Security Online読者の皆様、こんにちは。本稿は、IT資格でスキルアップ/キャリアアップを目指すエンジニアのためのWebメディア「資格Zine」で公開中の記事の試し読みページです。続きは資格Zineのページでお読みいただけます。
グローバルで通用する情報セキュリティ資格
――(ISC)2とはどのような団体ですか?
小熊氏:(ISC)2[1]は、1989年に米国で設立されたNPO団体です。情報セキュリティ分野で活躍する人材を育成するために、グローバルな認定資格を開発し、提供しています。その他にも、認定資格取得を支援するセミナーの開催、(ISC)2 Japan Chapter[2]とともに情報セキュリティに関わるコミュニティ活動の支援などを行っています。
――(ISC)2認定資格であるCISSP、SSCPについて教えてください。
小熊氏:CISSP(Certified Information Systems Security Professional)は、情報セキュリティ専門家を国際的に認定する資格です。CISSP取得者は世界160ヵ国で11万人を超え、日本でも1578人が取得しています(2016年10月現在)。取得には、5年以上のセキュリティの業務経験とCISSP認定試験の合格が必要です。
一方、SSCP(Systems Security Certified Practitioner)は、日々の業務における情報セキュリティについて理解している人材を認定します。たとえば、ネットワークエンジニアやシステムエンジニアなど、情報セキュリティの専門職ではないものの、情報セキュリティに関する知識やスキルを必要とする人にお勧めです。取得には、1年以上の業務経験とSSCP認定試験の合格が必要になります。
CISSP/SSCP認定試験は、CBTで四者択一形式です。問題は日本語と英語で併記され、CISSPでは6時間で250問、SSCPでは3時間で125問出題されます。
――業務経験がないと、認定試験を受けられないのでしょうか。
小熊氏:受験は可能です。業務経験がない状態で受験し、合格した場合は、アソシエイト(準会員)となります。SSCPの試験に合格すれば、SSCP Associateです。その後、規定の経験年数を満たしたときに申請すれば、資格取得者として認定されます。学生であれば、在学中に受験して合格し、就職してから業務を経験して申請するという流れで取得できます。在学中に合格すれば、就職活動にも有利に働くと思います。
――情報セキュリティは日進月歩で変化していく分野です。いったん資格認定を受けてもスキルが陳腐化し、資格の価値を失ったりしないでしょうか。
小熊氏:CISSP/SSCPでは認定後も実効性を担保するために、CPEクレジット(継続教育単位)制度を用意しています。CISSP取得者は毎年40ポイント、SSCP取得者は毎年20ポイントのCPEクレジットを取得しなければなりません。情報セキュリティ関連の教育・活動に1時間参加すると、1ポイントを取得できます。つまり、CISSP/SSCPを保持しているということは、毎年一定時間以上セキュリティについて勉強をしており、日進月歩のセキュリティ業界において最新の知識を得ているという証明にもなります。
注
[1]: (ISC)2は、The International Information System Security Certification Consortiumの略。日本語名は、国際情報システムズセキュリティ認証コンソーシアム。(ISC)2は、アイ・エス・シー・スクエアと読みます。(ISC)2 JapanのWebサイト
[2]: (ISC)2認定資格取得者を中心とした任意団体。