情報セキュリティに関連する資格試験において、ベンダーや特定製品に依存せず、国際的にも権威があるとされるのがCISSP(Certified Information Systems Security Professional)だ。CISOやシステム監査人、上級コンサルタントを目指すなら取得が推奨される資格である。
言葉が通じなかったり所属企業がグローバルで認知度が低くても、CISSP認定証を持っていれば、キャリアや技術レベルを手っ取り早く理解してもらうことができる。業務や案件によっては、プロジェクトにCISSP認定者を要件としている場合もある。セキュリティベンダーのエンジニア、企業のセキュリティ担当者でも、取得を目指す人は少なくない。
8つの知識ドメインから実践的な問題が出題
CISSPは米国に本拠を持つ(ISC)²(International Information Systems Security Certification Consortium:アイエスシー・スクエア)が主催するセキュリティ認定試験。問題は、CBK(Common Body of Knowledge)と呼ばれる以下の8つのドメイン(知識領域)から出題される。
1:セキュリティとリスクマネジメント
セキュリティのCIA、リスク、コンプライアンス、法、規制、事業継続計画など、セキュリティの基本とリスクマネジメントの知識を問う。
2:セキュリティの運用
運用のための概念、デジタルフォレンジック、インシデント管理、ディザスタリカバリ、物理的セキュリティなど。CSIRTの実務に近い実践的な知識を問う。
3:アイデンティティとアクセスの管理
アカウント情報の管理と運用、アクセス制御に関する知識。ID管理、多要素認証、説明責任(アカウンタビリティ)、セッション管理の他、クラウドベースのID管理、ID統合についての知識。アクセス制御や認証システムへの攻撃メカニズム、防止・軽減策の知識も問われる。
4:資産のセキュリティ
情報資産のライフサイクルにおいて、情報の収集から分類、保管、管理、廃棄までの要件。プライバシー保護、個人情報保護・管理はこのドメインに含まれる。
5:セキュリティアーキテクチャエンジニアリング
悪意のある行為(サイバー攻撃など)、事故、自然災害、ハードウェアエラー、人的エラーなど障害対策に必要なシステムおよびシステムアーキテクチャの知識が問われる。セキュリティシステムの設計・構築に必要な知識とスキル、暗号化技術、公開鍵暗号インフラ、デジタル署名、デジタル著作権管理といった技術も含まれる。
6:通信とネットワークセキュリティ
ネットワークアーキテクチャ、トポロジー、インターネットプロトコル全般、関連ネットワーク機器(スイッチ、ルーター、Wi-Fi)に関する知識。エンドポイント保護、CDNといった概念も含まれる。イントラネット、インターネット双方での攻撃と防御に関する知識も問われる。
7:ソフトウェア開発セキュリティ
ソフトウェアの開発ライフサイクルにおけるセキュリティ確保のため、セキュアなコード設計、レポジトリ管理など、開発にセキュリティ品質を導入するための知識とスキルが問われる。
8:セキュリティの評価とテスト
ソフトウェアの脆弱性、エラー、設計上のセキュリティホールなどのリスクの特定と軽減を行うため、脆弱性評価、ペネトレーションテスト、代理トランザクション、コードレビューとテストに関する知識が問われる。また、結果の評価分析、報告、監査を実施できるスキルも必要である。