米国のセキュリティプロフェッショナル認定制度「CISSP」(Certified Information Systems Security Professional)が注目されている。今年、本制度の開発・運営元であるNPO組織「(ISC)2® 」(ISCスクエア)が(ISC)2 Institute Japanを設立した。その社長である衣川俊章氏に、CISSPの概要と試験制度について語ってもらった。
 衣川俊章 氏 (ISC)2 InstituteJapan社長 
2004年5月より(ISC)2 InstituteJapan社長。米国バブソン大学大学院MBA取得経て、米国ソフトベンチャーオペレーションディレクター、戦略コンサル会社コグテック社協同経営者、米国コンテンツ配信関連ベンチャーでのアジア太平洋地区営業責任社、NTTコミュニケーションズでのセキュリティーサービスの新規市場開拓担当者を歴任。成城大学文学部英文化卒。 |
--個人情報保護法の施行を目前にして、企業が取り組むべきセキュリティ対策やリスクマネジメントが注目されています。その一方で「セキュリティ専門家の不足」や「誰が社内のセキュリティを管理するのか」といった人材にまつわる問題も依然として未解決です。「セキュリティ専門家」に求められるものも定まっていません。セキュリティの専門家とは、どういう人物なのでしょうか。
衣川氏: セキュリティは情報技術だけでなく、建物への侵入を防ぐ物理的セキュリティや法律なども範囲に入ります。社内の情報システム担当者がそのままセキュリティの専門家というわけではありません。
この問題については、実は1990年代初頭に米国でも論議されています。当時、米国で“セキュリティの専門家”と呼ばれる有識者が集まり、「何をもって専門家とするのか」「要件は何か」「身に付けておくべき知識体系は?」といったことを真剣に議論しました。その結果、セキュリティのプロフェッショナルたる基準が出来上がり、これを満たしていることが“プロ”の条件であって、その知識に対し認証資格を与えようという運びになったのです。これが「CISSP」(Certified Information Systems Security Professional)という資格です。
--CISSPの取得がすなわち「セキュリティの専門家」であると認定されるということですね。どのような資格なのでしょうか。
衣川氏: CISSPは米国のNPOである「(ISC)2®」(読み:ISCスクエア)が開発・認定しているグローバル資格で、現在106カ国で約3万名の認定者がいます。グローバルに通用する資格である点が特徴で、資格を取得するには特定の国や地域、技術的バックグラウンドにかたよらない広範なセキュリティの知識が必要になります。
具体的には、「情報セキュリティマネージメント」「エンタープライズセキュリティアーキテクチャ」「アクセス制御のシステムと方法論」「アプリケーションセキュリティ」「運用セキュリティ」「暗号学」「通信、ネットワーク、インターネットのセキュリティ」「物理的セキュリティ」「事業継続計画」「法、捜査、倫理」という10の知識体系から、250問が四択のマークシート方式で出題されます。この10の知識エリアを、われわれは「Common Body of Knowledge」(CBKTM)と呼んでいるのですが、とにかく範囲が広いことが特徴です。これは冒頭で申し上げた、「セキュリティのプロフェッショナルたる要件とは何か」という議論の中から生まれてきたもので、毎年見直しを図り、常に最新の知識体系をフィードバックしています。
CISSPが普通の試験と大きく異なる点は、単なる知識を問うものではないということです。「その技術はどういうもので」「どんな状況の時に」「なぜ必要になり」「それによって、どのようなリスクを回避できるか」を総合的に“考える”ことを課しますので、250問のマークシートで、試験時間は6時間です。
--これまで日本でもCISSPの試験は行われていたのでしょうか。認定者は何人くらいですか。
衣川氏: 日本だけでなく、ここ3〜4年はヨーロッパやアジア諸国からも注目が集まり、毎日世界のどこかで試験が開催されています。ただ、日本ではこれまで年1回のペースでしか実施しておらず、2003年末までのCISSP認定者数は40名ほどでした。それも半数以上が在日外国人の方です。
その大きな理由は、試験が英語で行われていたということ。そこで、現在私が代表を務める(ISC)2® Institute Japanを立ち上げ、検討を進めた結果、今年の7月から英語・日本語併記による試験に変え、頻度も2カ月に一度と変更したことで、受験者数も飛躍的に増加しました。もともとCISSPに興味はあったものの言葉の壁から試験をあきらめていた方が多かったとの声もいただいております。これに伴い、昨年末と比較してCISSP認定者の数も5倍近い伸びを示しており、おそらく2004年末までには200名超になると思います。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
近い将来「キャッシュレスがベース」に--インフキュリオン社長らが語る「現金大国」に押し寄せる変化
「S.RIDE」が目指す「タクシーが捕まる世界」--タクシー配車のエスライド、ビジネス向け好調
物流の現場でデータドリブンな文化を創る--「2024年問題」に向け、大和物流が挑む効率化とは
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた
培養肉の課題は多大なコスト--うなぎ開発のForsea Foodsに聞く商品化までの道のり
過去の歴史から学ぶ持続可能な事業とは--陽と人と日本郵政グループ、農業と物流の課題解決へ
通信品質対策にHAPS、銀行にdポイント--6月就任のNTTドコモ新社長、前田氏に聞く
「代理店でもコンサルでもない」I&COが企業の課題を解決する
「当たり前の作業を見直す」ことでパレット管理を効率化--TOTOとユーピーアールが物流2024年問題に挑む
ハウスコム田村社長に聞く--「ひと昔前よりはいい」ではだめ、風通しの良い職場が顧客満足度を高める
「Twitch」ダン・クランシーCEOに聞く--演劇専攻やGoogle在籍で得たもの、VTuberの存在感や日本市場の展望
セキュリティの意思決定を「考えさせる」試験問題