クラウド技術の普及により、企業はイノベーションを加速し、短期間で利便性の高いサービスを提供することが可能になっています。一方で、サイバー攻撃の対象がクラウドに移ってきており、クラウド環境での適切なセキュリティ対策が求められるようになっています。
そのような背景から、セキュリティの知識に加え、クラウドセキュリティの知識も兼ね備えた専門家の需要が増加しています。そこで、CISSP (Certified Information Systems Security Professional)と、CCSP (Certified Cloud Security Professional)の両資格を保有することで、セキュリティの幅広い知識とクラウドセキュリティの専門知識を持つことを証明できます。
本ブログでは、CISSPとCCSPの両資格を保有する筆者が、ダブルホルダーであることのメリットや目指すための戦略をお伝えしたいと思います。
両資格の共通点は、どちらも情報セキュリティの分野で非常に重要な資格であり、国際的に認知されていることです。これらの資格を取得することで、セキュリティの専門家としての信頼性が高まり、グローバルなキャリアに有利になります。また、両資格ともに情報セキュリティの基本原則やベストプラクティスを学ぶことができ、セキュリティの専門知識を深めることができます。
両資格の相違点は、試験範囲になります。CISSPは情報セキュリティ全般をカバーしており、幅広い知識が求められます。一方、CCSPはクラウドセキュリティに特化しており、クラウド環境でのセキュリティ対策に重点を置いています。クラウド技術が急速に発展している現代において、CCSPの知識は非常に重要です。
CISSPとCCSPは CBK(Common Body of Knowledge)ドメインというものがあります。これは、ISC2のCBK委員会が、各種認定試験の作成に先駆け、情報セキュリティ実務担当者及び専門家が理解すべき知識を国際規模で収集し、分野別に体系的にまとめたものです。いわゆるシラバスのようなものであり、試験ではこのCBKドメインをベースに問われます。そのため、これらのCBKドメインを知っておくことが試験対策としても重要になります。
|
CISSP CBK8ドメイン |
CCSP CBK6ドメイン |
|
1.セキュリティとリスクマネジメント 2.資産のセキュリティ 3.セキュリティアーキテクチャとエンジニアリング 4.通信とネットワークのセキュリティ 5.アイデンティティおよびアクセス管理 6.セキュリティの評価とテスト 7.セキュリティの運用 8.ソフトウェア開発セキュリティ |
1.クラウドの概念、アーキテクチャ、設計 2.クラウドデータセキュリティ 3.クラウドプラットフォーム&インフラセキュリティ 4.クラウドアプリケーションセキュリティ 5.クラウドオペレーション 6.クラウドガバナンス - 法律、リスク、コンプライアンス |
セキュリティの専門知識を大幅に拡充することができました。CISSPは情報セキュリティ全般をカバーし、CCSPはクラウドセキュリティに特化しているため、より包括的にセキュリティを理解することができます。オンプレミスからクラウドにいたるまでの、セキュリティリスクの特定や軽減するための引き出しが増え、インフラの運用に役立てることができています。
セキュリティ分野での認知度と信頼性が向上しました。これにより、より高いポジションや重要なプロジェクトに携わる機会が増えました。例えば私の経験では、名刺に両資格を書くことで相手から興味を持たれ、会話のきっかけになることが多々ありました。また、出向先企業でSREグループのマネージャーに任命いただけたり、ダブルホルダーとしてウェビナーへの登壇やインタビューの依頼を受けることもあり、様々なチャレンジングな機会を得ることができました。
より多くの専門家とつながる機会が増えました。資格保有者コミュニティへの参加を通じて、最新の情報やベストプラクティスを共有することができます。例えば、ISC2のコミュニティやイベントに参加することで、他のセキュリティ専門家と交流し、さらに知識を深めることができました。
両資格とも勉強方法や解き方のアプローチは同じです。
実務の経験があるゆえに、試験問題に対して間違った回答を選択してしまうことがあります。
例えば、クラウド上のデータセキュリティにおける鍵管理はどうするのがベストでしょうか。クラウドプロバイダーから鍵管理サービスが提供されていることが多く、それを利用することで利用者の鍵管理を簡易化できます。しかしながら、CCSPの試験では、利用者が自社で鍵管理を行う方がベストという見解が示されています。
自社で鍵管理をしたくない場合、HSM(ハードウェアセキュリティモジュール)を使うという選択肢が考えられますが、一般的にHSMは高額なので予算との兼ね合いになります。
自身の経験を問う試験ではないので、実務経験に引っ張られすぎず、CISSPやCCSPの考え方をしっかりと勉強し、問題文で何を優先的に考えるべきかを読み取ることが重要です。
CISSPとCCSPの試験で出てくる用語は、何かしらのフレームワークにマッピングできます。簡単なものだと、CIA(機密性、完全性、可用性)やデータライフサイクル、ソフトウェアライフサイクルなどがあります。回答に迷った場合、選択肢がどのフレームワークのどのフェーズにマッピングされるのかを考えてみるとよいでしょう。
例えば、選択肢AからCはデータライフサイクルの「作成」を示しているが、選択肢Dは「共有」を示しているといった具合です。この場合、選択肢Dがほかの選択肢と異なり怪しいので、正解の可能性が高いと判断できます。
このような判断ができるようになるためには、学習段階で用語の暗記だけでなく、その用語がどのフレームワークのどのフェーズに関連するのかを意識して学習することが重要です。
CISSPとCCSPを体系的に学習するには、CBKトレーニングを受講することが手っ取り早い方法です。私自身、両資格ともCBKトレーニングを受講しており、講師の方のわかりやすい解説とともに、日本語のテキストやサンプル問題も提供されるので、非常におすすめです。
両資格を取得したい方から、「どちらから受験したらよいか」という質問をいただくことが多いですが、私はCISSP→CCSPの順番で取得することを推奨します。
CISSPとCCSPは基本部分の多くが重複しています。そのため、一方で勉強した「セキュリティ専門家としての考え方」はもう一方でも使うことができ、あとは差分である「固有の知識」を勉強するだけです。
「CISSP固有の知識」のほうが試験範囲が広いため、先にCISSPを取得すれば、追加で「CCSP固有の知識」を勉強するだけでよいので、効率的に勉強に取り組めます。
また、両資格に共通する「セキュリティ専門家としての考え方」は、多くのユースケースで学習したほうが身につくので、より範囲が広いCISSPで時間をかけて学習することを推奨します。
CISSPとCCSPのダブルホルダーになることは、情報セキュリティ分野でのキャリアにおいて非常に有利です。これらの資格を取得することで、広範なセキュリティ知識とクラウドセキュリティの専門知識を持つことが証明され、知識の拡充やキャリアの向上、ネットワーキングの機会を増やすことができます。効果的な勉強方法と計画的な戦略を持って、ぜひCISSPとCCSPの両資格を取得し、セキュリティ分野での成功を目指してください。
私は、CISSPとCCSPのダブルホルダーとして、ISC2のパネルディスカッションへの登壇やインタビューを受けていますので、こちらも参照いただければと思います。
<関連動画>
CCSP EXAM READY: CCSP合格者が、合格の秘訣についてディスカッションします
CISSP + CCSP: サイバーセキュリティ認定資格のパワーコンビ
ISC2 Member Spotlight:大島 悠司 氏(保有資格:CISSP、 CCSP)
CISSP and CCSP: The Power Duo of Cybersecurity Certifications
ISC2 Member Spotlight: Yuji Oshima, CISSP, CCSP
また、当社ではCISSPとCCSPのCBKトレーニングを提供しています。少しでも興味を持っていただけたら、ぜひ受講をご検討いただけますと幸いです。
<関連サービス>
最後に、資格取得を目指す皆さんへのメッセージとして、継続が成功の鍵であることを忘れないでください。どんなに難しい試験でも、計画的に勉強することで合格に近づくことができます。皆さんの成功を心から願っています。