セキュリティの意思決定を「考えさせる」試験問題
--先ほど、ほかの認定試験と異なり「知識」だけでなく「考えさせる」問題構成だとおっしゃっていましたが、国内にも「情報セキュリティアドミニストレータ」などの資格があります。これらとの関係を教えて下さい。
衣川氏: CISSPの試験が「考えさせるものである」というのはそこに意味があります。CISSPが主要ターゲットとしているのは、企業の中でセキュリティに関する一切を取りしきる意思決定者です。どのようにセキュリティ対策を運用し、必要な技術は何であり、体制をどのように整え、どのようなリスクを防げるか。こうしたことを統括する管理者層の方々に重点を置いています。具体的な役職を挙げると、例えばCIO(情報統括責任者)やCISO(情報セキュリティ統括責任者)です。
その一方で、CIOやCISOを支援するコンサルタントやベンダーの方々も、同じスキームで話をしなくてはなりません。そのため、こうした方々もターゲットになります。
もともとCISSP自体、「受験資格として最低4年以上の経験を持っていること」と定めてあります。つまり、プロとしての実践が必要になのです。さらに一度取得したら終わりではなく、継続的に学習を続けないと、資格を喪失してしまうことは大きな相違点だと思います。 日本に限らず欧米でも、多くのセキュリティ資格試験は、エントリーレベルの方も受験できるようになっています。もちろん、かといって簡単に受かるようなものではありませんが、CISSPの場合、ターゲットがそもそも意思決定者あるいはそれに準ずる方に絞り込まれていることが特徴です。
さらにいえば、米国では監査人認定試験「CISA」(Certified Information Systems Auditor)という資格があるのですが、CISAが対象としているのは「監査」と「セキュリティの専門家」で、意思決定権を持つことはこれとは異なります。
キャリアアップ、年俸アップに必須のCISSP
--CISSPは企業の中でセキュリティマネジメントを統括する方々のための資格であるということですね。海外での評価はいかがでしょうか。
衣川氏: 米国の雑誌「Certification」の調査によると、ROIナンバーワンの資格という結果が出ています。具体的には、CISSPを取得することで年収が7000〜8000ドルアップするといったことですね。あとは先ほども申し上げたとおり、ある程度管理者層をターゲットにしているので、この資格を取らないと先のポジションに進めないという位置づけにあります
--法律などの知識も問われるとのことですが、試験国それぞれで特有の法律や制度などに準拠して問題を作成しているのでしょうか。
衣川氏: CISSPで問うのはセキュリティの普遍的な知識概念なので、国特有の問題は出ません。それは技術的な問題についても同じです。だからこそグローバルで通用するものなのです。同時に、受験者には倫理規約に同意をすることも求めています。
“グローバル”というのは、単に全世界で実施されているという意味ではありません。CISSPはセキュリティ資格試験で初めてISO10724を取得しました。これは(ISC)2®がきちんと資格試験の開発・運営やその手順を国際基準に則って進めているという証です。たとえば先ほど申し上げた10の知識体系の評価・見直しプロセスについてもそうですし、テストの回答率も分析して、国際資格として不公平がないように日々取り組んでいます。
こうした資格を日本企業でももっと認めて、積極的に活用するとともに、確かな報酬を与えるなどの取り組みが必要です。米国の大手企業ではCISSPが管理職に移行するための必須の資格ですし、米国政府もセキュリティ関連職員従事者に義務付けています。日本でもこうした取り組みを行うことで、CISSPやセキュリティ専門家の育成が活発になると思います。(第11回へ続く)
※ISMS
Information Security Management Systemの略。
日本情報処理開発協会(JIPDEC)が管理する認定制度で、企業や組織が自身の情報セキュリティを確保・維持するために、ルール(セキュリティポリシー)に基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する体制を確立するための枠組。事業部を単位として認定が行われる。情報資産の機密性、完全性、可用性の確保を主要コンセプトとしている。BS7799 Part2がベース。
※プライバシーマーク
JIPDECが管理する、事業所の個人情報取り扱い体制に関する認定制度。個人情報の収集・管理などについてJIPDECの定める基準を満たして適正に管理していると認定されれば、マークの使用許諾を得ることができる。審査基準は基本的にJIS Q15001(個人情報保護に関するコンプイアンス・プログラムの要求事項)に準拠しており、有効期間は2年間。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」