Certified Information Systems Security Professional

Certified Information Systems Security Professional
英名 Certified Information Systems Security Professional
略称 CISSP
実施国 アメリカ合衆国の旗 アメリカ合衆国
資格種類 民間資格
分野 コンピュータ・情報処理(情報セキュリティ)
試験形式 CBT
認定団体 ISC2 : International Information System Security Certification Consortium
公式サイト https://www.isc2.org/
ウィキプロジェクト ウィキプロジェクト 資格
ウィキポータル ウィキポータル 資格
テンプレートを表示
CISSPの旧ロゴ(2023年8月以前)

Certified Information Systems Security Professional (CISSP) は、アメリカ合衆国に本部を置く非営利団体International Information System Security Certification Consortium(ISC2[1])によって認定され、ANSI ISO/IEC Standard 17024:2003に準拠した情報セキュリティに関する国際標準の資格である[2][3]


概要

情報セキュリティに関する共通知識体系(Common Body of Knowledge:CBK)8分野の知識を有する専門家として認定する資格である。

2022年7月の時点で(ISC)²は、世界各国で 156,054人のCISSP 保有者数を報告している[4]

(ISC)²認定試験は日本国内で受験することができ、CISSP及び以下の(ISC)²認定試験は日本語で受験することができる。

  • CC(Certified in Cybersecurity)
  • SSCP(Systems Security Certified Practitioner)
  • CCSP(Certified Cloud Security Professional)

認証・評価

2004年6月、CISSPはANSI ISO/IEC Standard 17024:2003準拠の認証を受けた[5]

アメリカ国防総省(DoD)及びアメリカ国家安全保障局(NSA)の職員においてはCISSPの取得が義務付けられており、DoDD 8140(旧DoDD 8570)により情報保証技術(IAT)と 情報保証管理 (IAM)、およびシステムアーキテクトおよびエンジニア(IASAE)のカテゴリの職務に従事するアメリカ国防総省等の政府機関職員の要件となっているほか[6][7]2003年にはアメリカ国家安全保障局のISSEPプログラムのベースラインとして採用された[8]

2020年5月には英国全国学術認証情報センター(UK NARIC)は、CISSPを国家資格フレームワーク(RQF) レベル7(修士号相当)に認定した[9]

歴史

1988年11月、ベンダーニュートラルな標準化された認証プログラムの必要性から、データ処理管理学会(DPMA、Data Processing Management Association )のコンピュータ・セキュリティ分科会(SIG-CS、SIG for Computer Security )は、この認証プログラムに関心のある組織を招聘し、1989年半ばに非営利団体として(ISC)² が結成された[10]

1990年までに、共通知識体系を確立するための作業部会が結成され、1992年までにCBKの第1版が完成、1994年にCISSP資格の認定が開始した[11]

2004年6月、CISSPは米国国家規格協会 (ANSI) のISO/IEC17024:2003によって最初の情報セキュリティ資格として認定された[3]

2017年12月、CISSP英語版試験においてCAT(Computer Adaptive Testing)を開始した[11]

CISSP CBK(Common Body of Knowledge)

CISSP CBKは、ドメインと呼ばれる分野で、情報セキュリティの各要素を分類しており、(ISC)²によって編纂された。

CISSP試験はこの共通知識体系Common Body of Knowledge (CBK)に基づいて出題され、情報セキュリティの幅広い課題を網羅している[12]

(ISC)²は「CISSP CBKは分類法であり,世界中の情報セキュリティのプロフェッショナルに関する知識の集合である」としている[13]

CISSP CBKは、情報セキュリティと保証のコアとなる機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)から構成されるCIAトライアドに基づいており、10ドメインの構成によりCIAトライアドのバランスを図っている。[14]

  1. 運用セキュリティ
  2. 通信とネットワークのセキュリティ
  3. 情報セキュリティとリスクマネジメント
  4. アプリケーションセキュリティ
  5. 暗号学
  6. セキュリティアーキテクチャと設計
  7. アクセス制御
  8. 事業継続と災害復旧の計画
  9. 法、規則、コンプライアンス、捜査
  10. 物理(環境)セキュリティ

2018年4月にCBKが改定され、試験範囲が10ドメインから8ドメインに再編された[15]

  1. セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
  2. 資産のセキュリティ(資産の保護)
  3. セキュリティアーキテクチャエンジニアリング(セキュリティ設計と構築)
  4. 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
  5. アイデンティティとアクセスの管理(アクセス制御とID管理)
  6. セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)
  7. セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
  8. ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)

CISSP試験

2021年3月現在、試験はCBT(Computer Based Testing)形式で実施され、出題方式として以下2方式が提供されている[16]。2024年4月15日以降、すべての言語の試験でCAT(Computerized Adaptive Testing)方式で実施されることが発表されている[17]

なお、試験の出題数のうち25問は実験的な問題であり、採点対象外である[18]

受験はピアソンVUE(2021年現在日本国内では新宿・日比谷・大阪のピアソンVUEプロフェッショナルセンターで受験することができる[19]。)にて予約を行い、受験者が予約した日時で受験する。

また、再受験は初回不合格の場合30日間を空けてからの受験、2回目に不合格の場合は60日以内に再受験することができ、3回目に不合格の場合は90日以内に再受験することができるとしている。これらの再受験は12ヶ月間に4回までの受験制限がある[20]

CISSP試験の出題方式及び各概要[21]
出題方式 試験時間 出題数 出題形式 合格基準 対応言語 試験会場
連続問題式 6時間 250問 複数選択・高度な革新的形式   1000点中700点 フランス語, ドイツ語, ブラジル系ポルトガル語,スペイン語, 日本語, 簡体字中国語, 韓国語 (ISC)2 に認められたPPCおよびPVTC SelectのピアソンVUEテストセンター
CAT(Computerized Adaptive Testing) 3時間 100~150問 複数選択・高度な革新的設問 1000点中700点 英語

CISSP認定要件

CISSPとして認定されるためには次の要件を満たす必要がある。

CISSPの認定要件[22]

  • CISSP 認定試験に合格すること(1000 点中 700 点以上で合格)
  • CISSP CBK 8ドメインのうち2ドメインに関連した5年以上の業務経験があること 次のいずれかに該当する場合は、1年分の経験が免除され、4年の業務経験で認定可能。(免除は最長で1年分)
    • 大学卒業学位取得者
    • (ISC)² が認める資格の取得者[23]
  • 実務経験が事実であることを証明すること
  • 「(ISC)² 倫理規約(Code of Ethics)」に合意すること
  • (ISC)² 認定資格保持者から推薦されること(資格保有者が身近に居ない場合は(ISC)² に推薦を依頼することができる[22]
  • 無作為に行われる業務経験に関する監査に合格すること
  • 犯罪歴等に関する4つの質問事項に該当する場合は、認定を受けることができない場合がある

業務経験の年数に関する要件を満たせない場合は、準会員として登録することができ、必要な業務経験の年数を満たした際に正式なCISSPとして認定登録することができる。[24]

資格認定の更新

CISSP資格の有効期間は3年間であり、以下の要件を満たして更新する必要がある。[25]

  • 『(ISC)² 倫理規約』を遵守すること
  • 必要な継続教育単位(CPEクレジット)を取得し、申請すること
    CPEクレジットは、3年間で120CPEの獲得を必要とし、準会員の場合は1年間で15CPEの獲得が必要である。[25] CBKが対象とする分野の授業の受講、会議やセミナーへの出席、他者への指導、ボランティア活動の実施、専門的な執筆など、いくつかの方法で獲得することができる。ほとんどの活動では、費やした時間1時間につき1CPEが得られるが、他人のためのトレーニングの準備(提供はしない)は1時間につき4CPE、出版された論文は10CPE、出版された書籍は40CPEの認定を受けることができる。[26]
  • 毎年の請求書の受領時に年会費を支払うこと

認定者数

2022年7月時点で、全世界のCISSP認定者数は156,054人と報告されている[27]

国ごとのCISSP認定者数(上位12ヶ国・地域)
国・地域(トップ12) 認定者数
アメリカ 95,243
イギリス 8,486
カナダ 6,842
中国 4,136
日本 3,699
インド 3,364
オーストラリア 3,305
オランダ 2,983
シンガポール 2,963
ドイツ 2,856
大韓民国 2,090
香港 1,968

上級専門資格

CISSPの上位試験として、3分野において以下が設けられており、いずれも英語のみでの試験が提供されている。認定の条件として、CISSPの保有に加え、各資格に関連付けられるCBKの1ドメイン以上での実務経験かつ、2年以上のフルタイムの有給実務経験を必要とする。[28][29]

  • CISSP-ISSAP(Information Systems Security Architecture Professional), セキュリティアーキテクト認定
  • CISSP-ISSEP(Information Systems Security Engineering Professional), セキュリティエンジニアリング認定
    CISSP-ISSEPは米国家安全保障局と共同で開発された。[28]
  • CISSP-ISSMP(Information Systems Security Management Professional), セキュリティマネジメント認定

関連資格

前項に掲げる上位専門資格のほか、CISSPの関連資格として、次の認定試験が行われている。本項の試験はCISSP認定を受けていることは条件に含まれていない。

  • CC(Certified in Cybersecurity) 日本語試験あり。各資格の登竜門として設計されたもの。
  • SSCP(Systems Security Certified Practitioner) 日本語試験あり。情報セキュリティの実務担当者向けの試験。
  • CCSP(Certified Cloud Security Professional) 日本語試験あり。クラウドコンピューティング向けの試験。
  • CGRC(Certified in Governance, Risk and Compliance) 英語試験のみ。セキュリティガバナンス、リスクマネジメント、コンプライアンスを問う試験。
    • 2023年2月14日までCAP(Certified Authorization Professional)[30]
  • CSSLP(Certified Secure Software Lifecycle Professional) 英語試験のみ。ソフトウェアとアプリケーションのライフサイクルに関する試験。
  • HCISPP(HealthCare Information Security and Privacy Practitioner)英語試験のみ。医療情報に関するセキュリティ試験。


国別ローカライズ資格

CISSPの取得者向けに、国別の法令や慣習を元にした上級資格が用意されていることがあった。 2023年1月現在は以下の2資格試験は行われていないことから、新規認定者は増加せず自然消滅する見込み。

  • CISSP-ISSJP (Information Systems Security Japan Professional、CISSP-行政情報セキュリティ) 2006年から2009年まで実施
  • JGISP(Japan Government Information Security Professional、日本行政情報セキュリティプロフェッショナル) 2009年以降CISSP-ISSJPから改名

特典

2021年のGlobal Knowledge社の調査「2021年最も稼げるIT資格トップ[31]」によると、CISSPは5位にランク入りしており、取得者の平均年間所得は151,853米ドル(日本円では1700万円弱)とされている。

関連資格の優遇

  • ITコーディネータ(ITC)試験の科目免除[32]
  • 情報セキュリティ監査制度における情報セキュリティ監査人補の試験免除[33]
  • PCI DSSの監査人に対する資格要件の充足[34]
  • 認定に実務経験を要するセキュリティ関連資格の実務経験年数免除(ISACA CISM等では2年の免除)[35]

採用資格・任用資格

出典・脚注

  1. ^ 2023年8月17日、(ISC)²(アイエスシー・スクエア)からISC2(アイエスシー・ツー)に組織名を変更。
  2. ^ About (ISC)²”. (ISC)² (2009年). November 23, 2009閲覧。
  3. ^ a b ANSI Accreditation Services”. www.ansica.org. 2021年3月4日閲覧。
  4. ^ Member Counts | How Many (ISC)² Members Are There Per Certification | (ISC)²”. www.isc2.org. 2021年3月4日閲覧。
  5. ^ ANSI Accreditation Services”. www.ansica.org. 2021年3月26日閲覧。
  6. ^ DoD 8570.01-M Information Assurance Workforce Improvement Program” (PDF). United States Department of Defense (December 19, 2005). March 23, 2007閲覧。
  7. ^ What is DoDD 8140 (DoDD 8570)?” (英語). Intellectual Point. 2021年3月4日閲覧。
  8. ^ NSA Partners With (ISC)² To Create New InfoSec Certicication” (February 27, 2003). December 3, 2008閲覧。
  9. ^ (ISC)² CISSP Certification Now Comparable to Masters Degree Standard”. www.isc2.org. 2021年3月4日閲覧。
  10. ^ Harris, Shon (2010). All-In-One CISSP Exam Guide (5 ed.). New York: McGraw-Hill. pp. 7-8. ISBN 0071602178 
  11. ^ a b Cybersecurity Certification and Training | (ISC)²”. www.isc2.org. 2021年3月4日閲覧。
  12. ^ Conrad, Eric/Misenar, Seth/Feldman, Joshua;『11th Hour CISSP』Syngress、2016年。ISBN 978-0-12-417142-8 
  13. ^ Tipton; Henry. Official (ISC)² Guide to the CISSP CBK. Auerbach Publications. ISBN 0-8493-8231-9 
  14. ^ CISSP Education & Certification”. (ISC)² (2009年). November 10, 2010閲覧。
  15. ^ CISSP8ドメインガイドブック”. ISC2. 2021年3月4日閲覧。
  16. ^ (ISC)² Japan”. japan.isc2.org. 2021年3月4日閲覧。
  17. ^ Computerized Adaptive Testing (CAT) for CISSP Examinations in All Languages”. ISC2 (2024年2月26日). 2024年2月28日閲覧。
  18. ^ Endorsement”. (ISC)² (2009年). December 3, 2008閲覧。
  19. ^ ピアソン VUE”. wsr.pearsonvue.com. 2021年3月4日閲覧。
  20. ^ CISSP Exam Retake Policy Change”. (ISC)² Blog. 2021年3月4日閲覧。
  21. ^ 認定試験概要”. ISC2. 2021年3月4日閲覧。
  22. ^ a b 受験資格|(ISC)² Japan”. japan.isc2.org. 2021年3月4日閲覧。
  23. ^ (ISC)²”. isc2.org. 2023年1月21日閲覧。
  24. ^ (ISC)² Japan”. japan.isc2.org. 2021年3月5日閲覧。
  25. ^ a b (ISC)² Japan”. japan.isc2.org. 2021年3月4日閲覧。
  26. ^ Maintaining Your Credential”. (ISC)² (2009年). December 3, 2008閲覧。
  27. ^ Member Counts | How Many (ISC)² Members Are There Per Certification | (ISC)²”. www.isc2.org. 2021年3月26日閲覧。
  28. ^ a b IT Security Architect, Engineer, and Management Certifications | CISSP Concentrations | (ISC)²”. www.isc2.org. 2021年3月4日閲覧。
  29. ^ Candidate Information Bulletin(受験予定の方への最新情報)”. ISC2. 2021年3月25日閲覧。
  30. ^ CAP IS NOW CERTIFIED IN GOVERNANCE, RISK AND COMPLIANCE (CGRC)”. (ISC)2 (2023年2月15日). 2023年2月16日閲覧。
  31. ^ 15 Top-Paying IT Certifications for 2021”. Skillsoft Company. 2021年9月11日閲覧。
  32. ^ 対象の専門資格一覧(2020.4.1改訂)”. ITコーディネーター協会. 2020年10月8日閲覧。
  33. ^ 高度情報セキュリティ資格特例制度”. JASA (Japan Information Security Audit Association). 2021年3月18日閲覧。
  34. ^ 制度について:IPA 独立行政法人 情報処理推進機構”. www.ipa.go.jp. 2020年10月5日閲覧。
  35. ^ Certified Information Security Manager ISACA認定”. ISACA. 2021年3月19日閲覧。
  36. ^ 海上自衛隊技術海上幹部 航空自衛隊技術航空幹部 採用要項”. 防衛省. 2021年3月19日閲覧。

関連項目

外部リンク