お問い合わせ
何をお探しですか?
ホーム > 研修 > CISSP公式セミナー

(ISC)2公式CISSP CBKトレーニング

概要

本コースは、(ISC)2 が日本国内で唯一提供する公式セミナーです。CISSP試験では情報セキュリティに関する共通知識分野(CBK : Common Body of Knowledge)の8ドメインについて広く深く問われます。このCBK8ドメイン全てをレビューし、各分野の技術や概念およびベストプラクティスを詳細に解説し、ドメイン間の関連性などについても理解を深めることができる内容となっています。

※2021年5月にドメイン(内容)の更新がありました。更新に伴い以下変更点がございます。

  • 時間割の変更:ドメインに沿った8個のチャプター→テキストに合わせた10個のチャプターへ
  • 配布教材:日本語版と併せて英語版のテキスト/確認問題も配信(電子データ)

CISSPとは

CISSP

CISSP(Certified Information Systems Security Professional)は米国のNPO(非営利団体)である(ISC)2 (International Information Systems Security Certification Consortium)が認定している資格制度です。
情報セキュリティに関する包括的な知識が求められる資格であり、国際的にも認知度が高く最も権威あるセキュリティプロフェッショナルのための資格です。

カリキュラム

日程 内容(ドメイン)
1日目 情報セキュリティ環境
情報資産のセキュリティ
2日目 アイデンティティとアクセスの管理
セキュリティアーキテクチャとエンジニアリング
3日目 通信とネットワークセキュリティ
ソフトウェア開発セキュリティ
4日目 セキュリティの評価とテスト
セキュリティの運用
5日目 全チャプターのまとめ・CISSP資格に関する情報 (NEW)
Applied Scenario(応用シナリオ)の解説 (NEW)
まとめ・確認問題及び全体に関する質疑応答

※各チャプターの終わりに、『応用シナリオ』の説明がございます

ドメイン

1. セキュリティとリスクマネジメント
「セキュリティとリスクマネジメント」のドメインでは、情報セキュリティ専門家としての姿勢と役割に関する知識とスキルが求められます。情報セキュリティ専門家として第一に重要なことは倫理的な行動です。情報セキュリティ専門家は多くの機密情報に触れる機会も多く、その扱いについても厳正な対応を求められます。
また、専門家として意見を求められた際に、ただ不安だけを煽るような発言をするようなことがあってはいけません。情報セキュリティ専門家は組織が成し遂げようとする目的に対して協力的かつ適切な助言や対応を行うために職業倫理について理解が必要です。情報セキュリティはリスクマネジメント、リスクガバナンスの一つの分野です。将来起こりうる事故やトラブルに備え、それが発生しないように、また発生した際の被害を受容できる範囲内に収めるために、セキュリティ対策を計画し、実施します。
そして、その計画が組織の目標や目的に沿ったものであるかを判断し、適宜修正をしていくためのモニタリングや評価の基盤も構築しておかなければなりません。ガバナンスの範囲は組織内にとどまらず、サプライチェーンにも適用されるべきですし、その内容はセキュリティ、コンプライアンス、プライバシーと幅広くなっています。
それぞれを個別の課題として捉えるのではなく、包括的かつ一元的に管理するための知識とスキルが求められます。
2. 資産のセキュリティ
「資産のセキュリティ」ドメインでは、情報のライフサイクル全体を通じた資産の入手、取り扱い、保護についての知識とスキルが求められます。情報分類と資産の取り扱いをベースに、情報、システム、ビジネス・プロセスなどの所有権についての理解も求められます。デジタルトランスフォーメーションの推進による情報や資産のデジタル化に伴い、一般的な企業の機密管理だけではなく、プライバシーに配慮した情報の管理も求められるようになりました。プライバシーについてはビジネスニーズに応じて、コンプライアンス的な観点から国際的な課題を理解し、利用範囲や手段についても適切に把握しておく必要があります。
CISSPには、適切なデータセキュリティ対策を選択できることが求められるため、ライフサイクルに従って取り扱い要件を理解しなければいけません。特に情報分類にともなうラベリングの実践や法的な要求に伴う暗号化や廃棄手法などの要件を評価し、ポリシーや管理手順を策定できる知識とスキルが求められます。
3. セキュリティアーキテクチャとエンジニアリング
「セキュリティアーキテクチャとエンジニアリング」ドメインでは、セキュリティ計画に必要な原則の理解と、それを実践するための技術的な知識やスキルが求められます。
このドメインの知識範囲は広く、システムの設計・構築をもとにしたセキュリティ要件の定義、それに必要な暗号システムなどを中心としたセキュリティ技術の理解、論理的セキュリティをサポートする物理的なセキュリティについてもカバーします。このドメインを理解するために必要なことは、情報システムがどのように設計され、構築されているかのプロセスを理解することです。情報システムの形態はさまざまで、デバイス、サービス(サーバ)、ストレージ、ネットワークなどのエンティティの組み合わせによって求められる機能を提供しています。もちろんユーザや管理者など、人も関わることでさらに複雑な構造になっています。それぞれのシステムの構成を理解し、潜在的な弱さを理解することで、ベースラインとなるセキュリティ対策を計画することができるようになります。セキュリティ対策を実践するには、その原則を理解しなくてはいけません。多くのベストプラクティスは想定された環境に依存するものとなっていて、ユニバーサルであるとはいえません。環境に応じた対策を計画し、実践するためには、情報セキュリティの原則を理解する必要があります。
たとえば、最小権限(LeastPrivilege)という原則を理解することで、アクセス制御の認可において、権限の粒度を設定することができるようになります。管理者とユーザという大きな分け方ではなく、誰が何をすることができるのかという実践的なものとすることが可能になります。暗号システムはいまや情報の秘匿のためだけに使われるものではありません。鍵を持っているということが、その情報やシステムに対する権限を有するという考え方のもとに、アクセス制御や否認防止に利用することもできます。もちろんこれらの鍵の利用状況をユーザやエンティティの振る舞いとしてモニタリングに利用することもできるようになりました。暗号を適切に理解することが組織のポリシーを実現するための必須知識となっているのです。
また、論理セキュリティをサポートするものとして、物理セキュリティがあります。CISSPには、物理セキュリティの専門家と意見交換をしながら、お互いを補完するような提案ができる知識とスキルが求められます。
4. 通信とネットワークセキュリティ
「通信とネットワークセキュリティ」ドメインでは、ネットワークアーキテクチャ、伝送方法、トランスポートプロトコル、制御デバイスのほかオープンなネットワークやクローズなネットワークを介して送信される情報の機密性、完全性、可用性を維持するために利用されるセキュリティ対策の理解が求められます。
CISSPは、ネットワークの基礎(トポロジー、アドレス、セグメンテーション、スイッチングやルーティング、無線、OSIやTCP/IPモデルおよびプロトコルスイートなど)を十分に理解していることが求められます。また、セキュアなネットワークを実装するための暗号、ネットワーク機器のセキュリティ対策など広範なトピックについても理解しておかなければなりません。ネットワーク機器の(スイッチ、ルータ、無線LANアクセスポイントなど)の安全な設置と維持管理に関する知識とスキルが求められます。ネットワークにおけるアクセス制御、エンドポイントのセキュリティ、コンテンツ配信ネットワーク(CDN)についての知識も必要です。CISSPはネットワークを利用した多くのアプリケーション(データ、音声、リモートアクセス、マルディメディアなど)の利用を推進するために様々な技術を利用して、セキュアな通信チャネルを設計および実装できるスキルが求められます。
また、これらのアプリケーションに対する攻撃ベクトルの知識や、それらを防止、低減する知識やスキルについても求められます。
5. アイデンティティとアクセスの管理
「アイデンティティとアクセスの管理(IAM)」ドメインでは、機密性を維持するために必要な、人、デバイス、サービス、アプリケーション、データなどのエンティティの相関を理解し、それを適切に管理するための知識とスキルが求められます。アイデンティティ(Id)は単にユーザアカウントのことを指すのではなく、組織の資産全てを適切に判別し管理を行うために必要な、個別の識別子とその属性です。これらの情報を活用して、組織の求める安全な状態の維持を実践することが可能になります。アクセス管理において最も重要なことは、機密性の理解です。機密性(Confidentiality)とは、情報の機微性(Sensitivity)や重要性(Importance)ではなく、権限の維持ができていることを指します。
つまり、誰かが何かにアクセスできる状態を適切に維持するということです。誰か(Subject)がなにか(Object)に対して、どのような権限が与えられているか。これを最小権限の原則に基づいて設計したり、職務の分離の原則に基づいて設計したりすることが、アクセス管理です。アクセスポリシーをどのように構築するか。リスクやアクセス時の属性に応じて動的にポリシーを構築し適用する仕組みがゼロトラストです。このドメインのキーワードである「強制アクセス制御」および「属性ベースのアクセス制御」における認可の仕組みを理解すれば、ゼロトラストも構築できるようになります。「アイデンティティとアクセスの管理(IAM)」の知識とスキルを身につけることで、さまざまなセキュリティソリューションの仕組みを容易に理解できるようになります。
6. セキュリティの評価とテスト
「セキュリティの評価とテスト」のドメインでは、セキュリティの運用やソフトウェア開発のセキュリティと関連して、日々のセキュリティ活動におけるセキュリティ対策の評価や、ソフトウェアが適切に開発されているかを確認するためのテストなど、セキュリティ機能の有効性を測るための知識とスキルが求められます。評価やテストは十分に準備してから行われなければなりません。それは正しい評価を行うためでもあり、サービスやシステムへの影響を最小限にする必要があるためです。ソフトウェアのテストなどはテスト環境で実施できますが、日常的なセキュリティ対策の評価やテストは本番環境で行うことも少なくないためです。
CISSPはさまざまな種類のテストについて、その目的と手法を理解し、対象に合わせた適切なものを選択しなければなりません。例えば、侵入対策が適切にできているかを評価する場合にはペネトレーションテストを、対策したはずの脆弱性が見逃されていないかどうかを評価するためには脆弱性テストを選択します。評価したい内容によってはこれらを組み合わせて利用することもありますし、攻撃者がそのテスト手法を利用する可能性がないかなども検証したりします。また評価の結果を活かした改善プロセスを通じて、事業継続やレジリエンス、セキュリティ対策の継続的向上などにも役立てることができます。セキュリティの評価とテストは単独のドメインとして取り上げられていますが、他のドメインの知識やスキルをサポートするものとして重要な要素が含まれています。CISSPは評価やテストの知識やスキルを情報セキュリティのライフサイクルに活かすことが求められています。
7. セキュリティの運用
「セキュリティの運用」ドメインでは、組織の情報セキュリティの機能や計画を維持し、適切に改善していくための知識とスキルが求められます。機能や計画が維持できているかを判断するためには、セキュリティ対策やポリシーの遵守状況などに関する情報収集が必要になります。
また、インシデント対応や調査活動もセキュリティ運用の重要な要素です。情報収集を適切に行うためには、事前の準備が必要になります。例えばセキュリティ対策を目的通りに実施しているということを確認、または証明するためにはエビデンスが必要になります。このエビデンスは後から作ることができませんので、ログ管理、モニタリング機能を設計する際に十分に検討しなくてはいけません。準備できていなかった場合には、フォレンジックスなどの技術を活用してエビデンスを掘り起こす必要があります。このような作業には非常に大きなコストと時間がかかることから、日常的な運用に必要な情報はいつでも取得できるように準備しておきます。モニタリングの結果、トラブルや事故の予兆があった場合には、その対応が必要になります。明確な事故が発生していない場合は資産の保護を改めて実施し、インシデントの発生が見られた場合には、インシデント対応を実施します。CISSPには、このような日々の運用に必要な活動を十分に理解することが求められます。セキュリティの運用に関するさまざまな知識は、運用担当者だけではなく、開発担当者にも必要になります。DevSecOps環境においては、運用担当者がどのような情報を必要としているか、そして運用上の修正作業を開発者が直接関与することなく運用担当者だけで行うためにはどのような機能の提供が必要かなどを検討する必要があるためです。たとえば、クラウド上でのサービス運用においてサーバのパフォーマンスが足りない場合にサーバの台数を増やすといったことが必要になります。
これらの作業を運用担当者が評価し、開発担当者に伝え、確認の上で開発担当者が構成をし直すといった場合、適切な時間で作業が終了しないことがあります。このような場合には運用担当者用のインタフェースをあらかじめ作成し、自ら修正ができるようにしておくのが望ましいと言えます。このような判断をするためにも、セキュリティの運用とソフトウェア開発、アクセス制御、リスクマネジメントのそれぞれのドメインの関連についてCISSPは熟知しておく必要があります。運用セキュリティにおいては、セキュリティ担当者の日常的な活動を把握し、それをサポートするためのインフラの構築について理解しなくてはいけません。CISSPには、セキュリティ担当者が効率的に日常的な活動を実践し、継続的なセキュリティ対策の維持ができる環境を計画、提案することが求められます。
8. ソフトウェア開発セキュリティ
「ソフトウェア開発セキュリティ」ドメインでは、コーディングだけではなく、ソフトウェアの開発における環境や手法を含めた、開発ライフサイクル全般についてのセキュリティに関する知識とスキルが求められます。SDNやIoTなど、これまではハードウェアのセキュリティとして捉えられていた分野も、ソフトウェア化されることにより、ますますソフトウェアに関するセキュリティへの依存度が高まっているなか、CISSPもソフトウェア開発について十分な知識が求められるようになりました。システムライフサイクル(SLC)におけるソフトウェア開発ライフサイクル(SDLC)について正しく理解し、開発者のプロセスや責任を明確にした上で、セキュリティ専門家が助言できる内容について把握します。開発と運用、そして品質管理を統合的に管理するためのDevSecOpsを実践するために、運用を考慮した開発についても支援します。
また、開発手法や開発環境の選択においても、複数の手法や環境の目的を正しく理解した上で、メリット・デメリットを判断し、プロジェクトに応じて選択できるようにセキュリティの視点から助言をします。単に開発を迅速に行うだけではなく、サービスのデプロイ時間を考慮して、効率的なテスト手法の選択、サービスレジリエンスを実現するための仕組みなどを提案します。ソフトウェア開発においては、実際にコーディングするスキルが必要なわけではなく、開発チームの役割や責任、システムライフサイクルにおける活動を適切に理解し、機密性、完全性が維持できるような助言を実施できるスキルと知識が求められます。

CISSP認定試験

  • 問題数:250問/4択(試験問題は日本語と英語の併記式)
  • 総時間:6時間

研修時間

9:30~19:00

※講義・演習により終了時間が変更になる場合があります。

開催概要

  • 情報セキュリティの包括的な知識を体系的に整理し再確認できるだけでなく、試験に合格することによってこの知識を有することを証明することができます。
  • 国際的に認知された資格を有することで、セキュリティプロフェッショナルとしてキャリアアップを図ることができます。
  • CBK8ドメインについて講義、復習および問題演習を実施します。
提供元 (ISC)2
総代理店 NRIセキュアテクノロジーズ株式会社
パートナー NTTデータ先端技術株式会社
定員 40名
期間 5日間
開催日 コース開催予定日
  • 2023年09月04日(月)~09月06日(水)、09月11日(月)、09月12日(火)
  • 2023年10月11日(水)~10月13日(金)、10月16日(月)、10月17日(火)
  • 2023年11月13日(月)~11月17日(金)
  • 2023年12月11日(月)~12月15日(金)
  • 2024年01月25日(木)、01月26日(金)、01月29日(月)~01月31日(水)
  • 2024年02月14日(水)~02月16日(金)、02月19日(月)、02月20日(火)
  • 2024年03月11日(月)~03月15日(金)
会場 オンライントレーニング(ライブ配信:Zoom開催)
費用 セミナー受講料(試験付き):583,000円(税込)
※試験付きのみの提供になります。
講師 (ISC)2 より認定された日本人講師
備考 ※試験は2012年9月以降はCBT配信試験に変更になります。
※試験はPEASON VUEでのご提供となります。
※2012年9月セミナーよりテキストをCD配布としておりましたが、2012年11月セミナーより従来通り紙教材の配布となります。研修開催約1週間前に教材を送付いたします。

お申し込み

下記の「お申し込み書」に必要事項をご記入後、「申込窓口」までご提出ください。

申込窓口:下記のいずれかをご利用ください。

mail_ita-info
FAX:03-5843-6846

※ 満席になり次第、募集を締め切らせていただきますのでご了承ください。

コース お申し込み書
(ISC)2公式CISSP CBKトレーニング お申し込み書

キャンセルについて

キャンセルには次のとおりキャンセル料が発生します。

  • お申込み~開催23暦日前までのキャンセル:参加費用の20%
  • 開催日の22暦日前以降:参加費用全額

日程の変更には次のとおり日程変更手数料が発生します。

  • お申込み~開催7暦日前までの日程変更:参加費用の20%
  • 開催日の6暦日前未満:変更できません(参加費用全額ご請求させていただきます)。

※ 代理の方の出席は承ることができませんのでご注意ください。

あらかじめご了承いただきますようお願い申し上げます。

注意事項

最低催行人数に達しない場合は、開催中止となることがあります。あらかじめご了承ください。

《本研修に関する個人情報取扱いについて》
研修をご受講いただく場合、以下事項について、ご承諾いただけたものとします。

  • 研修を受講する第三者に対して、個人情報(氏名、会社名、顔写真等の個人を特定する情報 )が開示されること。
  • 研修中に知り得た第三者、講師など運営スタッフ含むの個人情報(氏名、会社名、顔画像など個人を特定する情報)について、当該第三者の承諾なしにその他の第三者に開示しないとともに、自己のため又は他の第三者のために使用しないこと。