HP OpenView News 【42-01】
世界で認められたセキュリティ専門家資格「CISSP」とは

CISSPは、国際的なセキュリティ専門家の認証基準として、デファクト・スタンダードとなっています。同資格は、1989年に米国で設立されたNPO（非営利団体）である（ISC）²（International Internet Systems Security Certification Consortium、『アイエスシー・スクエア』と読みます）により提供されており、技術的専門知識、経営者に必要なセキュリティ知識を包括的にカバーする、国際的に最も権威のある資格でもあるのです。特定ベンダーの製品知識だけでなく、セキュリティ全般について常に最新の技術・知識を吸収していないと取得できない資格であり、2004年6月には、IT資格として世界で初めてISO17024(要員の認証を実施する機関に対する一般要求事項)を取得しています。CISSP資格取得には、

• 情報セキュリティの実務条件が4年以上あること
• （ISC）²が定める倫理規定に従うこと
• 過去に犯罪歴がないことを証明すること
• CISSP資格試験を受け、合格すること

CISSP資格の根幹を成すのが、「CBK(Common Body of Knowledge)」と呼ばれる必要知識ドメインです。これは、対等レベルの人々と質の高い議論を交わすため、情報セキュリティ専門家が十分に理解しておくべき情報セキュリティの知識を分野別にまとめたもので、全世界のセキュリティの“プロ”への定期的なヒアリング調査実施で常に最新の知識が体系的に保持されています。CBKは非常に広範囲で、具体的には次の10ドメインがあります。

1. 情報セキュリティマネジメント（Information Security Management）
2. エンタープライズセキュリティアーキテクチャ（Enterprise Security Architecture）
3. アクセス制御のシステムと方法論（Access Control Systems ＆ Methodology）
4. アプリケーションセキュリティ （Applications Security）
5. 運用セキュリティ（Operations Security）
6. 暗号学 （Cryptography）
7. 通信、ネットワーク、インターネットのセキュリティ（Telecommunications, Network ＆ Internet Security）
8. 物理的セキュリティ （Physical Security）
9. 事業継続計画 （Business Continuity Planning）
10. 法、捜査、倫理（Law, Investigation ＆ Ethics）

（ISC）²によると、全世界におけるCISSP資格保有者は41,166名となっており、（2006年6月現在）、最も取得者が多いのは米国（約26,000名）ついで、カナダ(約2,300名)、英国(約1,900名)、韓国(約1,300名)と続いています。

では、どのような現場でこのCISSPの取得が奨励されているのでしょうか？

米国政府では、CISSPはサイバーセキュリティにおける資格として米国政府のゴールド・スタンダードとして認定されています。例えば、NSA（米国家安全保障局）ではCISSP取得が義務付けられ、上位資格（ISSEP)も求められています。民間企業でも、より多くのCISSP資格保有者による企業への信頼度アップが見込まれ、また従業員にとっても個人のキャリアの明確な裏づけとして確立しています。

また、英ロンドン警視庁（スコットランドヤード）のコンピュータ犯罪局やインターポール（国際警察機構）においても、情報テクノロジー犯罪の専門家のCISSP取得が進んでいます。英国政府のInfosec Training Paths and Competencies (ITPC)では、CISSP資格保有者を自動的に資格認定することが決定されております。

アジアでも、シンガポール政府のIDA（情報通信開発庁）では、現在 Chartered Security Investigator (CSI)資格及びトレーニングの開発 に向けて（ISC）²と協業を図っているなど、各国でもCISSP資格取得を推奨しております。

《統計》世界のCISSP保持者
≫https://www.isc2.org/cgi-bin/constituent_count.cgi?displaycategory=1344#cissps 

2006年6月現在、わが国、日本でのCISSP保持者はわずか535名です。ただし、最近では冒頭のような問題認識からか、広く世界でも通用する資格として「CISSP」への注目が高まりつつあるといえます。

HP社では、バランスの取れた高度なセキュリティ知識を有する人材育成の重要性を経営層も認識し、CISSPをセキュリティの最上位資格として位置づけ取得を奨励しています。HPでは、全世界で現在250名を超えるCISSP資格保有者を有しています(2006年7月現在）。
日本HPでも、昨年では、10余名のCISSP資格保有者が誕生し、今年も8月現在でも昨年を上回るペースで本認定試験合格者を追加輩出しております（筆者もそのひとり）。そして、さらにCISSP資格保有者を日本における取得者数の1割を占めるべく、情報セキュリティ人材教育を積極的に展開しております。

次回は、「CISSP認定試験に合格するには？」をテーマに認定試験の受験に関して、筆者なりの見解をご紹介したいと思います。

〈参考資料〉

1. (ISC)² ジャパン配布資料
2. 第10回：年俸アップをもたらすセキュリティ資格・CISSPとは？(CNET Japan、2004/11/22) 
3. セキュリティ Why HP?