【資格】CISSP
CISSPについて情報交換しましょう!
●CISSPとは
(ISC)2(International Information Systems Security Certification Consortium)が認定を行っている国際的に最も権威あるセキュリティ専門家認証資格です。
●(ISC)2
https://www.isc2.org/japan/ 2年ほど前にCISSP認定受けてみて、日本での認知度の低さをしみじみと感じてる。
そりゃ、公式セミナーが高すぎる、認定試験の代金が高すぎる。参考図書がほとんど無い。
(ISC)2があまり宣伝に力入れてないで、仕方ないところはあるが。
(ISC)2の英語圏の活動はそりゃ活発なもんで、公式サイト(英語)を見ると、
様々なイベント主催、交流会、ウェビナー、グッズの販売、メディアへの露出と、
自分たちが情報セキュリティーの業界を背負っていくんだという気概と、
社会的に認められ、影響力を持ち、情報セキュリティの専門家の経済的な待遇を良くしていこうという政治的なロビー活動が強く伝わってくる。
アメリカ人はこの手の組織運営は本当に卓越している。 CISSP認定者の米国の給与取得水準の統計。
大体、年収10万ドル〜12万ドル程度という結果。
日本じゃどうかは知らないけど、自分や周囲の認定者を見る限り、まぁ似たような水準だね。
http://2we26u4fam7n16rz3a44uhbe1bq2.wpengine.netdna-cdn.com/wp-content/uploads/CISSP-Median-Slary-By-City.png
前どこかでCISAやPMPやGIAC、COMPTIASecurity+の給与水準の統計と比較されたページを見たんだけど、どこ行ったっけな? >>172
おお、こんなんあるんか九州在住だし試しに受けてみよっかな
勿論九州在住とはいえ被災地ではないので募金はさせていただきます CISSP取得した勢いで、情報セキュリティスペシャリストとCompTIASecurity+を受けてみたけど、
それぞれ一か月程度、週末だけ勉強の流れで、あんまり勉強せずに受かった。
このまま秋に合格率8割と言われている情報セキュリティマネジメントも全部取ってしまおう。
冬にはCISAの準備もせにゃならん。今年は情報セキュリティずくしの一年で終わりそうだ。 >>178
CISSPって既に持ってる人から紹介してもらわないといけないってマジなの? >>179
私が取ったときは、先人のエンドースメントが必要だったけど、最近はいらなくなったという話を聞いたことがあるような。
ISC2にきくよろし。 >>179
エンドースメントの申請書、履歴書、現職の雇用証明書、大卒キャリア使うなら卒業証明書をセットでISC2に申請。ISC2自身がエンドースメントしてくれる。提出書類は全部英語で。 >179
合格後の手続きは以下の通り。
推薦状ない人用の手続きも一応ある。
具体的に書いてないけどおそらくは厳しい身元と経歴の調査があるのだろう。
https://www.isc2.org/japan/cissp_regist.html
セミナー講師に質問した事があるが、日本以上のコネ&学歴社会であるアメリカでは
推薦状が用意出来ない人は信用してもらえない。
これは「信頼の輪モデル」に基づき、数学的にリスクが高まる事が証明されているからだと云々。
公開鍵証明だけではなく、人間までも「信頼の輪モデル」なのかよと、
アメリカ人の合理性に感心すると共に、あいつらやっぱり畜生アンド畜生だと再確認した。 >>182
そのセミナー講師が何者か知らないけど、現に知り合い無しでISC2から認定もらってるので、経験談としてそこまで閉鎖的な資格じゃない。
エンドースメントの書類、英語の履歴書、雇用証明書、大卒キャリアで申請するなら卒業証明書、これらをセットで送れば、書類に不備がない限り認定はおりる。
申告する職歴中に転職している場合は、過去の職場からも在籍証明が必要なので面倒。自分の場合は転職してないので、人事に雇用証明書を発行してもらうだけだった。
日本のISC2からは、在籍確認の問い合わせがUSから上司に来るかも知れないと言われていたけど、全く問い合わせ無し。ここは運かも知れないので、一応上司には相談しておいた方がいい。 >>184
ここで言うからには、>>182のいうセミナーとは、多分ISC2公式のセミナーではないかと。
んで、多分>>182とあなたが言うのは両方正しくて、以前は閉鎖的だったけど、メジャーになって今はニューカマーにも門戸を開くようになったのではないかな?
以前は、ツテのない人は公式セミナー講師とかISC2 Japanの関係者のお世話になることもあったと聞いたことがあるよ。
まぁ、オッサンの昔話ですわ。 2015の終わりに認定受けましたが、エンドースメントは必要ですよ〜
CISSPの知り合いにエンドースメント書いてもらって、上司に業務実績証明書類書いてもらって、大学の卒業証明 等、関係書類揃えてISC2に申請してから、認定証がくるまで約3ヶ月かかった・・・かかりすぎorz
聴いた話ですが、CISSPの認定者にエンドースメントしてもらわないと、ニューカマーも認定してもらえるものの、さ・ら・に手続きがめんどくさいらしいのは昔から変わらないようです。 マジかw
派遣上がりのオッサンがSC受かった後、次に目指すものとしてCISSPを狙ってたが、猛勉強しても取得出来るものではないんだな 学部でてからどのへんに就職すりゃ4年後会員なれんのよこれ 8ドメインに絡むフルタイムの仕事ならなんでも良いと思うがね。 CISSPはどうせ範囲が広くて、どんな仕事をしていても業務知識だけで合格ってそうないから、
就職先はあまり気にしないほうが良いと思うよ。
通信系、セキュリティ分野の上流設計、ガバナンス系の職種に就いていれば実務から
類推しやすいこともあるだろうけど、8ドメインカバーする仕事なんてそうないだろうし、
ガバナンス系の仕事って新人は割り当てられることも少ないだろうしねぇ。
なので、職種よりもどう勉強するかが大切だと思うよ。
新人の頃から計画的に取るぐらいのモチベーションがあるのなら、
貯金して自費で公式セミナー受けることのほうが、実は案外おすすめなのかもしれない。 189は単に経歴証明の話をしてるんじゃないかなあ。まあどちらでもよいけど。 >>194
試験会場によるので、いつでもではない。
ピアソンVUEのサイトを見るよろし
ttps://www.pearsonvue.co.jp ISC2のHPを見ても今一つよくわからなかったので
受験〜認定までの流れについてどなたかご教示頂きたいのですが、
・ピアソンのHPから試験申し込み(受験までその他に特にやることは無し)
・受験(持参するのは免許証+署名有りのクレカ)
・合格後、ISC2よりメールが届く(提出物2つのフォーム+記入サンプル添付?)
エンドースメントを推薦者(認定者or勤務先の上司)に記入してもらう
英文職務経歴書を自分で記入
・上記2点を提出
・監査対象になれば経歴詳細記入して送る
という認識で合っておりますでしょうか?
ネット上で調べていたところ、24P程の申込書のようなものもあり
どれが必要なのか困惑してしまいました。。。 >>196
あってると思うが、今は英語のサイトに行くと海外ではオンライン登録になっているよ。
日本のISC2に確認した方がいいよ。
https://www.isc2.org/endorsement.aspx 参考書にCISSP ALL IN ONE EXAM GUIDE
の購入を予定しているのですが
最新版でなく古いタイプのものでも試験に十分対応できますか?
Third Editionで安いのを見つけたので
良さそうならそれを購入しようかと思っています そのテキストは使ってないので、何ともいえませんが、試験は最新技術を問うのではなく。
答えを出す考え方が重要視されるので、昔のテキストでもよいと思います。
そもそも日本語の公式ガイドが大昔の発行のものしかありませんし。 認定は置いといて、特に書かれてませんが受験資格に年齢は関係ないですよね?
来年高校生ですがSCが受かったのでいま勉強中です。
廻りに受験する友達がいないのでここで聞くことしかできず。 年齢は関係ないだろうけど、実務経験はないだろうから合格しても準会員になるんだろうね。
実務経験(フルタイム勤務が前提ね)を積んで正会員になるには確か期限があったような。
大学にも行くならまだ当面はフルタイムでは働かないだろうから、そこはちゃんとルールを見ておいた方がよいよ。isc2の日本支部に問い合わせても回答してもらえると思う。
しかし高校生か、すごいなあ。。。 見直したら、まだ中学生ってことね。なおさらすごい。。 >>201
教えて頂きましてありがとうございます!
準会員目指してまずは基礎を固めたいと思います。
中学や高校でCERTを立ち上げるのが目標です。生徒なので立ち上げ支援まででしょうけど😎 中学や高校でそんつまらんことすんなよw
青春ど真ん中なんだからさ
恋愛に遊びに勉強にスポーツに全力で励んでおもくそ青春謳歌した方が遥かにいいし、今後の人生も輝くぞ
そしてそういう奴の方が評価される、青春時代のコミュニケーションによって人間性の土台ができ原石が磨かれるからな >>203
SSCPなら実務経験一年。
最近は日本語試験あるんだっけ? 中学でSCてさすがにネタだろ
CSIRTなら誰でも立ち上げられるし べつに恋愛や遊びを捨てる必要もないだろうw
文章見る限り頭も良さそうだし学生向けCERTというのはいいんじゃないの 死ぬほど長いサーベイ来たが、途中保存もできないし完遂不可能。
アホか。 セミナー参加したいが高すぎる、、、セミナーでは予想問題もらえるものなの? >>214
セミナーってNRIセキュアがやってるやつかな?
自分は過去に参加したことがあるけど、試験対策ではなかったよ。
CISSPの考え方を学ぶ感じ。試験対策として期待して参加するとガッカリすると思う。
最終日に簡易的な模擬試験をやったけど、答え合わせのときに講師が「何でこっちが正解なのかわからない。別の選択肢が正解だと思う」と発言していて、さらに失望した。 セミナーってそんな感じなんですね。50万もするから、最終日に、確度高い問題集とかもらえるのかなと思ってました。 >>216
CISSPとしてのセキュリティの考え方を体系的に学ぶことが目的だね。
繰り返しになるけど、試験対策ではないので、試験対策を期待して行くとガッカリするよ。
あくまでも自分の経験談で、今は変わっているかもしれないけど。 CISSP、先日受験してきて合格した。
勉強時間は3週間ほどで、平日は1日1時間ほど、休日は4-5時間程度。
使ったテキストはAIOのみ。問題集はCybex社のPracticeTestとCCCure。
試験当日は2時間半で解き終えて、1時間見直して退出。
参考までに。 >>219
AIOって何の略?ちなみに英語で受験した? >>220
AIOは、CISSP All-in-One Exam Guideのことじゃないですかね。 初期投資と、認定の難易度はRISSよりも高いけれど、
一度認定されれば、維持費はRISSよりCP高いのよね
英語できれば、オンラインでCPE余裕で稼げるし。 >>220
俺は英語で受験したぞ。
よくベンダー資格を受験すると誤訳が多いからなぁ。 受ければ受かるベンダーの資格ばかりやってたからキツいわ。。 転職したばかりで、実務を証明できない場合はどうすればいいんだろ? >>230
じゃああれだな、(ISC)2 に正直に相談だ。
自分で業務経歴書を書いて「前職と折り合いが悪いので endorsement 書いてくれる人がいませんがどうしましょう」って。 >>231
そこまでして欲しいと思わない。まぁ、方法無しってことで理解した。 endorsementって、
上司でもおけって書いてる人いるけどマジですか?
ISC2の認定手続きページには、
>現役の(ISC)2認定資格保持者(CISSP、SSCP、CAPなど)の方からのエンドースメント(推薦状)を提出する必要があります。
って書いてあるだけで、上司でもOKが見つけられなくて。
https://www.isc2.org/japan/cissp_regist.html
上司でOKなら受験の踏ん切りがつくので、教えて頂けたら幸いです。 この資格ってSSCPを取ってから受けたほうがいいの?
いきなりCISSPから受験しても問題ない? 練習問題を沢山解きたいのに、検索すると出てがるのは日本語が怪しい有料のソフトばかり。
みんなどうやって鍛えてるの? >>235
いきなりCISSPの人の方が多いんじゃない? >>236
GCIHもそんな感じ。
怪しい中華フォントのサイトしか見つからない >>234
レスサンクス
そかー、英語の申請するか諦めるか… >>237
そうか
ありがとう
>>236
俺は日本語の書籍は諦めたわ
Amazonで英語の参考書、問題集買ったよ
Sybex社のやつ 日本語が怪しい有料ソフトの的中率はどんなもんなんだろう。合格まで保証するとあるがホンマかいなと思う。 6000円くらいなら人柱になってもいいかなという気もする。
一通り勉強が終わったら買うかも。 下手な問題集を買うより、CCCureに数ヶ月会員登録したほうがいいぞ。
勉強もサイブラリーに何なり優良なコンテンツは揃ってる。
中華は危険だな。 >>236
本番試験でも、日本語が怪しくて英文を確認することになるので、なれる意味でも英語の本で勉強しておくとよいですよ
sybexの7th editionを使ったけど、全文検索できるpdfやオンラインの模試が付録で付いてきたので、なにかと便利でした 英語分からないなら、セキュリティエンジニア出来んだろ? そんな理想ばっかり言わなくてもいいだろ。
ただ、日本語怪しいのはある程度アクセプトしないといけない。本番のテストも英語の方がわかりやすい問題がたまにあったりして。
まぁテストの英語は長くないので、普通の人なら問題ないよ。安心しる。 >>249
昔、「CISSPの試験は、日本語と英語が併記されて出題される」という書き込みをみたことがあるのですが、
今はちがうのでしょうか? >>233
そもそもエンドース手続きは、
今はオンラインアプリケーションでの申請になってて、
そこで推薦者の(ISC)2 ID入力求められるので
ホルダーじゃないと無理。 >>253
レスありがとうございます。
転職して2年目で、前の職場の上司にサインもらうのもダルいので、3年後の取得を目指します。
ちなみに、今SSCP取っといて、3年後にCISSPのエンドースメントを自分でやる…なんて、できないですよね…? エンドースメントが要ると書いてあるのに要らない前提で話すのは謎
ほんとうにそうしちゃうなら、そういう人にセキュリティ屋の素養があるかも謎だと思う
私は昔とった系なので最近はよくわからないけど、勉強するかどうかという大切な判断なら、I2C Japan に聞くのが一番
私がとった頃は、周囲にホルダがいない場合、I2C Japanが親身になって相談してくれていたよ CISSP認定試験合格者で、身の周りに(ISC)2認定資格保持者がいない場合には、Request Endorsementページにて、『Request (ISC)² to endorse you. 』にチェックしてください。 (ISC)²がエンドーサー(推薦者)となります。 自己レスです。
電話で問い合わせてみましたが、やっぱりSSCP取ってからの、自分のCISSPのエンドーサを自分でやるのは無理でした。
50万位の研修受ければ、講師がエンドーサしてくれるらしい。
自腹で払う気にはなれない研修費ですね… いやしくもセキュリティ屋になろうとしてる奴が、あわよくば抜け道を通ろうとしてるのが心底信じられんわ。 https://www.isc2.org/japan/cissp_regist.html#step
とりあえずちゃんと読もう。
(ISC)2がエンドーサーになる場合は、
(ISC)2が申請した職歴の確認をするだけの話。
とりあえず言いたいのは、
実際に前職含めてCISSP要件をみたす職歴があるのなら
エンドーサーがいないという理由だけで受験を見送るのはナンセンス。
最悪、合格だけしておいて準会員で三年待つとしても
その方が受けないよりずっと身になると思う。 3年ほど前にCISSP勉強して取得したけど、日本じゃ全然知名度無いし、特に評価もされんね。
自分のエンジニアとしてのレベルが上がった実感も特にない。
そりゃ、座学で本読んで、ノート取っただけの知識で、4択問題を1000問解こうが、10000問問題を解けようが、プロの知見は得られんわな。
「プロフェッショナル」という肩書に夢見すぎてた。
具体的な攻撃や防御の手法や立ち振る舞い学べる的な、もっと実践的なノウハウが学べる認定資格はないのかね? CISSPホルダーのみなさんは、情報処理安全確保支援士試験のことはどう思ってますか?
自分も取ろうと思っている、CISSPの劣化版、更新料高すぎなど、何でもいいのでご意見いただけませんか? >>264
ttp://www.jnsa.org/jnsapress/vol37/3_kikou.pdf >>265
セキスペもってるので費用会社もちなら登録したいけど刑事罰のリスクが気になる。
名刺の英語面に記載できない(意味がない)のも微妙。 >>264
SANSのトーレニング&GIAC認定試験とか >265
双方所有してますが、優劣は特にないと思います。
ただ、重視しているテーマの幅が異なるだけで。
CISSPは、自分の感想だと情報セキュリティに関して「考えられうる、ありとあらゆる範囲」を網羅しようとしているように感じました。
つまり、コンピューターシステムの情報セキュリティのみならず、マネジメントやフォレンジック、物理セキュリティから、数理基礎理論、歴史(古代の象形文字〜最新の暗号技術)等々、
本当にテストに出題されるかどうかは別として、カリキュラムで取り上げられている範囲は本当に多岐に渡ります。
データセンターに設置する消火剤の種類とか、監視カメラの種類とか、金網の設置の仕方、植木や縁石の配置(テロリストにトラックで突撃されないように)の方法等を
文献で学習してた時は、「ぼくのかんがえてたじょうほうセキュリティとなんかちがう」感が半端なかったです。
さすが、米国の国防総省が採用の前提にするだけ資格だけのことはありますが、
一般企業に勤めていて、普段の業務ではあまり使わない知識も、それなりの割合を占めてます。
(プロフェッショナルなら使う使わないに限らず、全部基礎教養として知っとけという事なのでしょうが。)
IPAの資格は、コンピューターシステムの情報セキュリティにかなり的を絞ってるので、
範囲は狭いですが一般企業の実業務で使いそうなカリキュラムばかりです。 ?266
>269
確かにとても実践的で、専門的で技術的な分野を掘り下げており、有用そうですね。
日本人講師も根岸 征史さんに、林 聡さんと赫赫たるもので信頼できます。
ただし、講習費用がとても高い(60万!)のと、そもそも試験は日本語化されてるんですかね?
全体的にローカライズがされておあらす、英語が堪能でないとお断り的な間口の狭さを感じます。
(NRIテクノロジーさんがローカライズをやられてるんですね。)
↓あと以下のようなアメリカの健康器具のテレビショッピング的なノリに若干の不安を覚えます。
>最近のクラスで、ある受講生が駆け寄ってきて私を強くハグし
>(彼は元フットボール選手だったので、私に抵抗の余地はありませんでした)、こう言いました。
>「SANSはすごい。私はこの1年間ずっと、自分の仕事にストレスを感じており、
>組織をセキュアにして成果を出すという当初の夢を失っていた。
>そんな時、ダメ元でSEC401に参加した。
>ところがコースが終わると、今までにない希望の光を感じた。まるで自分が子供の頃に戻ったようで、
>会社に帰って教わった技術を試すのが待ちきれなくなった。
>でも私の上司は、受講後1週間の間に8回も彼を呼び出し、
>自分が学んできたすばらしい情報と実践知識を余すところなく伝えまくった私に、怯えてしまったようだ」 >>271
その分野に進むなら英語は避けて通れないです。
欲を言えばロシア語や中国語も。