第10回：年俸アップをもたらすセキュリティ資格・CISSPとは？

米国のセキュリティプロフェッショナル認定制度「CISSP」（Certified Information Systems Security Professional）が注目されている。今年、本制度の開発・運営元であるNPO組織「(ISC)^2® 」（ISCスクエア）が(ISC)² Institute Japanを設立した。その社長である衣川俊章氏に、CISSPの概要と試験制度について語ってもらった。

衣川俊章 氏 (ISC)2 InstituteJapan社長 2004年5月より（ISC)2 InstituteJapan社長。米国バブソン大学大学院MBA取得経て、米国ソフトベンチャーオペレーションディレクター、戦略コンサル会社コグテック社協同経営者、米国コンテンツ配信関連ベンチャーでのアジア太平洋地区営業責任社、NTTコミュニケーションズでのセキュリティーサービスの新規市場開拓担当者を歴任。成城大学文学部英文化卒。

セキュリティの意思決定を「考えさせる」試験問題
キャリアアップ、年俸アップに必須のCISSP

--個人情報保護法の施行を目前にして、企業が取り組むべきセキュリティ対策やリスクマネジメントが注目されています。その一方で「セキュリティ専門家の不足」や「誰が社内のセキュリティを管理するのか」といった人材にまつわる問題も依然として未解決です。「セキュリティ専門家」に求められるものも定まっていません。セキュリティの専門家とは、どういう人物なのでしょうか。

衣川氏：　セキュリティは情報技術だけでなく、建物への侵入を防ぐ物理的セキュリティや法律なども範囲に入ります。社内の情報システム担当者がそのままセキュリティの専門家というわけではありません。
この問題については、実は1990年代初頭に米国でも論議されています。当時、米国で“セキュリティの専門家”と呼ばれる有識者が集まり、「何をもって専門家とするのか」「要件は何か」「身に付けておくべき知識体系は？」といったことを真剣に議論しました。その結果、セキュリティのプロフェッショナルたる基準が出来上がり、これを満たしていることが“プロ”の条件であって、その知識に対し認証資格を与えようという運びになったのです。これが「CISSP」（Certified Information Systems Security Professional）という資格です。

--CISSPの取得がすなわち「セキュリティの専門家」であると認定されるということですね。どのような資格なのでしょうか。

衣川氏：　CISSPは米国のNPOである「(ISC)^2®」（読み：ISCスクエア）が開発・認定しているグローバル資格で、現在106カ国で約3万名の認定者がいます。グローバルに通用する資格である点が特徴で、資格を取得するには特定の国や地域、技術的バックグラウンドにかたよらない広範なセキュリティの知識が必要になります。
　具体的には、「情報セキュリティマネージメント」「エンタープライズセキュリティアーキテクチャ」「アクセス制御のシステムと方法論」「アプリケーションセキュリティ」「運用セキュリティ」「暗号学」「通信、ネットワーク、インターネットのセキュリティ」「物理的セキュリティ」「事業継続計画」「法、捜査、倫理」という10の知識体系から、250問が四択のマークシート方式で出題されます。この10の知識エリアを、われわれは「Common Body of Knowledge」（CBKTM）と呼んでいるのですが、とにかく範囲が広いことが特徴です。これは冒頭で申し上げた、「セキュリティのプロフェッショナルたる要件とは何か」という議論の中から生まれてきたもので、毎年見直しを図り、常に最新の知識体系をフィードバックしています。
　CISSPが普通の試験と大きく異なる点は、単なる知識を問うものではないということです。「その技術はどういうもので」「どんな状況の時に」「なぜ必要になり」「それによって、どのようなリスクを回避できるか」を総合的に“考える”ことを課しますので、250問のマークシートで、試験時間は6時間です。

--これまで日本でもCISSPの試験は行われていたのでしょうか。認定者は何人くらいですか。

衣川氏：　日本だけでなく、ここ3〜4年はヨーロッパやアジア諸国からも注目が集まり、毎日世界のどこかで試験が開催されています。ただ、日本ではこれまで年1回のペースでしか実施しておらず、2003年末までのCISSP認定者数は40名ほどでした。それも半数以上が在日外国人の方です。

　その大きな理由は、試験が英語で行われていたということ。そこで、現在私が代表を務める(ISC)^2® Institute Japanを立ち上げ、検討を進めた結果、今年の7月から英語・日本語併記による試験に変え、頻度も2カ月に一度と変更したことで、受験者数も飛躍的に増加しました。もともとCISSPに興味はあったものの言葉の壁から試験をあきらめていた方が多かったとの声もいただいております。これに伴い、昨年末と比較してCISSP認定者の数も5倍近い伸びを示しており、おそらく2004年末までには200名超になると思います。