数日前に購入して、積読状態になっているCISSP公式ガイドブックを少し読んでみました。
その考察として、思ったことをブログします。
現役の情報処理安全確保支援士(以下RISS)がCISSPを語っているブログがあまりなかったので、興味ある方がおられるかなと。
なお、自分は国際資格を何個か持ってます。
プロジェクトマネジメント系のPMP、サイバーセキュリティ系のCEH、テクニカル系のSJCP、MCDST、AWSCCPとかです。
研修費用など、会社から出してもらい、それなりに勉強してきたため、すべて1発で合格してきました。
そんな自分が今年に入り注目したのがCISSPです。
セキュリティ系というとCEH以外には、
- 情報セキュリティ検定1級
- 情報セキュリティアドミニストレータ
なども取得していて、正直、あまり資格をたくさん取ると、資格マニアのようで、どうかなと思いますが・・
ただ、コロナ禍で少し時間もあるので、CISSPに挑戦してみようかと(考え始めてます)。
CISSPとは
CISSPは認定情報システムセキュリティプロフェッショナルということで、世界的にかなり評価の高い資格です。
有名どころのコンサルティングファームの人がよく名刺に書いている資格だと思います。
研修だけで50万、受験は8万円と、なかなか、費用面での難易度が高い資格ですね。
実務経験も5年程度必要です。
そのため、転職などでのアピール度合いはかなり高いと思います。
情報処理安全確保支援士との比較
世間では、情報処理安全確保支援士とよく比較されています。
大体、CISSPが上位で、情報処理安全確保支援士はその焼き直し又は劣化版という評価が多いです。
ただ、このようなことを書いている方のほとんどが情報処理安全確保支援士ではないような気がします。
自分はCISSPの公式ガイドブックをザクっと読んで、少し違う印象となりました。
ただ、ここからは、あくまで個人的な見解ということで、読んでください。
CISSP公式ガイドブックの考察
公式ガイドブックの問題を初見で解いて約6割の正答となりました。
合格には約7割の正答が必要とのことなので、もう少し勉強する必要があります。
CISSP試験について、よく聞く話が「この試験特有の難しさがある」ということです。
ですが、自分は公式ガイドブックの問題を解きましたが、その点は全然気にならなかったです。
多分、ほとんどの国際資格は欧米系になると思いますが、この手の試験が期待する受験者の思想や考え方が、PMPやCEHと同じだからだと思います。
この点、日本と欧米ではかなり違います。
企業文化的なもの、雇用慣行的なものですが、日本の会社員としての常識で答えると間違います。
このあたり「CEHでポルノ発見→通報」「PMPで発注先より奢られる→断る」というシンプルな欧米ロジックを感じます。
日本だとまずは上司に報告だとか、よく飲みに行く発注先だとかで「まぁまぁ」という文化があるかなと。
あと、会社の上役の指示だから仕方ないとか、前任者がやってたから・・etcな感覚は全てアウトです。
なにこれ?と思うものとしては、物理的対策として、火災時における人命第一(これ結構CISSP特有とか言われてますが)とか。
一方、テクニカルな内容は初歩的なものが多く、多分暗記で十分対応できます。
この点、情報処理安全確保支援士の午後問題の方が思考力という意味でのレベルは全然高いですね。
ただ、原理原則の考え方はCISSP独自の世界観があります。
特にセキュリティモデルなんかは、情報処理安全確保支援士では出題されません。
Bell-LaPadula機密性モデル、Biba完全性モデル、Clark-Wilson完全性モデルなどです。
物理的な対策として、細かいことでは消火器のクラスCは電気火災とか。
なぞなぞ博士になれそうな問題も多くあります。
その他、欧米の各種法規・ルール(HIPPAとか)や、NIST標準など、かなりマニアックな内容もあります。
これはただ覚えればよいだけですが。
だらだらと書きましたが、まとめるとCISSPはセキュリティの知識ドメインを広げてくれると思います。
ただ、日本でセキュリティ実務をやる上では、欧米の法規や、欧米規格の物理対策など無駄が多いような気がします。
まとめ
所詮は資格なので、取得してからがスタートだとは思います。
とはいえ、スタートラインに立つときの最低限の知識を証明することは、これからも求めれられると思います。
まとめとして、
それを前提に、自分の持っているセキュリティ資格とCISSPの試験難易度を、学習難易度、問題難易度、認定難易度の3つで書いてみます。
学習難易度
高 CEH > CISSP > 情報処理安全確保支援士 低
CEHは最近Udemyでオンラインコースやその書籍が販売されているので改善しました。
しかし、参考書は翻訳版は少ない(ない?)こともあり、集合セミナーの分厚いテキストの通読を強いられる。
ハッキングは実践が習得の近道ですが、環境準備も大変なので。
まぁ試験合格だけなら暗記一本でも何とか対応できるとは思いますが。
CISSPは日本語のガイドブックと問題集が出揃い、google翻訳でWeb問題集も使えるなど、ここ数年で学習難易度はかなり下がったと思います。
問題難易度
高 情報処理安全確保支援士 > CISSP ≒ CEH 低
CISSPとCEHは管理系or技術系のバックグランドにより、難易度が大きく左右されると思います。
Linuxやルータ管理系のコマンドを実務でやったことがないと、CEHは厳しいと思います。
そして、最も問題難易度が高いのが情報処理安全確保支援士です。
情報処理技術全般の幅広い知識が必要となることや、午後問題で読解力と記述力を問われるためです。
認定難易度
高 CISSP > CEH >or≒ 情報処理安全確保支援士 低
認定に業務経験が必要なCISSPとCEHは認定難易度は高いです。
ただ、CEHは50万円のセミナー受講で実務経験は申請不要となります。このため≒もある。
情報処理安全確保支援士は申請だけですね。
費用的には情報処理安全確保支援士は3年14万円で、ほぼ定額です。
CISSPとCEHは年1~2万円の会費と、3年間で120CPE(時間)の継続学習が必要です。これはやり方により費用は大きく増減します。
ということで、個人的な考えではありますが、今後、これら資格を取得する方の参考にして頂けると幸いです。
2件のコメント