現在地

(ISC)2公式CISSP CBKトレーニング

概要

本コースは、(ISC)2 が日本国内で唯一提供する公式セミナーです。CISSP試験では情報セキュリティに関する共通知識分野(CBK : Common Body of Knowledge)の8ドメインについて広く深く問われます。このCBK8ドメイン全てをレビューし、各分野の技術や概念およびベストプラクティスを詳細に解説し、ドメイン間の関連性などについても理解を深めることができる内容となっています。

2018年4月よりドメインコンテンツの更新があるため、2018年7月開催のみ英語テキストでの講義となります(講義は日本語で行います)。また試験内容も変更となります。

CISSPとは

CISSP

CISSP(Certified Information Systems Security Professional)は米国のNPO(非営利団体)である(ISC)2 (International Information Systems Security Certification Consortium)が認定している資格制度です。
情報セキュリティに関する包括的な知識が求められる資格であり、国際的にも認知度が高く最も権威あるセキュリティプロフェッショナルのための資格です。

カリキュラム

日程 内容(ドメイン)
1日目 セキュリティとリスクマネジメント
(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
資産のセキュリティ(資産の保護)
2日目 アイデンティティとアクセスの管理(アクセス制御とID管理)
セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
3日目 セキュリティエンジニアリング(セキュリティ設計と構築)
4日目 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
5日目 セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)
まとめ
模擬試験

ドメイン

1. セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
ここでは、すべての情報セキュリティ機能のベースとなる、機密性、可用性および完全性という基本的なセキュリティ原則範囲を始めとして、さまざまな情報セキュリティとリスクマネジメントのトピックス全般を扱っており、セキュリティガバナンスとコンプライアンス領域におけるこれらの概念を基に構築されています。また、倫理学的考察全般、そして特に(ISC)2の倫理規定に関する知識を必要とします。情報セキュリティという枠組みのなかでポリシーおよびプロシージャを策定し導入することができるかどうかについての知識や、情報および要件の収集、ビジネスインパクト分析、目標復旧時点(RPO)といった事業継続計画のあらゆる側面も含まれます。そして、リスクマネジメントの概念である、リスク分析、対応策の選択と実施、リスク監視、報告、およびリスクの枠組み、脅威モデルの導入とハードウェア、ソフトウェアおよびサービス契約の取得および管理へのリスクマネジメントの統合などの理解が必要です。そして、人員のセキュリティポリシー領域についても問われ、セキュリティに関する教育、トレーニングおよび意識向上プログラムを構築し維持できることが求められます。
2. 資産のセキュリティ(資産のセキュリティ保護)
ライフサイクル全体を通した情報の収集、処理および保護を取り上げます。情報の分類および資産のサポートは、このドメインで取り上げるすべてのトピックスの基礎となっております。そして、情報、システム、およびビジネスプロセスに関しての所有権は、分類と切り離して考えることはできず、資産のセキュリティのドメインで取り上げられる2個目のトピックとなります。プライバシー保護も非常に重要な要素となっていて、データオーナー、データ処理装置、データの残留、および収集と保管の制限の概念などがあります。情報の収集と保管に関する議論を行う場合は、データ保存を含んだ、適切なデータセキュリティ管理策について詳細の知識を保有している事が求められます。最後にデータの保管、ラベリングおよび破棄などを含んだデータ処理要件についての理解が必要となります。
3. セキュリティエンジニアリング(セキュリティ設計と構築)
セキュリティエンジニアリングは、悪意ある行為、人的エラー、ハードウェア障害および自然災害により引き起こされる可能性のある脅威に対し、必要な機能を提供し続ける情報システムおよび関連アーキテクチャの構築の実践と定義することができます。このドメインでは、安全な設計原則を使用してセキュリティエンジニアリングプロセスを実装および管理する能力について問われます。セキュリティモデルの基本概念を理解し、組織の要件およびセキュリティポリシーに基づいて設計要件を策定し、これらの設計要件を満たす制御および対応策を選択することができなければなりません。セキュリティアーキテクチャ、設計およびソリューション要素における脆弱性を継続的に評価および軽減しなければならず、この領域について詳細に理解をしていることが求められます。暗号化とは、情報の完全性、機密性および信ぴょう性を確保するため情報を変更することにより、情報の移行中も保存中も情報を保護するということで、セキュリティエンジニアリングのドメインで詳細に取り上げています。一般的な暗号化の概念、暗号化のライフサイクル、暗号化システム、公開鍵インフラストラクチャ、暗号化キー管理実務、デジタル署名、およびデジタル著作権管理についての理解が必要となります。最後に、事業所および施設の設計および物理的セキュリティへの安全な設計原則の適用などへの理解も必要となります。
4. 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
ここでは、私設および公設通信ネットワーク双方を介して送信される情報の機密性、完全性および可用性を維持するのに使用される、ネットワークアーキテクチャ、通信方法、配送プロトコル、制御デバイス、およびセキュリティ対策を網羅しています。ネットワークトポロジー、IPアドレス設定、ネットワークのセグメンテーション、スイッチングとルーティング、無線ネットワーク利用、OSIとTCPモデルおよびTCP/IPプロトコルスイートなど、ネットワークの基本を十分に理解していることを示すことが求められます。かつ、安全なネットワーク通信に関連して、暗号化についても問われます。また、ネットワークデバイスの保護という見出しの下に、さまざまなトピックスも含まれていますので、スイッチ、ルーターおよび無線アクセスポイントといったネットワーク制御デバイスを安全に操作および保守する知識と能力についての知識も問われます。また、さまざまな伝送媒体に元々備わっているセキュリティについて熟知していなければなりません。ネットワークアクセスコントロール、エンドポイントセキュリティ、およびコンテンツ配信ネットワークについても取り上げます。データ、音声、リモートアクセス、マルチメディアコラボレーションおよび仮想化ネットワークなど多くの適用を促す、幅広い技術を使用して安全な通信チャネルを設計し実装できることが求められます。そして、ネットワーク攻撃のベクトルの知識や、これらの攻撃を防いだり軽減したりできるかについての理解も必要となります。
5. アイデンティティとアクセスの管理(アクセス制御とID管理)
ここでは、人間と情報システム、異種情報システム間、さらには情報システムの個々のコンポーネント間のやりとりに使用される、アイデンティティとアクセスのプロビジョニングと管理を扱います。システムや情報に不正にアクセスするためにアイデンティティまたはアクセス制御システムを危険にさらすことは、データの機密性に関するほぼすべての攻撃の目標にもなるため、これは情報セキュリティプロフェッショナルが相当な時間をかけなければならない領域です。ユーザー、システムおよびサービスの特定と承認に関する知識が必要となり、具体的にはID管理システム、単一要素および多要素認証、説明責任、セッション管理、登録と確認、フェデレーテッドID管理、および信用管理システムについての知識保有を求めています。さらに、サードパーティのクラウドベースおよびオンプレミスIDサービスの統合についても問われます。そして、ロールベース、ルールベース、強制および任意アクセス制御に基づくものを含め、承認メカニズムの実装および管理ができることが求められます。最後に、アクセス制御システムをターゲットとした攻撃の防止と軽減、およびID管理のライフサイクルも含まれます。
6. セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)
ここでは、アーキテクチャの問題、設計上の欠陥、構成エラー、ハードウェアとソフトウェアの脆弱性、コーディングエラー、および情報システムの能力に影響を及ぼす可能性のあるその他の弱点が原因となるリスクを特定および軽減して、意図された機能を安全に提供するため、さまざまなツールや手法を用いて、情報資産および関連するインフラストラクチャの評価に関しての知識が求められます。評価およびテスト戦略を検証し、さまざまな手法を用いてこれらの戦略を実行することができなければなりません。脆弱性評価、ペネトレーションテスト、代理トランザクション、コードレビューとテスト、悪用ケース、およびインターフェーステストに関する知識の保有が求められます。これら評価には、セキュリティポリシーとプロシージャの検証、ディザスタリカバリおよび事業継続計画も含まれます。最後に、テスト結果について分析し報告することができるか、さらに、社内監査および第三者監査を実施または円滑に進めることができるかどうかも理解している必要があります。
7. セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
ここでは、エンタープライズコンピューティングシステムの運用に関する情報セキュリティ概念およびベストプラクティスの適用に関するさまざまなトピックスが含まれています。証拠の収集と取り扱い、文書化と報告、捜査手法とデジタルフォレンジックといったさまざまな調査概念を含めたフォレンジックを指揮する、あるいはサポートするための知識が必要です。運用上、刑事上、民事上、および規制上の観点からも、調査要件を理解しなければなりません。効果的なロギングおよび監視の仕組みは、不可欠なセキュリティ機能です。そこについては、侵入検知と防止、セキュリティ情報とイベント監視システム、およびデータ漏洩防止などが含まれます。そして、リソースのプロビジョニングおよびこれらリソースのライフサイクルを通した管理と保護についても取り上げますが、セキュリティの運用が前提としているのはこれらリソースの保護です。ファイアウォール、侵入検知システム、アプリケーションホワイトリスティング、マルウェア対策、ハニーポットとハニーネットおよびサンドボクシングといった保護制御を運用し維持すると同時に、サードパーティのセキュリティ契約およびサービスを管理する能力、そしてパッチ、脆弱性および変更管理についても理解をすることが求められます。インシデントレスポンスとリカバリ、ディザスタリカバリ、および事業継続の運用面での理解が必要となります。物理的セキュリティおよび個人の安全についてのトピックスで締めくくります。
8. ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
実稼働および開発ソフトウェア環境へのセキュリティ概念およびベストプラクティスの適用について扱います。ソフトウェアに対するセキュリティ制御を評価し執行するために、ソフトウェア開発のライフサイクルにおいてセキュリティを理解し適用できなければなりません。その中で、ソフトウェア開発方法、成熟度モデル、オペレーションと保守および変更管理についての理解を必須とし、同時に統合化された製品開発チームの必要性も理解しないといけません。また、ソフトウェア開発環境においてセキュリティ制御を執行することもできなければならないので、ソフトウェア開発ツール、ソースコードの弱点と脆弱性、ソースコード開発に関する構成管理、コードリポジトリのセキュリティおよびアプリケーションプログラミングインターフェースのセキュリティなどについての知識取得も求めます。かつ、変更管理に関する監査とロギング、ソフトウェアセキュリティに関するリスク分析と軽減および取得したソフトウェアのセキュリティインパクトを含めたソフトウェアセキュリティ制御評価の領域についても理解が求められます。

CISSP認定試験

  • 問題数:250問/4択(試験問題は日本語と英語の併記式)
  • 総時間:6時間

日時

日程

  • 2018年07月09日(月)- 13日(金)
  • 2018年08月22日(水)- 24日(金)・27日(月)・28日(火)
  • 2018年10月03日(水)- 05日(金)・11日(木)・12日(金)
  • 2018年11月26日(月)- 30日(金)
  • 2019年01月21日(月)- 23日(水)・28日(月)・29日(火)
  • 2019年03月12日(月)- 14日(水)・18日(月)・19日(火)

時間

  • セミナー:9:30~19:00

*講義・演習により終了時間が変更になる場合があります

開催概要

  • 情報セキュリティの包括的な知識を体系的に整理し再確認できるだけでなく、試験に合格することによってこの知識を有することを証明することができます。
  • 国際的に認知された資格を有することで、セキュリティプロフェッショナルとしてキャリアアップを図ることができます。
  • CBK8ドメインについて講義、復習および問題演習を実施します。
提供元 (ISC)2
総代理店 NRIセキュアテクノロジーズ株式会社
パートナー NTTデータ先端技術株式会社
定員 40名
期間 5日間
会場 大手町ファーストスクエア カンファレンス(東京都千代田区大手町1-5-1 大手町ファーストスクエア イーストタワー2F)map
費用 セミナー受講料(試験付):631,800円(税込)
※試験付きのみの提供になります。
割引の適用 ■早期割引:開催日の45日前までにお申し込みされた方は、¥577,800(税込・試験費用含む)で受講いただけます。
  • 2018年07月開催分:2018年05月24日(木)までにお申し込みが完了した場合
  • 2018年08月開催分:2018年07月06日(金)までにお申し込みが完了した場合
  • 2018年10月開催分:2018年08月17日(金)までにお申し込みが完了した場合
  • 2018年11月開催分:2018年10月11日(木)までにお申し込みが完了した場合
  • 2019年01月開催分:2018年12月06日(木)までにお申し込みが完了した場合
  • 2019年03月開催分:2019年01月25日(金)までにお申し込みが完了した場合
■団体割引
  • 同月内に、同一企業様より3名様お申込みされた場合には、お一人様あたり¥577,800(税込・試験費用含む)で受講いただけます
講師 (ISC)2 より認定された日本人講師
備考 ※試験は2012年9月以降はCBT配信試験に変更になります。
※試験はPEASON VUEでのご提供となります。
※2012年9月セミナーよりテキストをCD配布としておりましたが、
2012年11月セミナーより従来通り紙教材の配布となります。

お申し込み

下記の「お申し込み書」に必要事項をご記入後、「申込窓口」までご提出ください。

申込窓口:下記のいずれかをご利用ください。

※満席になり次第、募集を締め切らせていただきますのでご了承ください。

コース お申し込み書
(ISC)2公式CISSP CBKトレーニング お申し込み書

キャンセルについて

キャンセルには次のとおりキャンセル料が発生します。

  • お申込み~開催23暦日前までのキャンセル:参加費用の20%
  • 開催日の22暦日前以降:参加費用全額

日程の変更には次のとおり日程変更手数料が発生します。

  • お申込み~開催7暦日前までの日程変更:参加費用の20%
  • 開催日の6暦日前未満:変更できません。(参加費用全額ご請求させていただきます)

※ 代理の方の出席は承ることができませんのでご注意ください。

あらかじめご了承頂きますようお願い申し上げます。