ISC2認定保持者インタビュー
株式会社ラック
JSOC チーフエバンジェリスト 兼 担当部長
川口 洋様,CISSP
セキュリティ全般に関する内容だけではなくマネジメントを含めて対応できなければなりません。そのためにはCISSPという資格取得は有効。 |
私がCISSP資格を取得したのは2008年、6年前のことです。同資格取得者であり、CISSPの啓発を主導している社内メンバーからの強い推薦で受験することを決めました。
当社は、情報セキュリティサービスにおけるリーディングカンパニーであり、当時は重要な資格としてCISSP取得を社内外に推進することが会社のミッションでもありました。
セキュリティの仕事に携わっていると、我々スタッフは非常に年齢が若いのですが、お客様は情報システム部の責任者など年配の方や意思決定する立場の方も多いので、 ITのみならずマネジメントなど幅広い知識を習得する必要があります。
ビジネスのプロ、ITのプロであるお客様と対話するには、不正アクセスや暗号等技術の知識はもちろん重要なのですが、それ以外に「セキュリティ分野において国内外で いかなる問題が起こっているのか、その市場動向や事業環境は今後どのように推移するのか」など、セキュリティ全般に関する内容だけではなくマネジメントを 含めて対応できなければなりません。
そのためにはCISSPという資格取得は有効だと感じました。資格や試験はプレッシャーになるので、できるだけ避けたい気持ちも強かったのですが、腹を括り、 資格取得を目指しました。
まず、取り組んだことは、試験対策として利用される『CISSP認定試験 公式ガイドブック』(NTT出版刊)をとにかく読むことにしました。
帰宅後、キーワードを拾う形式で学習し、完読しました。私の通常の業務は、基本的にはネットワークセキュリティがメインなので、こういう 機会でもなければ、普段触れていないジャンル、つまり物理セキュリティや法律などについて深く考えることはなかったでしょう。
具体的には、物理的セキュリティについて言えば、例えば、照明は6フィート以上あるいは、7フィート以上にすべきなど何らかの 理由があってその高さに設定している、その概念が記載されていたのは非常に面白かったですね。
スプリンクラー方式や建物など、あるいは設置後の運用のことまで想定して対処しておかないと不完全な状態だと知り、感心しました。
その後、5日間の「CISSP 10ドメインレビューセミナー」に参加し、受験しました。トータルで受験までの準備期間は1ヵ月程度でした。 レビューセミナーを受講してみて、セキュリティに対する考え方や思考法については、なるほどと思わされることが多々ありました。
CISSP資格を維持するためのCPE(Continuing Professional Education)を取得することに苦労している人もいます。確かにCPEを取得するのは容易ではないでしょう。
私が実践しているCPE取得方法を紹介しますと、社内でログ解析やサイバー演習を自主的に実施しています。特別なことでなくとも、CPE登録につながるような、 多様な取り組みや情報発信を積極的に行うことを、CISSPの資格者の活動として行うできではないかと考えるからです。
情報セキュリティ人材を育成していくためには、中長期的なスパンでの資格取得者の拡大の取り組みや、資格の維持に努められるような環境をサポートして いく必要がありますね。有資格者がしかるべき実績を蓄積することでその存在感が増していくことでしょうし、その結果として、人脈も広がり、セキュリティ 業界の人的資源の拡大と質の向上が図られていくのではないかと思います。
インタビューにお答えいただき、誠にありがとうございました。(インタビュー日:2013年11月)
「CISSP 10ドメインレビューセミナー」は「CISSP CBKレビュートレーニング」に名称変更しました。(2015年4月)