | コメント (0) | トラックバック (0)
昨日は、情報処理技術者試験の平成21年度秋期試験でしたね。
私は受験しておりませんが、さっそく問題が公開されております。
後ほど、見てみます。
さっと見た感じでは「いつも通り」というところでしょうか。
ところで、情報セキュリティは年2回になったので、秋にも試験があるわけですね。
「平成21年度秋期試験 問題冊子・配点割合・解答例・採点講評(PDF形式)」
●情報セキュリティスペシャリスト試験(SC)
※ 午前Ⅰは省略します。
(前にも書いたかもしれませんが)午前Ⅰの試験って、必要なんでしょうか…
| 固定リンク | コメント (2) | トラックバック (1)
昨日まで、SSCPレビューセミナーの講師をやってました。(3日間とも私が担当しました)
今週の日曜(9/13)が、認定試験です。
この認定試験で、日本のSSCPの第1期生が誕生するのですね。
CISSPとしても、同じCISSPホルダー以外に、SSCPホルダーという仲間が増えることになります。
いまから、とても楽しみです。
「CISSP SNS」も「CISSP/SSCP/JGISP SNS」として、リニューアルされており、既にSSCPホルダーの受け入れができております。
ちなみに、9/15発売のMOOK「セキュリティExpert 2009」には、「SSCP 7ドメイン ガイドブック」が、付録でつきますよ。
| 固定リンク | コメント (2) | トラックバック (0)
「暮らしのセキュリティ検定試験」が、始まるようです。
第1回検定試験は、2009年9月6日(日)のようです。
「生活に役立つ「セキュリティの知識」が身につく、実践的な検定」ということですが、出題内容をみるとかなり、いろんなものが含まれています。
主なキーワードを拾ってみると、いかのようなものがありました。
オークション詐欺、架空請求詐欺、フィッシング詐欺、心の病気、生活習慣病、インフルエンザ、応急手当、転倒・転落、AED、防災袋、食料備蓄、災害用伝言ダイヤル、DV、オレオレ詐欺、還付金詐欺、示談金詐欺、ストーカー、ひったくり、スキミング、消費期限、賞味期限、メタボ、残留農薬、シックハウス症候群、耐震基準、環境ホルモン
個人的には、検定試験の必要はないのではと思いましたが、知識とはして持っておきたいと思いました。
| 固定リンク | コメント (6) | トラックバック (1)
日本セキュリティ監査協会(JASA)のHP「2009年8月31日より公認情報セキュリティ監査人(CAIS)資格制度のカリキュラムが改訂されます」でリリースされています。
この改訂には、ちょっとどころか、かなり関わりました。
いままで、よく「情報セキュリティ監査とISMS審査の違いがわかりません」と言われていました。
今回の改訂では、それは明確になったと思っているんですが・・・
以下の新カリキュラムをご覧ください。
いかがでしょうか?違いは明確ですよね。
(受講していただければ、もっとわかりますが)
●新カリキュラム(概要)
1.情報セキュリティ監査概論
1.1監査の概念
・監査の一般的性質
・二重責任の原則 など
1.2監査におけるリスク
・監査における「リスク・アプローチ」
・監査リスクと「監査リスクモデル」 など
1.3情報セキュリティ監査の概念と定義
・保証の概念
・設計監査と実装・運用監査 など2.情報セキュリティ監査の基準
2.1情報セキュリティ監査基準
・独立性、客観性と職業倫理
・監査企業としての品質管理 など
2.2情報セキュリティ管理基準
・情報セキュリティ管理基準 マネジメント編
・情報セキュリティ管理基準 管理策編 など3.情報セキュリティ監査の技法
3.1監査技法の種類
・監査技法
・サンプリングによる試査の手順
・技術的検証の留意事項 など
3.2監査手続
・監査手続ガイドライン
・詳細管理策のパターンと監査技法の選択 など
3.3監査証拠
・監査証拠と証拠能力
・証拠の十分性と適切性
・電子的監査証拠 など
3.4リスク分析と成熟度モデル4.情報セキュリティ監査のプロセス
4.1監査実施まで
・保証型監査実施までの流れ
・言明(監査手続)の策定~保証 など
4.2契約フェーズ
・監査契約の締結
・保証型監査の業務契約 など
4.3方針フェーズ
・監査基本方針の策定
・リスク情報の収集と評価 など
4.4計画フェーズ
・監査実施計画の立案
4.5実施フェーズ
・監査手続の実施
・入手した監査証拠の適切性と十分性の判断 など
4.6意見フェーズ
・監査調書の作成
・監査意見の形成
4.7報告フェーズ
・監査報告書の作成
・保証意見の表明方法 など
4.8その他
・監査品質管理のための体制とプロセス
・監査調書体系整備と保管体制 など
| 固定リンク | コメント (2) | トラックバック (0)
IPAのHP「「平成21年度春期情報処理技術者試験」(応用情報技術者試験及び高度試験)の合格発表について」からです。
情報セキュリティスペシャリストは、2,580名誕生したということですね。
●合格発表概要
(1)応用情報技術者試験は、応募者数が56,141名、受験者数が36,653名、合格者数が9,549名で、合格率は26.1%でした。(2)プロジェクトマネージャ試験は、応募者数が16,241名、受験者数が9,372名、合格者数が1,187名で、合格率は12.7%でした。
(3)データベーススペシャリスト試験は、応募者数が18,538名、受験者数が11,887名、合格者数が1,912名で、合格率は16.1%でした。
(4)エンベデッドシステムスペシャリスト試験は、応募者数が5,875名、受験者数が4,080名、合格者数が689名で、合格率は16.9%でした。
(5)情報セキュリティスペシャリスト試験は、応募者数が25,377名、受験者数が16,094名、合格者数が2,580名で、合格率は16.0%でした。
(6)システム監査技術者試験は、応募者数が5,313名、受験者数が3,271名、合格者数が455名で、合格率は13.9%でした。
今回の結果は「旧試験制度下での最終実施と比較し、全ての試験区分で合格率が上昇しました」とのことでした。
しかし、「合格率」が上がるかどうかは、個人的には重要なことではないと思っています。
どういう人(質)をどれだけ(量)育てるか、そちらのほうが重要ですよね…
その目標(あるべき「質と量」)に対して、どうなのでしょう。
特に「量」は、十分とは思えません。
| 固定リンク | コメント (0) | トラックバック (0)
本日(ISC)2 Japanのサイトで、SSCPの日本での試験開始がリリースされています。
「RSAカンファレンス2009」の会場でも展示されています。
ちなみに、この件は私も(かなり)関わっております。
●取得して欲しい層
•非セキュリティ専門家でセキュリティ知識を必要とされる職種の方々(情報システム監査人、アプリケーションプログラマー、システム・ネットワーク・データベースアドミニストレーター、システムアナリスト、システム・ネットワークオペレーターなど)
•セキュリティ専業経験1-3年のセキュリティアドミニストレーター、ネットワークセキュリティエンジニア、セキュリティシステムアナリストの方々で、自身のセキュリティ知識をより体系化、グローバル標準で理解をしたい方々●SSCP CBK 7ドメイン
・アクセス制御 (Access Control)
・分析とモニタリング (Analysis and monitoring)
・暗号学 (Cryptography)
・不正なコード (Malicious code)
・ネットワークと通信 (Networks & Communications)
・リスク、対応、復旧 (Risk, response & recovery)
・セキュリティの運用と管理 (Security operations and administration)●認定試験
•出題形式:125問多肢選択式(四者択一)
•試験時間:3時間
•受験料金:52,500円(消費税込)
レビューセミナーも9月から開催されます。
それから、「CISSP-行政情報セキュリティ(ISSJP)」が、「日本行政情報セキュリティプロフェッショナル(JGISP)」に移行することも同時にリリースされています。
| 固定リンク | コメント (0) | トラックバック (0)
IPAのHP「「平成21年度春期情報処理技術者試験」の応募者数について」で、発表されていますね。
平成21年度春期情報処理技術者試験の応募者数は、7年ぶりに増加に転じ、292,842名(前年同期比(2) 12.1%増、31,670人増)となりました。
新たに創設した「ITパスポート試験」は、46,802名の応募となり、新規創設の試験区分としては、過去最高の応募者数となりました(これまでは平成6年度秋期に実施した初級システムアドミニストレータ試験の40,316名が最高)。
また、基本情報技術者試験、応用情報技術者試験及び高度試験のいずれの段階においても、応募者数が増加しています。==============================================
合計
292,842
261,172
112.1%※データは、
(応募者数)
(前年同期応募者数)
(前年同期比)
の順。
==============================================
ITパスポート試験
46,802
―
―
==============================================
基本情報技術者試験
90,724
90,065
100.7%
==============================================
応用情報技術者試験
56,132
52,539
106.8%
==============================================
高度(プロフェッショナル)試験
71,320
68,512
104.1%
----------------------------------------------
プロジェクトマネージャ試験
16,248
14,610
111.2%データベーススペシャリスト試験
18,529
17,849
103.8%エンベデッドシステムスペシャリスト試験
5,876
5,964
98.5%情報セキュリティスペシャリスト試験
25,356
22,742
111.5%システム監査技術者試験
5,311
7,347
72.3%
==============================================
初級システムアドミニストレータ試験
27,864
50,056
55.7
==============================================
情報セキュリティは、前年比111.5%の25,356名。注目度と人気は、それなりにあるようです。
初級システムアドミニストレータ試験の受験者数が減っているのはやむを得ないとしても、エンベデッドシステム、システム監査も減少しています。
「増加」といっても、このデータだけではそれが良い方向なのかどうかは評価が難しいところです。
この辺は、前々回の記事(「IT人材市場動向調査 調査報告概要版No.1」公開)とも考えてみたいところです。
| 固定リンク | コメント (2) | トラックバック (0)
「改訂CompTIA Security+(試験番号:SY0-201)日本語試験」が2009年2月23日(月)配信スタートするようです。
以前に、このブログの記事でも書きましたが、私もこちらに関わっています。
ぜひ、ご利用ください。
そして、今年はNetwork+の改訂(こちらの記事)もありますね。
・CompTIA Security+改訂の背景
CompTIA認定資格は、資格ごとの出題範囲を定期的に改訂することで、試験の内容が最新技術を取り扱い、業界のニーズに満たしているように維持されています。新しいバージョンのCompTIA Security+試験は、2008年10月に配信が開始される予定です。
改訂版CompTIA Security+で出題範囲とされる分野には、現行版の試験から継続されるもの、新たに追加されるものがあり、最新のセキュリティに関連した問題や必須知識が反映されています。・改訂試験の分野とアップデートの焦点
現行版の試験では、「アクセス制御」の分野が追加されていましたが、改訂版の試験では、新たに「アセスメントと監査」が独立した分野として追加され、リスクアセスメントや緩和の重要性について、また、このようなリスクを取り扱う際に重視すべき事柄、ツール、テクニックについて問われます。・CompTIA Security+の特徴
CompTIA Security+は、セキュリティ概念について、「知っている」「理解している」だけではなく「How to(どのようにするべきか)」を理解することにより重点が置かれています。従って、新しい出題範囲では「適切な手順を実行する」「異なる認証モデルを展開する」といった表現が見られます。
| 固定リンク | コメント (0) | トラックバック (0)
ZDNetの記事「IT業界における有力資格10選」からです。
セキュリティ関係では、以下の2つの資格が挙げられています。
#3:Security+
セキュリティはいつの世においても重要なトピックである。こういった状況が変わることはない。いや、今後さらに重要性が増していくことになるはずだ。データの漏洩を発生させてしまうと、株主価値や顧客の信頼、売上をあっという間に失ってしまうことになるのだ。そして、自身に誇りを持っているIT技術者であれば、そのようなデータ漏洩の責任を取るような状況に身を置きたくはないはずである。CompTIAの「Security+」はベンダー中立の権威ある認定資格であり、セキュリティの基本に熟達しているということを証明したい(実務経験2年以上の)IT技術者をターゲットにしている。Security+の試験科目は1科目のみとなっているものの、顧客データやその他の機密情報を管理する立場にあるIT要員は少なくともこの資格を取得しておくべきだとする意見もある。IT要員がシステムのセキュリティやネットワーク、インフラ、アクセス制御、監査、企業のセキュリティ方針に関して適切な教育を受けていると保証することは、とても重要なことと言えるのである。
#9:CISSP
Security+に関する説明(上記3番)でも触れたように、セキュリティの重要性はますます増してきている。企業の目標や製品、サービスにかかわらず、セキュリティは最優先事項なのである。「Certified Information Systems Security Professional」(CISSP)を実施している(ISC)2という組織はこの資格を、ベンダー中立の立派なセキュリティ資格に育て上げることに成功した。フルタイムで5年以上の実務経験を有するIT技術者をターゲットにしており、米国規格協会(American National Standards Institute:ANSI)の認証を受けているCISSPは、業務やネットワーク、機器のセキュリティに関するスキルに加えて、リスクを管理する能力や、セキュリティに関連したコンプライアンスやその他の事項に対する理解を証明する資格として国際的に認知されている。
ちなみに、全体では以下の10の資格が挙げられています。
#1:MCITP(マイクロソフト認定ITプロフェッショナル)~Microsoft
#2:MCTS(マイクロソフト認定テクノロジースペシャリスト)~Microsoft
#3:Security+ ~CompTIA
#4:MCPD(マイクロソフト認定プロフェッショナルデベロッパー)~Microsoft
#5:CCNA ~Cisco
#6:A+ ~CompTIA
#7:PMP ~PMI
#8:MCSE/MCSA(マイクロソフト認定システムエンジニア)(マイクロソフト認定システムアドミニストレータ)~Microsoft
#9:CISSP ~(ISC)2
#10:Linux+ ~CompTIA
日経ITproの「2009年版「いる資格、いらない資格」」と比較するとかなり違いますよね・・・
| 固定リンク | コメント (2) | トラックバック (0)
CompTIA Network+の改訂が発表されています。(こちら)
日本語試験の配信は、来年夏くらいの予定のようです。
CompTIA Security+の改訂版の日本語試験の配信も、来年早々に予定されています。
(参照・このブログの過去記事「CompTIA Security+改訂」)
CompTIAの試験は、日本のネットワークやセキュリティの試験の内容とちょっと違っています。
具体的なツールやコマンド、メカニズムなどについても出題されます。
個人的には、このような出題内容が実業務に合っているし、役立つと考えています。
・CompTIA Network+ (2009 年版)認定資格試験出題範囲
<出題範囲と比率>
第1章 ネットワーク技術 20%
第2章 ネットワークメディアとトポロジー 20%
第3章 ネットワークデバイス 17%
第4章 ネットワーク管理 20%
第5章 ネットワークツール 12%
第6章 ネットワークセキュリティ 11%
<参考URL>
・CompTIA Security+改訂について
| 固定リンク | コメント (0) | トラックバック (0)
昨日、合格者が発表されましたね。
●「平成20年度 秋期 合格者受験番号一覧」
来年からは新試験になり、「情報セキュリティアドミニトレータ」はなくなってしまいます。
およそ半年で、過去のもの扱いされてしまうことになりそうです。
何度かこのブログにも書きましたが、「何か他に方法はなかったのかな」「また、制度が変更されるのでは」ということをどうしても考えてしまいます。
| 固定リンク | コメント (0) | トラックバック (0)
昨日(12/13)のCISA試験は、日本では史上最大922名が受験したそうです。
ちなみに6月の試験の倍以上だそうです。
現在のCISAのホルダー数が、約1900名なのですが、今回の試験で新たに400名ほど(最近の合格率が定かではないので、適当ですが)のホルダーが誕生し、来年初めには約2300名ほどになるのではないでしょうか。
CISAもかなり認知度は上がりましたが、それも業界内というところまでです。
今後は、さらに広い範囲(一般の方々)まで、認知度が拡大して欲しいと思います。
そうして、情報セキュリティの専門家や監査人の価値や地位も向上していって欲しいと思っています。
| 固定リンク | コメント (0) | トラックバック (0)
SANS Japanのホームページで、GIAC Secure Software Programmer(GSSP)認定試験が、日本で12月13日(土)に実施されることが発表されていました。(このブログでも、7月で紹介しました)
(ISC)2のCSSLPと併せ、セキュア開発の教育や資格が出てきたのは、様々な意味で大きいですね。
●開催概要
GIAC Secure Software Programmer(GSSP)認定試験は、SANS Institute、US CERT/CC、米国政府機関と、米国、日本、インド、ドイツのリーディング・カンパニーの尽力によって開発されました。この試験は、急激に増加するアプリケーションの脆弱性を突いたターゲテッドアタック(標的型攻撃)に対する本質的な対抗策です。
本試験は、アプリケーションやソフトウェアを開発する組織が行うべき以下の4つの事項に対して有効に作用します。自組織のアプリケーション開発者やプログラマーのセキュリティに関する知識の不足部分を洗い出し、組織全体としてのセキュアプログラミング開発能力のレベルを、客観的指標として把握することができる。
アプリケーション開発をアウトソースする場合において、業務委託先の開発者やプログラマーにセキュアプログラミングのスキルがあることを確認することができる。
セキュアプログラミングに関して十分な知識・スキルのある従業員を把握でき、スキルの不足する従業員のギャップを埋めるための対策を検討することができる。
アプリケーション開発プロジェクトに、セキュアプログラミングのスキルを持った適正な人材をあてることができ、開発手戻りの発生によるロスの防止やセキュリティ品質の向上が期待できる。●GSSP Overview
アプリケーション開発者やプログラマーは、GSSP試験に合格することによって、開発途中で生じるセキュリティ上の欠陥が発見できること、およびその問題を回避・対処する知識・スキルがあることを証明することができます。 ブループリント(必要とされる知識・スキルの内容)、試験のサンプル問題等については、各言語のハンドブックをご覧ください。
<参考記事(このブログの過去記事)>
・「SANS、セキュア・プログラミング試験を開始」
・「新資格「CSSLP(Certified Secure Software Lifecycle Professional)」創設」
| 固定リンク | コメント (0) | トラックバック (0)
(ISC)2で「CSSLP(Certified Secure Software Lifecycle Professional)」という新しい認定資格が創設されるようですね。
試験は2009年6月開始、となってます。
CSSLPのCBKは、以下の7分野のようです。(業務経験は、SDLC分野で4年以上が必要)
ところで、日本語化については、まったく不明…
●CSSLP CBK
・Secure Software Concepts - security implications in software development
・Secure Software Requirements - capturing security requirements in the requirements gathering phase
・Secure Software Design - translating security requirements into application design elements
・Secure Software Implementation/Coding - testing for security functionality and resiliency to attack, and developing secure code and exploit mitigation
・Secure Software Testing - testing for security functionality and resiliency to attack
・Software Acceptance - security implication in the software acceptance phase
・Software Deployment, Operations, Maintenance and Disposal - security issues around steady state operations and management of software
<参考記事>
・CSSLP
| 固定リンク | コメント (0) | トラックバック (1)
日経ITproの記事「SANSとNRIセキュア,日本でセキュア・プログラミングの試験を開始」からです。
昨日から(7/1~2)開催されている「SANS Future Visions 2008 Tokyo」において発表されてました。(ちなみに、私も聴講してました)
セキュア・プログラミングのスキルを測る「GIAC Secure Software Programmer試験」(GSSP試験)を日本で開始すると発表した。(第1回目の試験は2008年12月13日の予定)
なお、試験内容は
・ソースコードの中からセキュアでない部分を探す。
・試験は100問、途中退出ありの6時間
・試験は言語別(現時点では)Java/Java Enterprise Edition,C言語(PHP、C#やVisual Basicなど.NET関連の試験も用意する予定)
・受験料は、5万7000円。
ということのようです。
セキュア・プログラミングは、いわばセキュリティ資格のいわば空白地帯だったので、この試験の提供は期待も想定される成果も大きいと思います。
<関連記事>
「セキュアなプログラミングが必要とSANS「ほかの誰のせいにもできない」Webアプリの脆弱性」~@IT
| 固定リンク | コメント (2) | トラックバック (0)
CompTIAのHP「CompTIA Security+改訂について」で、公開されています。
新しい出題範囲は、2008年10月から適用されます。
この改訂、実は私も関わっております。
<CompTIA Security+ 認定試験分野 出題比率>
第1章 システム セキュリティ 21%
第2章 ネットワーク インフラストラクチャ 20%
第3章 アクセス制御 17%
第4章 アセスメントと監査 15%
第5章 暗号技術 15%
第6章 組織面でのセキュリティ 12%
ちなみに、現在の出題範囲と比率は、以下の通り。
1. セキュリティの一般概念 30%
2. コミュニケーションセキュリティ 20%
3. インフラストラクチャセキュリティ 20%
4. 暗号技術の基本 15%
5. 業務・組織面でのセキュリティ 15%
| 固定リンク | コメント (0) | トラックバック (0)
IPAのHPで4/20の情報処理技術者試験「平成20年度春期試験 問題冊子・配点割合・解答例・採点講評」が公開されていますね。
ちなみに、私は受験しておりません、あしからず。
しかし、時間がある時に解いて、そっと採点してみたりする予定です。
さて、「テクニカルエンジニア(情報セキュリティ)」の問題は、以下の通り。
<テクニカルエンジニア(情報セキュリティ)>
・午前問題(解答)
・午後Ⅰ問題
・午後Ⅱ問題
午前中の問題で何問か「こういう問題って、「テクニカルエンジニア(情報セキュリティ)」で必要なのかなぁ?」というのがありました。
午後Ⅰでは、(いまどき、ということで?)ボット対策の問題なども出てますね。
それから、「テクニカルエンジニア(情報セキュリティ)」としては、3回目にして最後の試験になりました。
来年からは、出題傾向も変わるのでしょうか。人気も出るのでしょうか。
| 固定リンク | コメント (0) | トラックバック (0)
IPAのHP「平成20年度春期試験の応募者数速報」からです。
テクニカルエンジニア(情報セキュリティ)試験(SV)
2008年応募者数:22,739
2007年応募者数:24,477
増減:-1,738
初級システムアドミニストレータ試験(AD)は、-14,658と、かなり減ってますね・・・
今回減っているのは、この初級システムアドミニストレータとテクニカルエンジニア(情報セキュリティ)だけです。
来年の制度改正がありその影響も多少あるでしょうが、それにしても人気ないですね、情報セキュリティ。
| 固定リンク | コメント (2) | トラックバック (0)
以前の記事でも書いた、注目の新資格「CGEIT」の続報です。
3/18の説明会には参加できなかったのですが、ISACA CGEIT委員会の増田さん(「情報セキュリティコンサルタントのお気楽Blog」のオーナー)から資料を送っていただきました。(増田さん、ありがとうございます)
それによると、CGEITの認定基準とドメインは以下の通りのようです。
●CGEIT一般認定基準
・CGEIT試験を受験し合格(CISA/CISMと同様のスキームと想定)
200問、4時間の試験
・ISACA職業倫理規則の遵守
・CGEIT継続教育方針(CPE)の順守
・5年以上にわたる組織のITガバナンス実務経験
2年以上は、2つ以上のドメインの直接的な業務経験●専門領域(ドメイン)
Domain 1 - IT Governance Framework(ITガバナンスの枠組)
Domain 2 - Strategic Alignment(戦略との整合)
Domain 3 - Value Delivery(価値の提供)
Domain 4 - Risk Management(リスク管理)
Domain 5 - Resource Management(リソース管理)
Domain 6 - Performance Measurement(成果の測定)
ところで、日本語試験は2009年12月開始が予定されているようです。(私が受験するかどうかは、検討中です。とりあえず、英語試験は無理です・・・)
また、説明会の資料は近日upされるようです。
<ご参考>
●CGEIT委員会~ISACA
●「CGEIT説明会 開催しました」~情報セキュリティコンサルタントのお気楽Blog
| 固定リンク | コメント (2) | トラックバック (0)
「情報セキュリティコンサルタントのお気楽Blog」のオーナー、増田さん(いつも、お世話になっております…)から1月にうかがっていたのですが、いよいよISACAの新資格「CGEIT」が創設されます。
3/18(火)に説明会があるようですね。残念ながら、私は行けそうにありませんが…
以下、ISACAのCGEIT委員会の案内から…
この度、Information Systems and Control Association(ISACA)では、CISAとCISMに続く新資格制度として、Certified in the Governance of Enterprise IT(CGEIT)を創設致しました。CGEITは、ITガバナンスに関する専門の知識、経験、見識を有する人材を評価、認定するものです。我が国においてもJ-SOX法への対応等で、経営の重要課題としてのIT統制、ITガバナンスに対する関心が高まっています。ISACA東京支部も、ITガバナンスの専門家の認定を行う、この新資格制度の意義と重要性を十分に認識し、日本国内での普及促進を図っていくことになりました。そこで、東京支部内にCGEIT委員会を発足させ、活動を開始いたしました。
| 固定リンク | コメント (0) | トラックバック (0)
昨日帰宅したら、財団法人日本規格協会(JSA)のマネジメントシステム審査員評価登録センター(JRCA)から郵便が届いてました。
中には「JRCA NEWS」という冊子が入っていました。
「ISMS審査員資格は、とうに失効しているのに、もらっていいのかな」と思いながら中を読んでみると、「一旦資格が失効しても、移行の条件を満たすことにより、新規登録として資格を復活することができます」との記述がありました。
JRCAの規程「審査員資格の復活申請」を見ると、どうやら私も差分研修を受講すれば、復活できるようです。
「へぇ、復活できるの?」と、ちょっと驚くやら、疑問に思うやら…
もう2年も申請料・登録料とも払ってませんし、書類も何も出してません。
(ちなみに、今回も何もしません)
とっくに失効と思っていても、それから何度も「まだ維持できる」という通知をいただき、さらには「復活できる」という通知をいただきました。
つまり、私のISMS審査員資格は「仮死状態」ってことでしょうか。(CISSPやCISAなどでは、ありえないことでしょうね)
いつまで、この状態は続くのかな。う~ん…
| 固定リンク | コメント (0) | トラックバック (0)
12/25にIPAのサイトで最終報告が公開されています。(パブコメは、相当多かったようですね)
・「情報処理技術者試験 新試験制度の手引」-高度IT人材への道標-の公表について
最終報告書における中間報告書との主な変更点は、
(1)新試験と現行試験の対応関係について、試験制度改正後も現行試験の合格者が適切に評価されるよう対応関係を明確に整理しました。
(2)平成21年度春期から、すべての試験区分を新試験制度で実施することとしますが、現行試験区分のうち、初級システムアドミニストレータ試験については、十分な周知期間の設定の要望等を踏まえ、平成21年度春期試験まで継続実施することとしました。
(3)ITパスポート試験について、試験の公平性を確保しつつ、確実かつ安定的にCBT方式による試験を実施するためには入念な準備が必要であるため、試験開始当初はペーパ方式で実施した上で、平成23年度を目途に本格的なCBT方式の導入を目指すことにしました。
(4)「共通キャリア・スキルフレームワーク」について、情報処理技術者試験とITSS、ETSS、UISSの各スキル標準との整合性を図る観点から詳細な検討を進め、「産業構造審議会人材育成WG報告書」に示された表の大分類・中分類・小分類(知識項目)に対し所要の変更を行い、特に組込みシステムに関する知識項目を多く追加しました。その他、人材像や出題範囲などの所要の修正を行いました。
だそうです。
試験の名称も「エントリ試験」は「ITパスポート試験」になりましたし、情報セキュリティも「情報セキュリティスペシャリスト試験」に落ち着いたようですね。結局は「プロフェッショナル」は、試験の名称には付かなかったようです。ある意味で妥当だと思います。
| 固定リンク | コメント (0) | トラックバック (0)
昨日、IPA(JITEC)から情報処理試験・秋期の合格発表があったようですね。
そして、いままでの受験者・合格者の集計がでていました。(こちらです)
それによると、情報セキュリティアドミニストレータは、今回の合格者2807名を加えて、22178名になっていました。
皆様、ご存知の通り、この資格はなくなってしまうわけですが、この22178名はどうにかならないのか、とまた考えてしまいました。
資格を名乗ることはもちろんできますが、時間が経てば情報セキュリティアドミニストレータという名前も知識も陳腐化してしまいます。
新たな資格もできますが、何も策がないと今までと同じことを繰り返していくことになるでしょう。
やはり、維持更新制は必要と思います。
CPE取得が大変だ、ということになってくるのでしょうが、そうして知識やスキルの維持ができるのであれば、やはり必要です。
そして、CPE取得の機会は、ホルダーどおしのコミュニケーションの機会でもあります。
いろんなセミナーやイベントが増えれば、CPE取得が苦労ではなく、楽しみになるようになるのでは、と考えております。
| 固定リンク | コメント (2) | トラックバック (0)
「情報処理技術者って、一生ものですからね!」
いままで「情報処理技術者資格の最大のメリットって、何だと思います?」という質問をしたときに返ってきた回答です。
たぶん、これはTOP3に入りますね。(集計は、取ってないけど・・・)
※ 私が情報処理技術者資格ホルダーではないので、ホルダーにそのメリットを聞いてみたのです。
「じゃぁ、他の2つは何ですか」って?
私の経験と記憶からすると、
・国家資格(そう呼んでいいのか?という疑問が個人的にあるが)だから
・報奨金などの一時金があるから
ですね。
このシリーズのその3で書いた「取らなきゃ良かった」って方の中でも何人かの方が「一生ものだったはずなのに・・・」と、コメントされてました。
情報セキュリティ、情報通信分野(だけではないけど)のような、技術や環境変化の激しい分野で、このような考え方が定着してしまっていたということでもあるわけです。
技術の陳腐化が早いのなら、スキルの陳腐化も早いわけです。
ということで「維持更新制」は、やはり必要です。
| 固定リンク | コメント (0) | トラックバック (0)
今回の改正では、3つあったスキルスタンダード(ITSS、UTSS、ETSS)を1つにまとめるということになっています。
そこで、「ユーザー向け資格」(初級シスアド、上級シスアド、セキュアド)というものがなくなるということになっていうわけですね。
実際にSIやベンダーからユーザー企業へ移籍する方も多くなっていますので、これはこれでいい考え方なのかもしれません。
ただ、ここで気になるのが「スキルスタンダード」という考え方自体のこと。
キャリアが多様化しているのですから、スキルも多様化しているはずです。
この「スキルスタンダード」がベースライン的なもので、そのような多様化に対応しうるものであるならば、その意味はあると思います。
ですが、この「スキルスタンダード」は、そのあたりが考慮されているように見えません。
またスキルは段階的に示されていて、しかも上位のレベルは達成が困難といわざるを得ない内容(成熟度モデルなら「要求特質」といいますが)で、結果的にほとんどの人が中央(レベル3~4)に位置するものになってしまっています。
(ここをベースラインにすれば良いのかも…)
そうなると、結局は同じようなレベルの同じような人を育成するものにしかならない気がします。だったら段階的に示すのは、スキルではなくキャリアパス(モデル程度でしょうが)や人材像でよいのではないかと、個人的には考えております。
| 固定リンク | コメント (4) | トラックバック (0)
諸事情ありまして、このところ更新のペースが落ちています。
しばらくはこのペースになりますが、更新はしていきますので、何卒ご承知おきください。
さて、「情報処理技術者試験新制度案」の続きです。
今日は、その3ということで(私がパブコメにも書いた)「維持更新制」について(Part1、ってことになりそうです)です。
この話をしていると、時々出るコメントとして「(SUやSVを)取らなきゃ良かった」「取らなくて良かった」というのがあります。
つまり「なくなっちゃう資格なんですよね」ということです。「取ったばかりで、いきなり過去のものになるなんて…」と言っている方もいらしゃいました。
つまり、この制度は「下位互換」がありません。テクニカルエンジニア(情報セキュリティ)を取った人も、情報セキュリティ青d身に巣トレータを取った人も、情報セキュリティプロフェッショナル(仮称)資格が欲しければ、受験しなおしです。
これについては「維持更新制」も関係していますね。
「維持更新制」がないから問題になるのか、「維持更新制」がないからこんな制度改正ができるのか…
どちらにせよ、「維持更新制」がない限り、この問題と不安はいつまでもついていきます。
「取らなきゃ良かった」「取らなくて良かった」というコメントが方々ででるような制度は成功とはいえないはずです。
制度改正の目的に「受験者離れに歯止めをかける」というものがあると聞いていますが、逆効果を生みかねない(むしろ、そっちのほうが大きい?!)と思います。
続きは、また次回(以降)。
| 固定リンク | コメント (0) | トラックバック (0)
「情報処理技術者試験新制度案」の続きです。
今日は、その2ということで(私がパブコメにも書いた)「各府省庁(NISC、経済産業省、総務省など)が示している育成が必要とされる人材像との整合」についてです。
この報告書案で書かれているスキルや人材像が、日本国の政策や戦略と合っていないのです。
内閣官房情報セキュリティセンター(NISC)では「人材育成・資格制度体系化専門委員会報告書」で情報セキュリティに係る人材像を示していますし、経済産業省では「グローバル情報セキュリティ戦略」で、情報セキュリティ人材像をしめしています。
そして、内閣官房IT戦略本部の「IT新改革戦略」では、IT人材像を示しています。
さらに、総務省では「u-Japan政策」でICT人材像を示しています。
つまり、これらと「情報処理技術者試験新制度案」での人材像や要求されるスキルに乖離があるわけです。
政策や戦略を推進や実行できる人材(すべての人材がそうである必要はありませんが)が育たないような制度設計(少なくとも私にはそうとしか見えない)で、いったいこの先どうするのでしょうか。
そうなると、この制度でいくら人材を育成しても、ICT先進国にも情報セキュリティ先進国にもなれないことになります。
ICT先進国にも情報セキュリティ先進国にもなれない国は、将来も経済先進国であり続けられるとは思えません。
ですから「情報処理技術者試験制度を改革する」ことが、目標や目的であってはなりません。あるべき目標や目的はそれではないはずです。
この一番重要な課題が、置き去りにされています。
続きは、また次回(以降)。
| 固定リンク | コメント (0) | トラックバック (0)
「情報処理技術者試験新制度案」についての続きです。
たぶん、何度かに分けて私の意見を書くことになります。
今日は、その1ということで。
このブログの4/26の記事「情報処理技術者試験制度とITSSの改革、最終報告案」で、「産業構造審議会情報経済分科会情報サービス・ソフトウェア小人材育成ワーキンググループ報告書」に「課題の積み残しが多い」と書きました。
この時点では、「案」でパブコメを募集し、それを反映し7/20に報告書として公開されました。
私も某団体を通して上記の「課題の積み残し」も含めたコメントを入れたのですが、それはまったく反映されいないようです。(その理由も発表がないので、よくわからない)
というより、「案」から「報告書」への変更点(つまりパブコメの反映)はほとんど見当たらず。
(もちろん、コメント入れたのは、私だけではないはずです)
今回の「情報処理技術者試験新制度案」は、この報告書に忠実に作成されているわけですから、そういう意味では「いい出来」と言えましょう。
ですが、パブコメはほとんど反映していないのですから、少なくとも私が指摘していた「課題の積み残し」はそのままということ。
これは、持ち越したのか、解決する必要のない問題と受け取ったのか、それとも…
ちなみに「維持更新制の導入」とか「各府省庁(NISC、経済産業省、総務省など)が示している育成が必要とされる人材像との整合」などなんですが…
う~む、続きは次回。
| 固定リンク | コメント (0) | トラックバック (0)
日経ITpro9/7の記事「「合格証書に点数を表示」、09年開始の情報処理技術者試験の案が公開」、「新試験の全面実施は2009年春から---情報処理試験改革でIPAが中間報告」からです。
まず情報処理技術者試験の新制度案が、ついにというかやっとというかIPAのサイトで公開されています。
中身はこれから詳しく見てみますので、後日もう一度ここでコメントを書くことにします。
その中で、新設される「エントリ試験」については、
エントリ試験の内容は大きく3つに分かれる。(1)経営戦略、システム戦略、法務などを対象にする「ストラテジ系」、(2)プロジェクトマネジメントや調達マネジメントなど「マネジメント系」、(3)ソフトウエアやハードウエア、データベースなど「テクノロジ系」である。これらを合わせて100問出題する。
エントリ試験の合格証書には得点を記載する。合否を判定する国家試験としては珍しい。民間の英語検定試験のように企業が点数を評価する位置付けにする意図とみられる。また、3分野でバランス良く知識を得るようにする狙いから、「3分野それぞれで30点以下は不合格にするといった案を考えている」(澁谷センター長)という。
広く試験を展開するといった狙いから、パソコンでテストを受けられるCBT(コンピュータ・ベースト・テスティング)の導入を予定している。08年秋に、紙によるテストを試験的に開始し、09年春にCBTを導入する見込みである。
という制度にするようです。
合格・不合格の評価水準の設定はさておき、点数を表示する意味が本当にあるのかというのが疑問です。
ここで引き合いに出している英語試験(TOEICとかのことですね)というのは、試験が1通りしかなく点数を出さないと知識レベル判定ができないから、そのような仕組みが必要なのですよね。
しかし、この試験制度の場合には、そもそもいくつかのレベル分けがあり、その中で知識レベルは評価できるはずです。またもっとも低いレベルのエントリー試験で、それを実施する意味がありません。もっとも高いところでするなら、まだ理解できますが…
う~ん…
| 固定リンク | コメント (0) | トラックバック (1)
このようなものがあることは、某CISAホルダーから聞いていて知っていたのですが・・・
実物の画像が、増田さんのブログ「情報セキュリティコンサルタントのお気楽Blog」の記事「登録証あれこれ」に出ておりました。
CISA、CISMのIDカードはプラスティック製で、1年ごと更新なのですね。
CISSPは、紙製で、3年ごと更新です。(ご存知なかった方、がっかりしないでください)
バッジは「CISA」「CISM」って、そのまんまなのですね。
わかりやすいですが、もうちょいデザイン性が欲しい気もします。
増田さんは記事で「正直言って着ける機会が少ない」と書かれています。
私はCISSPバッジをつける機会が、それなりに多いですね。
レビューセミナー、体験セミナー、CISSPフォーラムあたりで、ですね。
CISSPの認定証とIDカード、バッジの画像については、tksmsmyuさんのブログ「目指せ!SS」の記事「CISSP認定証」と「CISSPの襟章」をご覧ください。
運営機関によって、いろいろと違うということが(いままで以上に)わかりました。
| 固定リンク | コメント (0) | トラックバック (1)
8/3の日経ITproの記事「CIO向け国家試験「ストラテジスト試験」が2008年秋にも」 からです。
まず、この試験は、
・経営とIT(情報技術)」について深い理解を持ち、企業などのCIO(最高情報責任者)やそのスタッフ、将来これらの職務を担う人向けの試験
・ストラテジスト試験は、基本戦略系、すなわち新たなビジネスモデルの創出や業務効率化、内部統制の強化などのビジネス戦略を担う人材向けの試験
という位置づけだそうで。
で、試験の範囲は
詳しい出題範囲は今後詰めるが、「データベース」「セキュリティー」などの技術的な知識から、「プロジェクトマネジメント」「調達マネジメント」といったプロジェクト運営に必要な知識、「組織論」「企業会計」「知的財産権」「サプライチェーン・マネジメント」などの経営知識までを幅広くカバーする予定
目の付け所は良いと思うのですが、果たして対象と想定している層が本当に受験者層なのか、(何度も書いてますが、今度こそ)維持更新制は導入するのか、の2点がとても気にかかります。(たぶん、ほとんどの企業のCIOは受験しないと思います。受験するとしても「スタッフ」のほうでしょうね)
そこをはずしてしまったら、せっかく始めても目的は果たせないわけですから・・・
| 固定リンク | コメント (0) | トラックバック (1)
週末に紀伊国屋書店で見つけました。
いつの間にか出ていたんですね。(7/20店頭らしい)
「CISA(公認情報システム監査人)試験ガイドブック&問題集」
●内容紹介
米国の情報システムコントロール協会(ISACA)が認定する国際資格を紹介する書籍です。日本版SOX法導入に伴い、情報系の内部監査人の能力を証明する試験として、当社既刊のCIA(公認内部監査人)とともに関心が高まっています。本書は、このCISA試験合格のメリット、勉強方法を紹介した後、項目(ドメイン)別の出題のポイント、例題を学習していく構成になっています。
「もしや」と、増田さん(ISACA理事)のブログを覗きに行ったら、やはり載ってました。(さすが・・・)
内容的には、170ページほどでCISAの各ドメインの要点が例題とともに書かれています。
これだけで学習し受験するにはつらいでしょう。
やはり「CISAレビューマニュアル」での学習が必要でしょうね。
そのうえで、この本でまとめかな、という感じです。
ちなみに私はこの書籍は手にとりましたが、購入していません。
今のところ、CISAの受験予定がないので。(受験することになったら、購入して学習します)
| 固定リンク | コメント (0) | トラックバック (0)
つい最近のことですが、某NPOでのセキュリティ教育の調査で「NISM(ネットワーク情報セキュリティマネージャー)」の、以下のホームページを見ておりました。
そこを見ると、資格体系と合格率が以下のように出ています。
●NISM資格体系と合格率
・ネットワークセキュリティ基礎:100%
・ネットワークセキュリティ実践:99.4%
・サーバセキュリティ実践:98.9%
・不正アクセス監視実践:100%
・セキュリティポリシー実践:97.8%
・セキュリティ監査実践:100%
このページによると、NISMとは、
ネットワーク情報セキュリティマネージャー(略称:NISM)は、ハッカーやサイバーテロの脅威に対処し、情報通信ネットワークの安全性・信頼性を確保するために、情報通信サービスを提供する事業者に配置する専門家を育成することを目的として創設されました。主催団体が実施する資格認定のための講習(認定講習)を受講し、一定のレベルに達すると、有資格者として認定されます。
ということなのですが、「合格率100%で『専門家』と呼んでいいの?」というのが疑問であり、気にかかりますね。
資格というのは「その人に必要な役割や能力があると求められれば認定、認証する」というもので、難易度とか合格率が重要なのではない、というのが私の持論です。(「難易度が高い、合格率が低い=資格としての価値・有効性、ではない」ということ)
しかし「本当にこの教育で育成でき、認定、認証してよいのか」はどうなのでしょうか。
それからもう1点、この教育と資格が主催団体の会員に限定されていることも気にかかります。
そのようなあり方(クローズな方針)で、いいのでしょうか。
NISM推進協議会の方などと、一度伺ってみたい気がしています。
| 固定リンク | コメント (0) | トラックバック (0)
6/11にテクニカルエンジニア(情報セキュリティ)の合否が発表されていますね。(こちらです)
今年は、14,649名(申し込みは、24,477名)で、合格者は1,788名、合格率12.2%でした。
ちなみに昨年は、18,128名(申し込みは、29,403名)で、合格者は1,227名、合格率6.8%でした。
すなわち、累計で3,000名を超えた(3,015名)わけですね。
またまた、ちなみに情報セキュリティアドミニストレータは、累計で19,371名です。
ということは、情報処理技術者試験だけで、(重複がどれくらいあるかは不明ですが)延べおよそ22,400名の「情報セキュリティ技術者」を養成(正確には「認定」)したことになります。
でも、「情報セキュリティ技術者」は質・量ともに不足している、ってことです。
だいたい、延べおよそ22,400名の認定者は、情報セキュリティの「現場」で活躍できているのでしょうか。
だとすれば、情報処理技術者試験の認定資格だけでできているうでしょうか。
そのあたりの有効性も知りたいところです。
延べおよそ22,400名の「情報セキュリティ技術者」がいて、2つの資格体系が運営されていて、それでも、「情報セキュリティ技術者」は質・量ともに不足している。
その原因は何なんでしょうか?そして、その解決策は?
このあたりの検討なくして、IT人材(「ICT人材」とか、「情報セキュリティに係る人材」と言い換えたほうが良いかもしれません)の育成や活用は実現しませんね。
で、どうすんだろう?この制度の改革は?(こちらとこちらを、ご参照ください)
<参考情報>平成19年度春期試験までの統計情報
| 固定リンク | コメント (0) | トラックバック (0)
日経ITproの記事「情報処理試験制度やITSSはこう変わる!人材育成WGの最終報告案まとまる」からです。
何度かこのブログでも取り上げた(こちらとこちら)、情報処理技術者試験制度とITSSの改革について最終報告案が出たようです。(5/21まで、パブコメ募集)
・「高度IT人材の育成をめざして(案)」に対する意見募集について
ここでは(1)情報処理技術者試験の意義・役割(官民の役割分担)、(2)試験制度改革のあり方、(3)ITSSと試験の整合性確保、(4)3つのスキル標準(ITSS、ETSS、UISS)の整合性確保、(5)産学官連携施策のあり方、という5項目について取り上げられています。
複数乱立だったスキル標準も一本化のようで。
現在の情報処理技術者試験の下のレベルとして「エントリー試験」というものを作ってCBT(コンピュータ試験)化する、など新たなアイディアが加わっています。現在の試験は「基礎試験」「ミドル試験」「高度試験」という呼び方になるようですね。
よく読むと課題の先送り・積み残しが多いような・・・
ちなみに「更新制」も先送りにされたようです。(かなり重要で緊急の課題だったはずですが)
これでいいのかぁ~?(相当いろんなコメントが寄せられるだろうなぁ)
| 固定リンク | コメント (0) | トラックバック (0)
IPAから「平成19年度春期情報処理技術者試験の受験状況(速報)について」がプレスリリースされています。
IPA 情報処理技術者試験センターでは、経済産業省の国家試験である「情報処理技術者試験」の平成19年度春期試験を2007年4月15日(日)に実施しました。「平成19年度春期情報処理技術者試験」の受験者の総数は174,854人でした。
前年同期に比べ、テクニカルエンジニア(情報セキュリティ)試験を除く全試験区分で受験率が上昇、全体の受験率も上昇しました(前年同期63.8%→65.8%)。
入門的な試験の内、利用者側の初級システムアドミニストレータ試験の受験率は、71.5%と前年同期(70.3%)に引き続き70%以上を維持し、開発者側の基本情報技術者試験の受験率(前年同期66.9%→69.4%)は、2.5ポイント上昇し、約70%の水準となりました。
テクニカルエンジニア(エンベデッド)試験は、応募者について増加の傾向(前年同期4,913→5,420)があり、受験率も大きく上昇(前年同期63.5%→68.2%、4.7ポイント上昇)しています。
ということで、テクニカルエンジニア(情報セキュリティ)は受験者は減るわ、受験率も下がるわ、で散々な感じです。
それでも、14.741名が受験しているわけですから、他のテクニカルエンジニア(データベース、システム管理など)と比較すると絶対数は多いんですね。
(詳細は、こちら)
ところで、このプレスリリースは何が言いたいのでしょう。
数字は事実として「受験率が上がったから、どうなの?」と、ツッコミたくなります。
このプレスリリース文だけ読むと、いいことの報告みたいに見えますが、IT技術者が不足しているのに、受験者数は24,000名以上も昨年から減っているのですから、この試験の本来の目的やIT人材育成の目標などから考えると、分析の方向や出すべきコメントが違うと思うのですが・・・
| 固定リンク | コメント (0) | トラックバック (1)
今日(正確には、昨日4/15)は情報処理技術者試験でしたね。(私は今年も受験していませんが・・・)
ネットで記事検索をすると、この試験の受験者の方ばかり。
アイタックあたりでは、もう午後の解答例も即日で出てましたね。
受験された皆さん、お疲れ様でした。
受験者数は減っているとはいえ、まだこれだけ多くの方が受験しているんですから、皆さんのその努力に報いるためにも、情報処理技術者試験制度の改革は進めないといけないのですが・・・
その後、ほんとにどうなってんの?どうすんの?(特に「更新制」について)
※ この件は、こちらをご参照ください。
・このブログの記事:12/14「情報処理技術者試験改革のゆくえ」・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第1回)
議事要旨 配布資料・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第2回)
議事要旨 配布資料・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第3回)
議事要旨 配布資料・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第4回)
議事要旨 配布資料・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第5回)
議事要旨 配布資料・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ(第6回)
議事要旨 配布資料
この話題については、またいづれ書きます。(例によって、「なるはや」で!)
| 固定リンク | コメント (0) | トラックバック (0)
昨日、JASAのHPで「公認情報セキュリティ監査人(CAIS)資格制度が改正されます」
ということで、公開されています。
私もこの資格制度に(も、か・・・)、関わっております。
以下は、日本セキュリティ監査協会(JASA)からの案内です。
「情報セキュリティ」の実施状況を公正・公平に評価する「情報セキュリティ監査」の重要性が飛躍的に高まりつつあるという認識のもと、「公認情報セキュリティ監査人」の資質を向上させ、またより多くの方に当資格にチャレンジしていただくことを可能とするため、以下の制度改定を2007年4月に実施(施行は5月)行います。
(1) 情報セキュリティ監査人補(以下「監査人補」)の 「専門分野」要件の見直し
これまで、監査人補の資格申請要件として、「情報技術分野で少なくとも4年以上」 等の条件を求めていました。
しかしながら、「情報セキュリティ監査に関するOJTを経ながらさらに上位の資格を目指す」という監査人補の位置づけを再認識した結果、当要件を廃止することとなりました。(2) 試験の見直し
:「小論文試験」の①「トレーニング修了試験」、②「監査経験確認試験」への再編監査人補、公認情報セキュリティ監査人(以下「監査人」)、公認情報セキュリティ主監査人(以下「主任監査人」)、とも同一の「小論文試験」(制度に関する基礎知識と経験の両方を問う)の合格が要件とされていました。
今般、各資格の区分に応じて、要件とする試験を見直すこととしました。①「トレーニング修了試験」
情報セキュリティ監査制度の基本知識を問う試験です。
(現在の小論文試験の【問1】を踏襲し、基礎知識を多角的に問う試験としました)。
当試験の合格が、監査人補、監査人、および主任監査人のいずれの資格申請に求める共通の要件となります。②「監査経験確認試験」
監査人、および主任監査人志望者の、「監査経験」を問うための試験(現在の小論文試験の【問2】に相当)です。
当試験の合格をこれら2資格に申請する際の要件となります。
大きな改正点は、以下の2点です。
・監査人補の資格要件のうち、業務経験が不要となりました。
(従来は、情報通信分野で4年以上、情報セキュリティ分野で2年以上の業務経験が必要でした)
・小論文試験が、「トレーニング修了試験」「監査経験確認試験」の2つに分かれました。
従来は、監査人補でも小論文試験の受験が必要でしたが、新制度では「トレーニング修了試験」という記述式試験だけを受験すればよくなりました。
監査人及び主任監査人を受験したい人は、「監査経験確認試験」という従来の小論文試験も受けなければなりません。
エントリー条件が緩和され、受験の機会が拡大しました。今までこの資格の認定要件に合わなかった方も、この機会に検討してみてください。
| 固定リンク | コメント (0) | トラックバック (1)
IPAのHPで情報処理技術者試験の「平成19年度春期試験の応募者数速報」が、3/15に公開されました。
他の試験はさておき、情報セキュリティはどうかな、と見てみると・・・
●テクニカルエンジニア(情報セキュリティ)試験(SV)
今回応募者(2007年) 24,476
前回応募者(2006年) 29,403
増減 -4,927
全体で、-24,669だそうです。
減少の理由は、推測ですが
・IT業界の不人気(参考記事は、こちら)
・情報処理技術者試験離れ
ではないでしょうか。
ということで、どうなってんだろう、情報処理技術者試験の改革は・・・(参考記事は、こちら)
| 固定リンク | コメント (0) | トラックバック (0)
締め切り、過ぎてしまいました。
といっても、現在執筆中の原稿のことではありません。
情報処理技術者試験のことです。(昨日2/20の20時が、申し込み締め切りでした)
まず「えっ、受ける気あったの?」と突っ込まれそうですが・・・
すいません、そんな気は全くありませんでした。
ということで、今年も「確信的な見送り(常習犯)」です。
受けない理由としては、「使い道がわかりません」ということです。
あるとすれば、講師になるということくらいでしょうか。
そういえば、昨年も同じようなこと書いていたなぁ。
(くわしくは、先代ブログの記事「情報処理技術者試験、見送り」を)
もし受けるとすれば、
テクニカルエンジニア(情報セキュリティ)
システム監査技術者
のどちらかでしょうけど。
そういえば、情報処理技術者試験制度見直しの件、どうなってんだろう?
(こちらは、このブログの12/13の記事「情報処理技術者試験改革のゆくえ」を・・・)
| 固定リンク | コメント (0) | トラックバック (0)
とあるメルマガのコラムからです。
(転載自由、改変不可、とのことなので、そのまま載せます)
「資格とキャリアの関係」を軸に4つのタイプに分類してみました。
(1)未経験チャレンジタイプ
実務経験はないがその職種に興味があり、資格を取ることで転職のチャンスを広げようとしている。
【長所】モチベーションが高い
【短所】転職においては「資格は切り札にならない」ことを認識していない。イメージが先行しており、仕事について過大な夢を描いている
【要点】実務のチャンスをつかんでからが、本当の勝負実務と資格のギャップを乗り越えて、サラブレッド型へ
(2)無資格・実務主義タイプ
「資格は実務に役立たない」と言って資格を軽視し、取得しようとしない
【長所】実務経験を生かして、即戦力として活躍できる
【短所】会社としてのPR力や営業力に寄与できない
【要点】資格は企業・個人のブランディングに役立つという戦略的・営業的な視点を受け入れ、資格取得にも努力する
(3)資格コレクタータイプ
社内の資格取得支援制度などを利用して幅広い資格を取得している
【長所】幅広い知識があり、相乗効果を出せる。営業力の強化や独立に寄与する
【短所】相乗効果よりも取得が容易そうな資格を取ろうとする。資格を取ることが目的となり、実務への応用がされない。
【要点】上位資格や相乗効果が得られる資格を取得し、実務に生かすことを重視
(4)完ぺきサラブレッドタイプ
実務経験も資格も両方とも兼ね備えており、業務だけでなく、転職や独立にも強い
さて、あなたはどれに当たりましたか?
企業も資格を重視する傾向が再び出てきました。資格は転職の決め手にはなりませんが、アドバンテージにはなります。
なるほど、おもしろい分類方法ですね。
で、私はと申しますと・・・
とりあえず、(4)完ぺきサラブレッドタイプ、を目指しております。
| 固定リンク | コメント (0) | トラックバック (1)
以前の記事、2007年版「いる資格、いらない資格」(1)の続きです。
2007年版「いる資格、いらない資格」
~有力ITサービス会社に聞いたIT資格の価値~
■第1回:社員に取らせたいIT資格
■第2回:営業効果がある公的資格
■第3回:営業効果があるベンダー資格
■第4回:高額の報償金が出るIT資格
■第5回:進む個人のIT資格離れ
「営業効果」というのはその会社が主力としている製品やサービスと直接関連しているから、当然そういう結果になるはずです。その資格のホルダーが増えるほど、会社としてはステイタスがあがる、という資格ですね。(そうならなければ投資もしないはずだし、そういう指標であれば評価もしやすいわけで)
ということで第1回から第3回は、そういう読み方だったのでおいといて、残りの2回についてコメントします。
(以前、他のブログでも書いたのですが)「報奨金」について、個人的には魅力を感じていません。
「報奨金」がモチベーションにならない理由なんですが、私の場合はこうです。
「報奨金」とは「一時金」であるということ。
資格取得までに費やしたコストと時間に対してのわずかながらの補填程度(または、次のスキルアップのための準備金、かな)にしか考えられません。
それから資格を取った後に維持のためのコストがかかる、ということも重要な要素です。
これが「資格手当て」とか「能力給」などとして、給与のベースに乗っかってくるならそのようなコストに対しての補填にもなるので、話は変わりますが。
ということで「元が取れない」ということです。
確かに維持するのにほとんどコストのかからない資格もあります。(維持教育ポイント;CPE、の不要な資格のこと)
ただしそのような資格の場合は、その知識や能力が維持及び発揮される保証がないということになり、別のコストがかかる、または資格取得によって期待される効果や利益が得られない、ということにもなります。
私の周囲でも実はこの一時金としての「報奨金」制度があるのですが、結果として資格マニアチックな賞金稼ぎや自己啓発という大義名分による暇つぶしになってしまっている人もいます。(もちろん、そうでない人もいます)
ということで考えなければならないことは、資格を取ると維持のためのコストがかかるということ。(かけないと肩書きは維持できるが、知識や能力は維持できない)
コストがかかるということは、使わないと意味がないということになります。
使うには、その効果やパフォーマンスを考えて、適切な方法や手段を選ぶべきということになります。
それから「IT資格離れ」ですが、これは「ITエンジニア」という仕事に魅力がないってことでしょうね。
いわゆる「3K」(この場合の「K」は何でもいいですが)と見られているようです。
う~ん、そのとおりかも・・・
| 固定リンク | コメント (0) | トラックバック (0)
日経ITProの11/27の記事「『情報処理技術者試験の改革論議が本格化』--業務独占の是非や新試験の創設,更新制など」からです。
情報処理技術者試験の改革についてのWGが、10/27に以下の通り発足しています。
経済産業省 産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ 第1回議事
このWGでは、以下のようなことを検討するとのことです。
情報サービス産業やユーザー企業、大学から有識者を集め、
(1)技術認定手段にとどまっている同試験を資格試験にする
(2)情報処理技術者試験とITスキル標準(ITSS)を整合させ、特にITSSのレベル1から3を認定できるようにする
(3)新たにIT産業に就職する人を対象に,基本情報技術者試験の下位に当たるエントリ試験を新設する
(4)試験の更新制度またはそれに類する制度を導入する
などを議論する。
ということなのですが、最後に私の個人的な感想を書いてみます。
問題意識としては理解できるのですが、議論の内容を議事やこの記事で見る限り、自己都合でかなり飛躍してしまっているように感じました。例えば、上記の(1)などは「資格がなければ、業務できないようにする」という意味です。この資格制度だけを正当化し、民間資格を否定するような論理とも取れますし、IT人材育成の妨げどころか、日本国におけるの産業振興、さらにはICT発展の妨げにしかならないと思います。
(次回以降の内容もウォッチしたいと思いますが)とにかく「ゼロベース」とか「ニュートラル」での発想や議論という視点はないようで、かなり主観に偏った情報処理技術者試験を何とか生かし(つぎはぎでも、こじ付けでも何でもありで)正当化しようという内容にしか、私には見えませんでした。
次回からは、そのような視点ももった検討へと変わっていくことを期待したいと思います。
| 固定リンク | コメント (0) | トラックバック (1)
SANSのトレーニングは、高度かつ実践的なコースです。
実践的な知識やスキルの習得を目的としており、実機や多くのツールを使用して楽しく理解しやすいコースです。
ちなみに(エッセンシャルのコース以外は)受講するなら、CISSP認定後のほうが良いです。体系的な知識もついてるはずだし、CPE(36クレジット)の取得もできるし。
日本では毎年春と秋に開催されています。
提供されているコースは、以下の通り。(すべてが日本で開催されているのではありませんが)
[T1] SEC401: SANS Security Essentials Bootcamp
[T2] SEC502: Firewalls, Perimeter Protection, and VPNs
[T3] SEC503: Intrusion Detection In-Depth
[T4] SEC504: Hacker Techniques, Exploits and Incident Handling
[T5] SEC505: Securing Windows
[T6] SEC506: Securing Unix/Linux
[T7] AUD507: Auditing Networks, Perimeters & Systems
[T8] SEC508: System Forensics, Investigation and Response
[T9] SEC309: Intro to Information Security
[T10] AUD410: IT Security Audit Essentials
[T11] AUD411: SANS 17799 Security and Audit Framework
[T12] MGT512: SANS Security Leadership Essentials For Managers
[T13] MGT513: Security Consultant
[T14] MGT414: SANS® +STM Training Program for the CISSP Certification Exam
[T15] SEC615: Secure Internet Presence - LAMP
[T16] SEC616: .NET Security
[T17] SEC616: Linux Administration Bootcamp
全コースの紹介とロードマップは、こちら。
受講後には、GIACという認定試験もあります。
非常に興味があるのですが、なかなかスケジュールと費用の関係で受講できず・・・
秋の先週(11/13~18、6日間)で、[T1]と[T4]が開催されていました。
今年の[T4]に関しては、tksmsmyuさんのブログで、受講のレポートが書かれています。(いいなぁ~)
来年の春は、[T7]の開催があると思うのでぜひ受講してみたいと思います。
問題はスケジュール調整と費用を出してもらえるかどうか、です。
う~む・・・
| 固定リンク | コメント (0) | トラックバック (1)
今回は、実技試験についてです。
(このシリーズは、ここでひとまず終わります)
まさに「実技」によりスキルや適性を評価・判定される試験で、「わかる」だけではなく「できる」ことが必要です。
CBTなどでも実技(MOUS;MS Office User Spacialist試験Excel,Wordなど)はあります。
その他には、私もいくつか所有している講師資格試験がこのタイプの試験にあたります。(インストラクションに関する知識を更に問われる場合もあります)
実際に講習をしてみたり、その他講師に必要と思われるインストラクションスキルの項目(質疑応答など)を実施しなければなりません。
必要な知識があって「立て板に水」のごとき語りができれば、「講師はできるのでは」と思われるかもしれませんが、決してそうではありません。(講師に必要なスキルなどは、また別の機会に書きます)
もっとも大事なのは、聞き手(受講者)に、理解できるように「伝達」できるかどうか、です。
そして、この伝達方法は「話すこと」だけではありません。(これらは、プレゼンテーションも同じこと)
この実技試験や、前回及び前々回の面接や小論文は、「試験官(採点者)との相性で、最終的には運・不運じゃないの?」と言われる方も多いのですが、(ないこともないですが)そうでもありません。また、そのようなことがないように様々な方法や手段が取られ、さらに複数の人間や段階により、「ブレ」がでないようになっています。
実技試験への対策は、とにかくリハーサルや練習をすることです。
頭で理解している通りにできるかどうか、それで(できれば、他人に見てもらって評価してもらって)確認することです。
他にも「こんなのがあるよ」という試験の方式があれば、ぜひ教えてください。(「レポート」という方式があるのは知っていますが、小論文とほぼ同じなので敢えて書きませんでした)
| 固定リンク | コメント (0) | トラックバック (0)
まずは、お詫びとご説明から。
このシリーズは、私が試験を受けたり実施したりの経験の中から、可能な限りのことを書いています。
立場上、書きたいけど書けないという内容もあり、私も歯がゆいのですが、何卒どうかご容赦を・・・
(決して、ネタの「出し惜しみ」ではありません)
今回は、面接試験についてです。
「そんな試験、どこであるの?」と、思われるかもしれません。
公認情報セキュリティ監査人資格制度における公認情報セキュリティ主任監査人の認定では、「主任監査人は協会会員からの推薦があること。加えて資格認定委員会委員による面接審査により実証された能力の検証を受けること」とされており、ここで「面接試験」があることがわかります。
とにかく、この試験は以前の記事「資格試験の方式(1)」でも書いたとおり、いろいろと大変です。
リアルタイム、双方向で行われるため、逃げ場がありません。
小論文試験と同様に、自身の見解や意見を問われるわけですが、そこに「ツッコミ」、つまり更なる深堀がされるわけです。
こういう場はほとんどの方は、普段の業務ではないはずです。(「入社試験以来かな」という方がほとんどです)
単なる日常的な会議ではなく、ディスカッションやディベートなどで鍛えられていないと対応は難しいと思います。
対策としては、小論文のときと同様です。「ロジカルシンク(論理的思考)」と「コミュニケーション(伝達)」の能力を普段から意識して使うことです。
それから相手の質問(これが小論文試験での、「設定された状況」にあたると考えてください)に、適切に対応した回答をすること。(「当たり前ですよね」と思われるかもしれませんが、これができない方が意外と多いのです)
だらだらと長いだけの回答は最悪です。「難しいキーワードと前置きが長くて、何が言いたいのかわからなかった」といいことにならないように。(そのつもりはないと思いますが)面接の試験官を、煙に巻こうというのは到底無理なことです。
(つまりこれらが「プロフェッショナルスキル」として重要、って言いたいわけです。詳しくはまた後日書きます)
また、次回につづく・・・
| 固定リンク | コメント (0) | トラックバック (0)
今回は小論文試験のお話です。
「論文」とは「文章」による「論理」的な展開、つまり「論述」を行うことです。「論点」を明確にし、自分の「意見」を「論理」的に、相手に「伝達」しなければなりません。
ただ、資格試験の場合は研究論文のような高度な内容を要求しているわけでもなく、小説のようにすばらしい表現力で書け、と要求しているわけではありません。問題として聞いていることに、上記のような内容で答えればいいのです。
残念ながら合格にならない論文は、上記のようなことが書けていないことが多いのです。
実は、その試験で要求している知識が欠落しているケースはそれほど多くなく(欠落している場合は知識が体系的になっていない、つまりプロセスとしての理解が低い、ということ)、書いてある内容が何を言いたいのかわからない、というものが多いのです。
よく「文章力」の欠落、という結論になりがちですが、私は正確にはそうではないと思います。
「ロジカル(論理的思考)」と「コミュニケーション(伝達)」という能力の欠如、というところが原因、ということだと思っています。文章に限らず、ロジカルに考え、それを相手にわかりやすく伝えることができるか、という重要なヒューマンスキルであるこの2つの能力の欠落、と考えるべきだと思っています。
ですので、よく「たくさん文章を書け」というようなアドバイスがありますが、私はむしろこの2つの能力を普段から習慣的に使うことが、さらに重要と考えています。
具体的な例としては、情報セキュリティ監査人資格の小論文試験があります。
他には、情報処理技術者試験の午後Ⅱなどですね。
情報セキュリティ監査人資格小論文試験については、日本セキュリティ監査協会(JASA)のHPで、以下のように案内されています。(一部、省略)
情報セキュリティ監査人資格小論文試験
【小論文試験の趣旨、概要】
小論文試験は、監査人としての基礎知識、資質を問うものです。
小論文試験では、情報セキュリティ監査制度の理解およびトレーニング受講を共通の前提とし、情報セキュリティ監査についての複数のテーマの中からひとつを選択していただき、トレーニングの成果やこれまでの経験を踏まえたご自身の見識を論述していただきます。
【試験時間】
2時間30分
【問題の形式、字数】
情報セキュリティ監査に関する複数のテーマが問題として提示され、その中からひとつを選択し回答いただきます。
各テーマは、それぞれ、以下の2問で構成されています。
【問1】600字以内で、情報セキュリティ監査のプロセス、手順などを記述していただきます。
・情報セキュリティ監査に関しての基本的な知識を問う問題です。
【問2】1500字以内で、【問1】での記述内容に基づき、問題のテーマに関してあなたの考えを記述していただきます。
【採点基準】
以下の観点から内容を評価し合否を判定します。
・情報セキュリティ監査制度の理解
・論題と記述された主張内容との整合性
・論旨の一貫性
・情報セキュリティ監査人としてふさわしい記述力
※上記上限の字数に対して、著しく字数の少ない解答の場合、不合格とすることがあります。
※題意に沿った解答となっていない場合、また出題の範囲外のことを記述している場合は不合格となります。
このように設定された条件に沿って、自身の見解や意見を論述する必要があります。
まだ、次回につづく・・・
| 固定リンク | コメント (0) | トラックバック (1)
前回の続きです。
今回は、選択式と記述式のお話を。
選択式については、もっとも広く様々な資格試験で使われている方式です。
この方式のみで実施されているものもあります。(CISSP、CISA、CISMなど)
前回の記事で「4択(4者択一)が主流」と書きましたがもちろんそれだけではありません。
選択肢がそれ以上の数(5者択一)になる場合もあります。
それから、「択一」でない場合もあります。
たとえば、選択肢が10とか15あり、問題文が長文でいくつかの「虫食い」があり、そこに選択肢を当てはめていくものです。
選択式の試験は、CBT(Computer Based Test)では必ずこの方式になりますが、最近のCBTでは上記のような「虫食い」方式にも対応ができています。
「選択式=もっともイージー」というイメージの方も多い(正解が必ず選択肢の中にいるから、そう考えられるのでしょう)ようですが、単に確率25%というものだけでなく、それ以上に複雑にする方法はいくつかあるわけです。(作り手も、「偶然」に近い正解を最小限にするために、いろいろ努力しておりますし、そういうことの確立されたメソッドなどもあります)
ですから、「選択式=もっともイージー」という思い込みが、油断や慢心にならぬようご注意を。
それから、選択式は受験者だけでなく、作り手にとってもイージーです。
何より採点が楽(時間がかからない、採点官による判定の「ばらつき」がない、別解が発生する可能性が低い、など)で早いことが最大のメリットです。マークシート方式は、特に早いですよね。
関連する過去の記事は、こちら
「CISSP認定試験対策~何を理解すべきか」
「7 Types of Hard CISSP Exam Questions」
「CISSP認定試験の問題は」
記述式試験の具体的な例としては、情報処理技術者試験の午後問題がこれにあたりますね。
選択式との最大の違いは、正解が選択肢として示されていないことです。
正解を導くための情報(時々、ズバリ正解が入っていたりもしますが)が、問題文の中に含まれています。
解答をするためには、問題文を読み取りその中から、必要な情報とそうでない情報を取捨選択し、その中から正解をするための思考と判断をしなければなりません。
問題文では状況設定がされており、その内容を理解した上で思考や判断ができなくてはなりません。
設定された状況にあっていなければ、正解とは判定されません。
記述式への対策としては、問題演習をこなすことが重要ですが、普段の業務でも「状況に応じてどうすべきか」ということを考える習慣を持っておくことがもっと重要だと思います。
受験者も難易度が高く感じるでしょうが、作り手からしても状況設定を考えなければならず別解も出やすく、採点も大変になります。
まだ、次回につづく・・・
| 固定リンク | コメント (0) | トラックバック (0)
資格試験も様々ありますが、現在の主流は「選択式」ですよね。
一番多いのは、いわゆる4択です。
それ以外に、私が体験したものでは選択式以外の試験では、こんなものがありました。
・記述式
答えを自分で記入するもの。
条件設定がある場合とない場合がある。
字数制限がある場合とない場合がある。・小論文
答えを考え、自分の意見や見解として論述するもの。
通常、条件設定がある。
字数制限がある場合とない場合がある。・面接
答えを考え、自分の意見や見解として、試験官(通常は複数)の質問に答える。
小論文とちがい双方向で行われ、自分の意見や見解には「ツッコミ」が入る。
その他、場の雰囲気もあるし、アドリブ的な回答も必要、と変動的不安要素多し。・実技
指示された内容を、試験官の指示に従い実施する。
とにかく「できる」状態でなくては、実力は発揮できない。
「偶然に当たる」可能性が選択式に比べ、当然低くなります。
先日、資格を取る際の基準の話をしていたときに「選択式であること」と言っていた方がいらっしゃいました。つまり「(選択式以外の試験は)難しいから、自信がない」ということのようです。
でも、自分が取りたい、取らなきゃならない、としたら、そんな基準も使えないので、上記のような試験の対策もしなければなりません。
この続き(傾向と対策など)は、また明日以降・・・。
| 固定リンク | コメント (0) | トラックバック (0)
昨日実施された、平成18年度情報処理技術者試験・秋期の問題と解答が公開されていますね。
情報セキュリティは、秋期は情報セキュリティアドミニストレータでしたね。
私は今までの宣言通り、受験しておりません。
(ちなみに来年春期も受験予定なし)
とはいえ、職業上の必要から問題をさっと眺めております。
ということで、今日は個人的な印象と意見などを。
午前の問題は例年通りの内容と難易度という感じがします。
毎度のことですが「こんなの出題する必要あるの?」という問題がいくつか。
(50→55問になった意味も良くわからない。合否判定のため、得点分布の拡大を図ったか?)
午後問題もいつも通りという感じですが、時間的に解答が苦しそう。
あとは、「持ち出し管理」と「ノートPC置き忘れ」とか、「情報セキュリティの自己点検」とか「Webセキュリティ」とか、世相を反映してそうな内容の出題ですね。
あとは、春のテクニカルエンジニア(情報セキュリティ)と比較して見てみますと・・・
「開発・設計」寄りか「運用・管理」寄りかの違いは確かにわかるものの、ベンダー向けかユーザー寄りかは、あまりはっきりしていない、という印象でした。
ということで「分けた意味や効果はあったの???」が、率直な感想でした。
●情報セキュリティアドミニストレータ試験
| 固定リンク | コメント (0) | トラックバック (0)
10/10付けでプレスリリースされていました。
ANJOインターナショナルがなくなった後、ISACA開催のレビューセミナーが唯一の講座となっていましたが、このたび開講(「再開」といいたいところですが・・・)されたということです。
(あと残る学習手段としては、レビューマニュアルやサンプル問題集を購入し「独学」という手段だけですね)
CISAを目指される方には、もちろん朗報ですね。
リコー・ヒューマン・クリエイツがCISA(公認情報システム監査人)受験対策講座を開講
CISA受験・直前要点おさらい研修
| 固定リンク | コメント (0) | トラックバック (0)
またまた、前回の続き。
では、このブログの9/1の記事で、書いたNISCの人材育成・資格制度体系化専門委員会での、育成対象と現在の資格で相応しいと思われるものを私なりに当てはめてみましょう。
①わが国を代表し、世界をリードする高度・先進的な情報セキュリティ技術の研究開発者
→これって、まさにCISSPでは?(「世界」ってキーワードあるし)
ただし、CISSP+αのスキルが要求されると思いますが。
②セキュリティ・プロバイダ(SIer、製品ベンダ、コンサル・監査企業等)における人材
ア)顧客企業に対してセキュリティ製品・サービス・ソリューション等を提供する人材
→これは、テクニカルエンジニア(情報セキュリティ)なんでしょうね。
個人的には、ここのCISSPといいたいですけど。
③組織(行政機関(政府・地方公共団体)や企業)において情報セキュリティ対策を実施する人材
ア)幹部(各省幹部・首長や経営者)
イ)組織内における情報セキュリティ担当者など)
ウ)一般職員
→ ここは、3つとも違うでしょうね。
ア)は、つまりCISOで、そういう教育が必要ってことで。ズバッと当てはまる資格は現在ないでしょう。
イ)は、情報セキュリティアドミニストレータ、なんでしょうね。
ウ)も、ズバッと当てはまる資格は現在ないでしょう。(だいたい、ここに資格が要るのか?たぶん、教育だけでいいんでしょうね、でも測定・評価は必要でしょう)
| 固定リンク | コメント (0) | トラックバック (0)
NISCの第1回人材育成・資格制度体系化専門委員会でも検討されるセキュリティ資格制度の体系化について考えてみます。
まずは米国でよくありがちな、初級のIT技術者から上級のセキュリティ技術者になるまでの体系的な資格取得のフローを示すと以下のようになります。
CompTIA A+(ハードウェアテクノロジー、OSテクノロジー)
↓
CompTIA Network+(ネットワーク技術)
↓
CompTIA Security+(セキュリティ技術)
↓
CISSP(→ISSAP/ISSEP/ISSMP)
↓
(さらに実践的・専門的知識)
SANS
これを参考にしながら、日本での資格(情報処理技術者試験制度を中心に)で当てはめて、体系化するとどうなるんでしょう?
基本情報処理技術者
↓
ソフトウェア開発技術者
↓
テクニカルエンジニア(ネットワーク)
↓
テクニカルエンジニア(情報セキュリティ)
↓
(このあとは? わからん・・・)
ってところでしょうか。
なんだかしっくり来ないし、テクニカルエンジニアは1年に1回しかないからここに到達するの大変かも。そして、これではNISCで目標にしている時期までに十分な量と質の情報セキュリティの専門家は育成できませんね。
情報処理技術者試験制度を中心というのは、やはり無理な気がします。
| 固定リンク | コメント (0) | トラックバック (0)
また前回の続きです。
資格の更新、という話になると、よく出てくる代替案があります。
①資格の有効期限を設定する
②資格の取得(認定)年度を表示する
というようなのが、それらの案です。
②の案などはあちこちでよく言われていて、前回まで取り上げた情報処理技術者試験制度においても、IPAの試験センターの方がその旨の発言をされていたのを、講演やセミナーでも何度か拝聴しております。
確かに「情報セキュリティXX資格(1996)」なんて書けませんよね。10年前だったら、恥ずかしいし、知識が陳腐化・風化しているのを自己宣言しているようなものですから。
しかし、そうはなりませんよね。だって、そういう自分に不利益なことを進んでする人はいませんから。(そんな義務も、風潮もないですし)
①に関しても例えば「3年」と設定すれば、3年後にその試験を受けなおし知識の維持はできる、ということになりますが、ここでの問題は「本当に受け直すのかな」ってことです。その資格の市場価値が非常に高いものであれば、時間やお金をかけて受けなおし、維持しようとするんでしょうけど。そうでなければ、「捨てる」という考えもあり(ということで、私は「捨てた」経験あり)なわけで、そういう人が多いようであれば、この仕組みも成り立ちませんし、この仕組みによってその資格制度自身の首を絞めることになります。
ということで、どちらの案も更新制度(CPEなど)という考え方の代替案には(現状は)なりそうにもないと考えます。
※ それから、私は情報処理技術者試験制度を否定しようとしているわけではありません。受験はしていませんが、むしろこの制度の今までの市場への貢献度は高いと考えています。(以上、念のため・・・)
| 固定リンク | コメント (1) | トラックバック (0)
さて、前回の続きです。
情報処理技術者試験に更新制度ができるということは、CISSPなどと同様になりますので「失効」と「維持」という仕組みが必要になります。
CISSPの場合は創設当時から更新制度があって、「失効」や「維持」という仕組みは「CPE」という考え方で行われてきたわけです。そのためには、認定を与えた運営機関も、付与されたホルダーも、双方ともに管理を行う必要があります。情報処理技術者制度でそれを実施するとなると、もちろん現在の仕組みや料金では実現できないわけですし、試験センター(IPA JITEC)にもそのためのリソースがあるとは思えません。また現在のホルダーをどう扱うのか(移行の措置と期間が必要でしょうが)を、考えなくてはなりません。ということで、課題と障壁は山ほどあります。
しかし、真にIT人材を育成し確保するということでは、この「更新制度」は取り組まなければならない最重要課題だと思います。
| 固定リンク | コメント (0) | トラックバック (0)
前回の記事で、情報処理技術者試験でも「更新制度」の必要性が検討されていると書きました。私個人としては「そう(更新制度)でなくてはならない」と考えています。
(私は情報処理技術者試験は受験していませんが)「資格」というものは、本来はその人のそのときのステイタスを示すものでなくてはならないと思っています。つまり、その人がそういう知識や能力を持っているか、現状を表したものでなくてはならないと思っています。
私もかなり以前に取得したベンダーのセキュリティ資格がありますが、そのときと製品のバーションも2世代変わっており、操作や設定できるかどうかはわかりません。これはもう「現状として、使えない資格」と考えていて、この資格の名称は名刺やプロフィールには書かないようにしています。(もちろん、名乗らない)
そういう意味で、「使えない資格」「使ってはいけない資格」というものがあるはずで、「一生ものの資格」などというものはないと思っています。
ちなみに、以下は以前の他のブログで書いていた記事です。私の資格に関する考え方を書いておりますので、ご興味とお時間のある方はちょっとのぞいてみてください。上記のような考えに至ることも書いております。(これらの考え方を継承した記事も、今後ここで書くつもりです)
セキュリティ資格について考える・その1
セキュリティ資格について考える・その2セキュリティ資格について考える・その3
セキュリティ資格について考える・その4
セキュリティ資格について考える・その5
セキュリティ資格について考える・その6
| 固定リンク | コメント (0) | トラックバック (0)
(前回の続きで今までのキャリアの話をすると)仕事でセキュリティを担当していたら、周りから「おまえはかなり詳しい」とか「営業出身だからしゃべりが達者だ」とか言われ、いつの間にか講師の道へとズルズル・・・。さらには、資格制度の創設や運用、試験問題の作成と、さらにズルズル・・・。
という私のセキュリティ資格についての考えを書いてみます。
よく受ける質問として
「何の資格を取ったらいいでしょう?」(資格の関連のない講習の時)
「この資格は役に立ちますか?」「他にはどの資格を取ればいいでしょう?」(資格試験対策系の講習の時)
などがあります。
そこで私がなぜ資格を取ったか思い返してみると
・上司などからの業務指示(戦略上、あなたが取って内容を確認し、その業務または資格を推進しなさい)
・業務上の必要(ある製品のサポートをすることになったから)
・その資格の講師をするため(いくらなんでも資格持ってない人が教えちゃダメでしょ)
でしょうか。
ということで自慢になるか否かは置いておいて、必要のない資格取得はしていないんですね。
という自分の経験もあり、上記のような質問をされた際には必ず「その資格はあなたに必要ですか」とか「どんなスキルを身につけたいのか、またそれを実証する必要はありますか」「取ったら、どう使うつもりですか」などと聞き返しています。
つまり「必要のない資格は、いらないんじゃないの?」ということです。
私の場合、少なくとも必要がないと思ったら、それだけでかなりモチベーションが低下します。
| 固定リンク | コメント (0) | トラックバック (0)
本日は某掲示板サイトにあった「IT資格の難易度(偏差値)」より。何を基準にこうなっているのかは不明ですが、CISSPが上位(もちろん、難しいほうの)にランクインしています。
その他、セキュリティ関連資格をチェック(赤字)しておきます。(参考になるかどうかはさておき、とりあえず・・・)
65:システムアナリスト
64:技術士(情報工学)、CISSP
63:システム監査技術者、CCIE
62:プロジェクトマネージャ
61:システム管理、上級シスアド、SJC-EA
60:アプリケーションエンジニア
59:テクニカルエンジニア(ネットワーク、セキュリティ、データベース、エンベデッド)
58:RHCE、SJC-D、Oracle Platinum
57:MCDBA、MCSE2003、.Com Master☆☆☆
56:CCNP、MCSD、RHCT
55:情報セキュアド、ソフ開、MCSE
54:PMP、MCAD、日商PC1級
53:XML Professional、UML-advanced、UMTP-L2、VBAエキスパートプロフェッショナル
52:CCDA、SCNA
51:J検1級、MCSA2003 、Oracle Gold(旧Platinum)、LPIC Level2
50:基本情報技術者、SJC-WC、SJC-BC、SJC-WS、SJC-MA、MCDST、P検1級、UML-intermediate
49:CCNA、Oracle Silver(旧Gold)、SJC-P、P検準1級、MCP、Security+、.Com Master☆☆
48:Oracle Silver Fellow(旧Silver)、SCSA、UMTP-L1、MCAMaster、Network+
47:初級シスアド、LPIC Level1、Linux+
46:XML Basic、SJC-A、UML-fundamental 、
45:J検2級 、日商PC2級、MCA、MOT、A+
44:P検2級、.Com Master☆
43:
42:J検準2級
41:VBAエキスパートスタンダード 、MOSマスター、P検準2級
40:日商PC3級、IC3
39:MOS上級、MOS一般(Access)
38:MOS一般(Access以外)
| 固定リンク | コメント (0) | トラックバック (2)
前回は尻切れっぽかったので、さらに続きを。
CISSPとCISM/CISAのCPE対象はかなり共通していますが、違いとしては
・年間20CPEが必要。(毎年です、3年で120CPEというのは同じ)
・関連分野における専門資格試験の合格(つまり、CISSP合格なら6CPE)
・A/Bクレジットなどという区別がない
というところでしょうか。
また、CISM/CISAを運営するNPOのISACAでは、「月例会」という自主開催的勉強会イベントが実施されており、CISM/CISAホルダーは、これに参加することによりCPEを獲得できるようになっています。(ちなみにCISM/CISAホルダー以外も参加できます)
このような会合は、CISSPでも欲しい気がしますね。
| 固定リンク | コメント (0) | トラックバック (0)
CPEの必要クレジットは、年間20CPE時間、かつ、3年間で120時間以上となっています。
●ISACAによる専門教育活動や会議:
ISACA主催の会議、セミナー、ワークショップ、プログラム、集会、その他の関連活動がこれに該当します。●ISACA以外の団体による専門教育活動や会議:
ISACAが主催しない活動がこれに該当し、企業内訓練、大学の講義、会議、セミナー、ワークショップ、 専門家会議、その他の関連活動などが含まれます。●自主学習コース:
CPE時間を申告できるよう設計された自己学習コースがこれに該当します。 コース主催者が取得CPE時間を記載した修了証などの証書を発行する場合に限り、有効となります。
●ベンダによるセールス/マーケティングプレゼンテーション:
ベンダの製品やシステムに限定されたセールスプレゼンテーションがこれに該当します。
●教授/講義/プレゼンテーション/認可を受けた大学研究:
専門教育のプレゼンテーションに関する開発及び発表がこの活動に該当します。
●記事、論文、書籍の執筆:
情報セキュリティマネジメントに直接関連する著作物(ハードコピー又はオンライン)の 出版又は評論などがこれに該当します。●CISM試験問題の作成とレビュー:
CISM試験又は学習参考書の作成又はレビューの活動がこれに該当します。●関連分野における専門資格試験の合格:
これは、他の専門試験の合格を目指した活動です。合格した場合、試験時間1時間につき1時間、CPEの時間数を獲得できます。●専門家集会への参加:
情報セキュリティ専門家による評議会、委員会又はタスクフォースへの参加が、これに該当します。 実際の活動時間に応じて、CPE時間が与えられます。●情報セキュリティ分野への貢献:
ISACA及び他の団体における情報セキュリティの専門分野での貢献 (例えば、研究開発、CISM認定レビューマニュアルの作成、K-Netでの製作)がこれに該当します。
「CISM」「ISACA」と限定されていないものは、対象とされる活動が類似していますからCISSPと同時に取得できそうですね。
| 固定リンク | コメント (0) | トラックバック (0)
12月9日にCISMの認定試験が実施されます。去る8月4日にISACA東京支部主催で説明会が開催されました。「認定試験案内」もwebにアップされていました。
せっかくなので、CISSPと試験範囲(CBK)と試験方式を比較してみましょう。
まずは、試験範囲。
CISM試験ドメイン(領域)概要
CISM試験の領域並びに出題される割合は以下の通りです。
- ドメイン1:情報セキュリティ・ガバナンス(21%)
Information Security Governance- ドメイン2:リスク・マネージメント(21%)
Risk Management- ドメイン3:情報セキュリティ・プログラム・マネージメント(21%)
Information Security Program(me) Management- ドメイン4:情報セキュリティ・マネージメント(24%)
Information Security Management- ドメイン5:レスポンス・マネージメント(13%)
Response Management
が、CISMの試験範囲。テクニカルよりマネジメントの領域が広いのです。割合も示されているのが特徴でしょうか。(この割合はドメインが改訂されると変わります)
では、次に認定試験の内容。
・問題は、実践的な知識と経験を確認するように設計しています。
・CISA(公認情報システム監査人)と同じ試験実施スキームで行われます。
・連続4時間の中で、200問を解く必要があります。
・問題は多枝(4枝)選択で、一つの最適解となるよう設計しています。
・スケールドスコアーで75点以上が合格となります。
が、CISMの試験方式。問題数はCISSPより少ない(実は数年前までは同じ250問でした)のですが、合格が75%以上でこちらはCISSPより高い設定。
ちなみに、CISMは合格者も(不合格者も)スコアがわかるようになっています。
ご興味と必要のある方は、ぜひチャレンジを。
えっ、私は受けるのか、って??
聞かないでください・・・
| 固定リンク | コメント (0) | トラックバック (0)
今日はコンセントレーションについてです。
CISSPホルダーは、更に「コンセントレーション」と呼ばれる情報セキュリティに関する3種類の上位資格を得ることができます。
ISSEP、ISSAP、ISSMPの3種で、現在のところ認定試験は英語のみ提供されています。
コンセントレーションは、大学でいう「専門課程」に当たるもので、この取得には、CISSPのCBK10分野に加えて、さらに深い知識を必要とされます。また、コンセントレーションに含まれる資格試験を受験するためには、CISSP取得者であることに加え、(ISC)2の「優良会員」であるという条件を満たすことが要求されています。
ISSJPは、日本におけるCISSPのコンセントレーションにあたります。
※ここでの「優良会員」とは、「(ISC)2の定める倫理規定に則っている者」、「年会費を支払っている者」、「資格有効期限中、CPEプログラムにおいて一定の成績を収めている者」、と定義されています。
1.ISSEP(Information Systems Security Engineering Professional)
●対象者:民間及び行政部門における情報セキュリティ・エンジニアリング専門家
●ドメイン(CBK):
・システム・セキュリティ・エンジニアリング(Systems Security Engineering)
・認証及び認定(Certification and Accreditation)
・テクニカル・マネジメント(Technical Management)
・米国政府情報保証(U.S. Government Information Assurance Regulations)ISSEPは、(ISC)2とU.S. National Security Agency(NSA)の情報保証局(Information Assurance Directorate=NSA/IAD)との合意の下、2003年2月に発表された特別プログラムで、NSA職員として、あるいは外部コントラクタとして同省のために仕事をしたいと望む情報セキュリティ・プロフェッショナル向けの資格として設立されました。現在ではNSAだけではなく、米国連邦政府におけるセキュリティ関連職従事者及びコントラクタの必須資格としても認定されています。
認定者は、250名うち日本は1名(2006年6月1日現在)。2.ISSAP(Information Systems Security Architecture Professional)
●対象者:情報セキュリティ・アーキテクチャ専門家
●ドメイン(CBK):
・アクセスコントロール・システムと方法論(Access Control Systems and Methodology)
・テレコミュニケーション及びネットワーク・セキュリティ(Telecommunications and Network Security)
・暗号学(Cryptography)
・要求分析、セキュリティ・スタンダード、ガイドライン及び基準(Requirements Analysis and Security Standards, Guidelines, Criteria)
・BCP及びDRP(障害修復計画)に関連した技術(Technology Related Business Continuity Planning (BCP) and Disaster Recovery Planning (DRP))
・物理セキュリティのインテグレーション(Physical Security Integration)認定者は、749名うち日本は3名(2006年6月1日現在)。
3.ISSMP(Information Systems Security Management Professional )
●対象者:情報セキュリティ・マネジメント専門家
●ドメイン(CBK):
・企業セキュリティ・マネジメント(Enterprise Security Management Practices)
・全社的システム開発セキュリティ(Enterprise-Wide System Development Security)
・オペレーション・セキュリティ遵守監督(Overseeing Compliance of Operations Security)
・BCP、DRP、COOP(管理計画の継続) の理解(Understanding Business Continuity Planning (BCP), Disaster Recovery Planning (DRP) and Continuity of Operations Planning (COOP))
・法、調査、科学捜査及び倫理(Law, Investigations, Forensics and Ethics)認定者は、630名うち日本は3名(2006年6月1日現在)。
| 固定リンク | コメント (0) | トラックバック (0)
CISSP10ドメインレビューセミナー受講や認定試験受験前に「自分のスキルチェックをしておきたい」という方も多いはず。どれくらいの知識レベルにあれば、これから学習をはじめて合格するレベルに到達できるのか目安が必要と思います。
そのようなときには、まずCompTIA Security+の試験範囲がその目安になるでしょう。
CompTIA Security+は、情報セキュリティのファウンデーション資格として世界的なスタンダードです。
こちらはCISSPと同じ米国発ということもあり、試験範囲がかなり近いものになっています。
その他には、SEA/Jの基礎コースの資格であるCSBMの学習内容が目安になります。
こちらは日本発のベンダーフリーの資格です。
ちなみに私はCompTIA Security+、SEA/Jとも講師をしておりました。(現在、とりあえず休業中?)
どちらも認定試験を、アールプロメトリック社でのCBT形式で受験が可能なところが共通のメリットです。つまり任意の時間に、受験が可能ということです。情報処理技術者試験などでは、受験回数などの制限事項が多いため、このあたりは不都合なことも多くなります。
これらの認定試験の結果で、スキルチェックをしてから受講するというステップを踏むのが米国などでは一般的ですし、私としてもお奨めしたい学習方法です。
| 固定リンク | コメント (0) | トラックバック (0)
(ISC)2では、CISSP以外にSSCPやCAPという資格の認定も行っています。どちらもまだ日本上陸を果たしていない(将来的に上陸するかどうかも疑問)のですが、参考までにご紹介します。CBKもCISSPと違いますので、比較してみてください。
SSCP(Systems Security Certified Practitioner)
SSCPは、情報セキュリティ部門の上級ポジションに就いている、もしくは今後就く予定の人材を対象とした資格であり、セキュリティ戦略策定に重要な以下7項目を対象としている。
①アクセス・コントロール(Access Control)
②アドミニストレーション(Administration)
③監査とモニタリング(Audit and Monitoring)
④暗号学(Cryptography)
⑤データ・コミュニケーション(Data Communications)
⑥悪質コード・ソフトウエア(Malicious Code / Malware)
⑦リスク、対応と復旧(Risk, Response and Recovery)
対象者は、これら7分野における1年以上の職歴があるシニア・ネットワーク・セキュリティ・エンジニア、シニア・セキュリティ・システム・アナリスト、及びシニア・セキュリティ・アドミニストレータとなっている。
認定者は、全世界で566名(2006/06/01現在)
CAP(Certification and Accreditation Professional)
CAP資格は、リスク評価を行い、セキュリティに必要な環境を整備する立場にある者で、ISC2のCBKが定める5分野での職歴が2年以上の者を対象としている。
①認証の理解(Understanding the Purpose of Certification)
②システム許可プロセス(Initiation of the System Authorization Process)
③認証(Certification Phase)
④認定(Accreditation Phase)
⑤継続的モニタリング(Continuous Monitoring Phase)
認定者は、全世界で144名(2006/06/01現在)
| 固定リンク | コメント (0) | トラックバック (0)
国際標準的なセキュリティのファウンデーション資格です。
CISSPを受験する前のステップとして「何の資格を目指すか」、その有力な1つの選択肢です。
試験は、アールプロメトリックより配信されていますので、その指定会場で好きなときに受験できます。
試験対策としては、市販テキストが2種(DAI-X出版、TAC出版)、ほかに問題集が出ています(FOM出版)。
受験対策コースもいろいろなところで講習が行われていますので、そちらも利用できます。
※ 私も講師をしたことがありますが・・・
<Security+試験概要>
■【出題内容】(SY0-101)制限時間90分/100問/100~900のスコア形式 764スコア以上
■1.0 セキュリティの一般概念 30%
■2.0 コミュニケーションセキュリティ 20%
■3.0 インフラストラクチャセキュリティ 20%
■4.0 暗号技術の基本 15%
■5.0 業務・組織面でのセキュリティ 15%
※ Security+はCompTIA A+とNetwork+認定資格に値する知識とスキルを持ったうえでの受験をお薦めします。A+、Network+取得者にとってはさらなる新しいステージとなるでしょう。※取得が前提条件ではありません。
●CompTIA Security+~CompTIA日本支局
●情報セキュリティ関連資格(2)CompTIA Security+~AllAbout
●CompTIAのセキュリティ認定資格「Security+」に挑戦~@IT
| 固定リンク | コメント (0) | トラックバック (0)
CISSP | CISSP CBK 10ドメイン | CPE | ISSJP | OFF TIME | いままでのキャリア | おすすめサイト | お役立ちのイベント・資料・書籍・情報 | その他のセキュリティ資格(CISSP以外) | ウェブログ・ココログ関連 | ニュース | プロフェッショナルスキル | レビューセミナーと認定試験 | 日記・コラム・つぶやき | 書籍・雑誌 | 講師のお仕事
最近のコメント