CISSPの旧ロゴ(2023年8月以前)
Certified Information Systems Security Professional (CISSP ) は、アメリカ合衆国に本部を置く非営利団体International Information System Security Certification Consortium(ISC2 [ 1] )によって認定され、ANSI ISO/IEC Standard 17024:2003 に準拠した情報セキュリティ に関する国際標準の資格である[ 2] [ 3] 。
概要
情報セキュリティに関する共通知識体系(Common Body of Knowledge:CBK)8分野の知識を有する専門家として認定する資格である。
2022年 7月 の時点で(ISC)²は、世界各国で 156,054人のCISSP 保有者数を報告している[ 4] 。
(ISC)²認定試験は日本国内で受験することができ、CISSP及び以下の(ISC)²認定試験は日本語で受験することができる。
CC(Certified in Cybersecurity)
SSCP(Systems Security Certified Practitioner)
CCSP(Certified Cloud Security Professional)
認証・評価
2004年 6月、CISSPはANSI ISO/IEC Standard 17024:2003 準拠の認証を受けた[ 5] 。
アメリカ国防総省(DoD) 及びアメリカ国家安全保障局(NSA) の職員においてはCISSPの取得が義務付けられており、DoDD 8140(旧DoDD 8570)により情報保証技術(IAT)と 情報保証管理 (IAM)、およびシステムアーキテクトおよびエンジニア(IASAE)のカテゴリの職務に従事するアメリカ国防総省等の政府機関職員の要件となっているほか[ 6] [ 7] 、2003年 にはアメリカ国家安全保障局のISSEP プログラムのベースラインとして採用された[ 8] 。
2020年 5月には英国全国学術認証情報センター(UK NARIC)は、CISSPを国家資格フレームワーク(RQF) レベル7(修士号相当)に認定した[ 9] 。
歴史
1988年 11月、ベンダーニュートラルな標準化された認証プログラムの必要性から、データ処理管理学会(DPMA、Data Processing Management Association )のコンピュータ・セキュリティ分科会(SIG-CS、SIG for Computer Security )は、この認証プログラムに関心のある組織を招聘し、1989年 半ばに非営利団体 として(ISC)² が結成された[ 10] 。
1990年 までに、共通知識体系を確立するための作業部会が結成され、1992年 までにCBKの第1版が完成、1994年 にCISSP資格の認定が開始した[ 11] 。
2004年 6月、CISSPは米国国家規格協会 (ANSI) のISO/IEC 17024:2003 によって最初の情報セキュリティ資格として認定された[ 3] 。
2017年 12月、CISSP英語版試験においてCAT (Computer Adaptive Testing)を開始した[ 11] 。
CISSP CBK(Common Body of Knowledge)
CISSP CBKは、ドメインと呼ばれる分野で、情報セキュリティの各要素を分類しており、(ISC)²によって編纂された。
CISSP試験はこの共通知識体系Common Body of Knowledge (CBK)に基づいて出題され、情報セキュリティの幅広い課題を網羅している[ 12] 。
(ISC)²は「CISSP CBKは分類法であり,世界中の情報セキュリティのプロフェッショナルに関する知識の集合である 」としている[ 13] 。
CISSP CBKは、情報セキュリティと保証のコアとなる機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)から構成されるCIAトライアドに基づいており、10ドメインの構成によりCIAトライアドのバランスを図っている。[ 14]
運用セキュリティ
通信とネットワークのセキュリティ
情報セキュリティとリスクマネジメント
アプリケーションセキュリティ
暗号学
セキュリティアーキテクチャと設計
アクセス制御
事業継続と災害復旧の計画
法、規則、コンプライアンス、捜査
物理(環境)セキュリティ
2018年4月にCBKが改定され、試験範囲が10ドメインから8ドメインに再編された[ 15] 。
セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
資産のセキュリティ(資産の保護)
セキュリティアーキテクチャエンジニアリング(セキュリティ設計と構築)
通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
アイデンティティとアクセスの管理(アクセス制御とID管理)
セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)
セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
CISSP試験
2021年3月現在、試験はCBT(Computer Based Testing )形式で実施され、出題方式として以下2方式が提供されている[ 16] 。2024年4月15日以降、すべての言語の試験でCAT(Computerized Adaptive Testing)方式で実施されることが発表されている[ 17] 。
なお、試験の出題数のうち25問は実験的な問題であり、採点対象外である[ 18] 。
受験はピアソンVUE(2021年現在日本国内では新宿・日比谷・大阪のピアソンVUEプロフェッショナルセンターで受験することができる[ 19] 。)にて予約を行い、受験者が予約した日時で受験する。
また、再受験は初回不合格の場合30日間を空けてからの受験、2回目に不合格の場合は60日以内に再受験することができ、3回目に不合格の場合は90日以内に再受験することができるとしている。これらの再受験は12ヶ月間に4回までの受験制限がある[ 20] 。
CISSP試験の出題方式及び各概要[ 21]
出題方式
試験時間
出題数
出題形式
合格基準
対応言語
試験会場
連続問題式
6時間
250問
複数選択・高度な革新的形式
1000点中700点
フランス語, ドイツ語, ブラジル系ポルトガル語,スペイン語, 日本語, 簡体字中国語, 韓国語
(ISC)2 に認められたPPCおよびPVTC SelectのピアソンVUEテストセンター
CAT(Computerized Adaptive Testing)
3時間
100~150問
複数選択・高度な革新的設問
1000点中700点
英語
CISSP認定要件
CISSPとして認定されるためには次の要件を満たす必要がある。
CISSPの認定要件 [ 22]
CISSP 認定試験に合格すること(1000 点中 700 点以上で合格)
CISSP CBK 8ドメインのうち2ドメインに関連した5年以上の業務経験があること 次のいずれかに該当する場合は、1年分の経験が免除され、4年の業務経験で認定可能。(免除は最長で1年分)
大学卒業学位取得者
(ISC)² が認める資格の取得者[ 23]
実務経験が事実であることを証明すること
「(ISC)² 倫理規約(Code of Ethics)」に合意すること
(ISC)² 認定資格保持者から推薦されること(資格保有者が身近に居ない場合は(ISC)² に推薦を依頼することができる[ 22] )
無作為に行われる業務経験に関する監査に合格すること
犯罪歴等に関する4つの質問事項に該当する場合は、認定を受けることができない場合がある
業務経験の年数に関する要件を満たせない場合は、準会員として登録することができ、必要な業務経験の年数を満たした際に正式なCISSPとして認定登録することができる。[ 24]
資格認定の更新
CISSP資格の有効期間は3年間であり、以下の要件を満たして更新する必要がある。[ 25]
『(ISC)² 倫理規約』を遵守すること
必要な継続教育 単位(CPEクレジット)を取得し、申請すること CPEクレジットは、3年間で120CPEの獲得を必要とし、準会員の場合は1年間で15CPEの獲得が必要である。[ 25] CBKが対象とする分野の授業の受講、会議やセミナーへの出席、他者への指導、ボランティア活動の実施、専門的な執筆など、いくつかの方法で獲得することができる。ほとんどの活動では、費やした時間1時間につき1CPEが得られるが、他人のためのトレーニングの準備(提供はしない)は1時間につき4CPE、出版された論文は10CPE、出版された書籍は40CPEの認定を受けることができる。[ 26]
認定者数
2022年7月時点で、全世界のCISSP認定者数は156,054人と報告されている[ 27] 。
国ごとのCISSP認定者数(上位12ヶ国・地域)
国・地域(トップ12)
認定者数
アメリカ
95,243
イギリス
8,486
カナダ
6,842
中国
4,136
日本
3,699
インド
3,364
オーストラリア
3,305
オランダ
2,983
シンガポール
2,963
ドイツ
2,856
大韓民国
2,090
香港
1,968
上級専門資格
CISSPの上位試験として、3分野において以下が設けられており、いずれも英語のみでの試験が提供されている。認定の条件として、CISSPの保有に加え、各資格に関連付けられるCBKの1ドメイン以上での実務経験かつ、2年以上のフルタイムの有給実務経験を必要とする。[ 28] [ 29]
CISSP-ISSAP(Information Systems Security Architecture Professional), セキュリティアーキテクト認定
CISSP-ISSEP(Information Systems Security Engineering Professional), セキュリティエンジニアリング認定 CISSP-ISSEPは米国家安全保障局 と共同で開発された。[ 28]
CISSP-ISSMP(Information Systems Security Management Professional), セキュリティマネジメント認定
関連資格
前項に掲げる上位専門資格のほか、CISSPの関連資格として、次の認定試験が行われている。本項の試験はCISSP認定を受けていることは条件に含まれていない。
CC(Certified in Cybersecurity) 日本語試験あり。各資格の登竜門として設計されたもの。
SSCP(Systems Security Certified Practitioner) 日本語試験あり。情報セキュリティの実務担当者向けの試験。
CCSP(Certified Cloud Security Professional) 日本語試験あり。クラウドコンピューティング向けの試験。
CGRC(Certified in Governance, Risk and Compliance) 英語試験のみ。セキュリティガバナンス、リスクマネジメント、コンプライアンスを問う試験。
2023年2月14日までCAP(Certified Authorization Professional)[ 30]
CSSLP(Certified Secure Software Lifecycle Professional) 英語試験のみ。ソフトウェアとアプリケーションのライフサイクルに関する試験。
HCISPP(HealthCare Information Security and Privacy Practitioner)英語試験のみ。医療情報に関するセキュリティ試験。
国別ローカライズ資格
CISSPの取得者向けに、国別の法令や慣習を元にした上級資格が用意されていることがあった。
2023年1月現在は以下の2資格試験は行われていないことから、新規認定者は増加せず自然消滅する見込み。
CISSP-ISSJP (Information Systems Security Japan Professional、CISSP-行政情報セキュリティ) 2006年から2009年まで実施
JGISP(Japan Government Information Security Professional、日本行政情報セキュリティプロフェッショナル) 2009年以降CISSP-ISSJPから改名
特典
2021年のGlobal Knowledge社の調査「2021年最も稼げるIT資格トップ[ 31] 」によると、CISSPは5位にランク入りしており、取得者の平均年間所得は151,853米ドル(日本円では1700万円弱)とされている。
関連資格の優遇
採用資格・任用資格
技術航空幹部(3等空佐・1等空尉・2等空尉)の採用資格に指定されている。(情報セキュリティ関連の業務経験を3年以上有することを条件としている)[ 36]
技術陸曹・海曹・空曹 の任用資格に指定されている。
出典・脚注
^ 2023年8月17日、(ISC)²(アイエスシー・スクエア)からISC2(アイエスシー・ツー)に組織名を変更。
^ “About (ISC)² ”. (ISC)² (2009年). November 23, 2009 閲覧。
^ a b “ANSI Accreditation Services ”. www.ansica.org . 2021年3月4日 閲覧。
^ “Member Counts | How Many (ISC)² Members Are There Per Certification | (ISC)² ”. www.isc2.org . 2021年3月4日 閲覧。
^ “ANSI Accreditation Services ”. www.ansica.org . 2021年3月26日 閲覧。
^ “DoD 8570.01-M Information Assurance Workforce Improvement Program ” (PDF). United States Department of Defense (December 19, 2005). March 23, 2007 閲覧。
^ “What is DoDD 8140 (DoDD 8570)? ” (英語). Intellectual Point . 2021年3月4日 閲覧。
^ “NSA Partners With (ISC)² To Create New InfoSec Certicication ” (February 27, 2003). December 3, 2008 閲覧。
^ “(ISC)² CISSP Certification Now Comparable to Masters Degree Standard ”. www.isc2.org . 2021年3月4日 閲覧。
^
Harris, Shon (2010). All-In-One CISSP Exam Guide (5 ed.). New York: McGraw-Hill. pp. 7-8. ISBN 0071602178
^ a b “Cybersecurity Certification and Training | (ISC)² ”. www.isc2.org . 2021年3月4日 閲覧。
^ Conrad, Eric/Misenar, Seth/Feldman, Joshua;『11th Hour CISSP』Syngress、2016年。ISBN 978-0-12-417142-8 。
^ Tipton; Henry. Official (ISC)² Guide to the CISSP CBK . Auerbach Publications. ISBN 0-8493-8231-9
^ “CISSP Education & Certification ”. (ISC)² (2009年). November 10, 2010 閲覧。
^ “CISSP8ドメインガイドブック ”. ISC2. 2021年3月4日 閲覧。
^ “(ISC)² Japan ”. japan.isc2.org . 2021年3月4日 閲覧。
^ “Computerized Adaptive Testing (CAT) for CISSP Examinations in All Languages ”. ISC2 (2024年2月26日). 2024年2月28日 閲覧。
^ “Endorsement ”. (ISC)² (2009年). December 3, 2008 閲覧。
^ “ピアソン VUE ”. wsr.pearsonvue.com . 2021年3月4日 閲覧。
^ “CISSP Exam Retake Policy Change ”. (ISC)² Blog . 2021年3月4日 閲覧。
^ “認定試験概要 ”. ISC2. 2021年3月4日 閲覧。
^ a b “受験資格|(ISC)² Japan ”. japan.isc2.org . 2021年3月4日 閲覧。
^ “(ISC)² ”. isc2.org . 2023年1月21日 閲覧。
^ “(ISC)² Japan ”. japan.isc2.org . 2021年3月5日 閲覧。
^ a b “(ISC)² Japan ”. japan.isc2.org . 2021年3月4日 閲覧。
^ “Maintaining Your Credential ”. (ISC)² (2009年). December 3, 2008 閲覧。
^ “Member Counts | How Many (ISC)² Members Are There Per Certification | (ISC)² ”. www.isc2.org . 2021年3月26日 閲覧。
^ a b “IT Security Architect, Engineer, and Management Certifications | CISSP Concentrations | (ISC)² ”. www.isc2.org . 2021年3月4日 閲覧。
^ “Candidate Information Bulletin(受験予定の方への最新情報) ”. ISC2. 2021年3月25日 閲覧。
^ “CAP IS NOW CERTIFIED IN GOVERNANCE, RISK AND COMPLIANCE (CGRC) ”. (ISC)2 (2023年2月15日). 2023年2月16日 閲覧。
^ “15 Top-Paying IT Certifications for 2021 ”. Skillsoft Company. 2021年9月11日 閲覧。
^ “対象の専門資格一覧(2020.4.1改訂) ”. ITコーディネーター協会. 2020年10月8日 閲覧。
^ “高度情報セキュリティ資格特例制度 ”. JASA (Japan Information Security Audit Association) . 2021年3月18日 閲覧。
^ “制度について:IPA 独立行政法人 情報処理推進機構 ”. www.ipa.go.jp . 2020年10月5日 閲覧。
^ “Certified Information Security Manager ISACA認定 ”. ISACA. 2021年3月19日 閲覧。
^ “海上自衛隊技術海上幹部 航空自衛隊技術航空幹部 採用要項 ”. 防衛省. 2021年3月19日 閲覧。
関連項目
外部リンク