(ISC)² 認定保持者ビデオインタビュー

cissp

高草木氏は、2014年にCISSPを取得されました。まずは公式ガイドブックを購入し、実践と結びつけて学習していったとのことです。より深く理解するために公式セミナーも受講し、体系立てて学ぶことで合格に至りました。
当時、社内にセキュリティ専門組織が立ち上がったばかりで、CISSPを取得したことによって社内における組織の知名度や信頼の向上に繋げることができたと共に、セキュリティ全体を俯瞰できるような目線を養うことができたと感じているそうです。
現在は社内グローバルSOC やCSIRT などのサイバーセキュリティ体制の構築運用に携わっており、業務においてCISSP8ドメインの全ての知識が役に立つと感じておられるとのことです。

Speaker:
アステラス製薬株式会社
情報システム部
サイバーセキュリティグループリーダー 
高草木 泰彦, CISSP

高草木 泰彦氏
Moderator:
NTTデータ先端技術株式会社
INTELLILINK Training Academy
Executive Manager,
(ISC)²認定講師
金田一 啓史, CISSP
金田一 啓史氏

CISSP認定保持者ビデオインタビュー

今回、アステラス製薬の高草木氏に、CISSP取得に至った経緯、CISSP勉強方法、CISSP合格後のメリットなどについて伺いました。

CISSP_holderinterview_Takakusaki-san

インタビュー動画のご視聴はこちら

CISSP取得に至った経緯を教えてください

現在、私の所属する会社(以下、当社)では、医療用薬品の開発と製造販売を行っています。私自身は、社内の情報システム部のサイバーセキュリティグループに所属しており、グローバルSOCやCSIRTなどのサイバーセキュリティ体制の構築運用に携わっています。他にも、新しいセキュリティソリューションの導入やセキュリティトレーニングの実施を手掛けています。

また、当社では、上記の業務に加えて、医療分野と異分野の技術を組み合わせたサービス(モバイルアプリやIoTデバイスを利用したサービス開発など)も開発していますので、サービス提供会社としてのセキュリティ体制構築などを行っています。

自分自身の業務と関連するCISSPドメインが何かと聞かれれば、8つのドメインすべてが該当すると回答します。これは、セキュリティ業務を進めていく上で、IT技術だけでなく、リーガルやコンプライアンス(*1)など、ITセキュリティ以外の要素が必要になってくるからです。当社では、IT分野以外の担当の人と連携をとりながらセキュリティ活動を推進する必要があるので、8ドメインすべての知識が役に立っています。

なお、当社では、試験費用や研修費用などの社内補助はないものの、CISSPの必要性を感じて資格取得するメンバが多いと思います。特に、グローバル(本社)のメンバとセキュリティ関連の話をする際に、セキュリティの共通用語としてCISSPが有効だと感じます。

*1:リーガルやコンプライアンスは、ドメイン1:「セキュリティとリスクマネジメント」に含まれる。 https://japan.isc2.org/cissp_gaiyou.html

CISSP勉強方法について教えてください

学習に先立ち、まず、CISSP公式ガイドブック(*2)を購入しました。とはいえ、読むだけでは、理解が深まりません。そこで、CISSP公式ガイドブックの内容を、どのように実務に活かせるものか、日常業務の参考書として利用していきました。すなわち、実務と学習の両面で、CISSP公式ガイドブックを活用したといえます。

その後、しばらくして公式セミナー(*3)を受講し、独学だけでは理解できなかったことを(ISC)²認定講師より学ぶことができました。公式セミナーを通じて、体系立てて整理して学ぶことができた点が、有効だったと思います。 公式セミナーから2か月後にCISSPを受験しました。CISSPの受験を、あらかじめ周りに宣言することで、自分自身によい意味でプレッシャーをかけて勉強することができました。

受験までの2か月間は、通勤時間を有効に活用して勉強しました。週単位で学習するドメインのテーマを決めて、すべてのドメインをバランスよく網羅するように心がけました。ただし、CISSP公式ガイドブックは、簡単に持ち運びできるものではありません。そこで、各ドメインの内容と関連する参考書籍や手書きでまとめた資料などを持ち運び、電車の中で集中的に勉強しました。

なお、試験対策には役立ちはしなかったものの、CISSP公式ガイドブックの中で、興味のある内容を、書籍やネットを使って定期的に調べていきました。これは、自分自身のセキュリティスキルの幅出しをする意味で、非常に役に立ったといえるでしょう。

*2:情報セキュリティの知識を体系化したもので、CISSPの受験を考えている人には必携の書籍(1700ページ)。通称「電話帳」。 https://japan.isc2.org/cissp_examination.html
*3:5日間の(ISC)²公式セミナー。(ISC)²認定講師(日本人)がレクチャーする。
https://japan.isc2.org/cissp_examination.html

CISSP合格後に実感したメリットはありますか

私の場合も、CISSPの合格により、給料があがることはありませんでした(笑)。

私がCISSPに合格した時期は、2014年頃です。その当時は、社内にセキュリティ専門組織が立ち上がったばかりで、周りからみると、何をやっているのかわかりづらい部門でした。ところが、私がCISSPに合格することで、「セキュリティ専門組織の高草木が、グローバルスタンダードのセキュリティ資格を取得したらしい」と大騒ぎになり、社内での知名度や信頼の向上に繋げることができました。

私自身に関して言うと、CISSPを取得することで、セキュリティ全体を俯瞰できるような目線が養われたなと感じます。特に、セキュリティ業務は、1部門だけでなく、社内連携も必要なので、幅広い8ドメインの知識が役に立ちました。

また、新しいリスクに対する感度が高くなったかなと思います。例えば、DXなどに代表されるように、この数年間でビジネス形態が変わりつつあります。変革に伴い、新たなリスクも発生します。そのリスクに対して、私自身が、課題提供やアクション検討など、早期に対応できるようになったと思います。

「リスクを正しく怖がる」ことが大切です。怖がる度合いが、強すぎても弱すぎてもいけないのですが、このバランス感覚は、CISSPの学習や、その後の継続教育(CPE)を通じて養われていったと思います。セキュリティ教育は、習慣化することが肝要なので、私自身は、今後も、日々新しい情報を収集することで、役立てていきます。

さいごに

CISSP資格の取得は、ゴールではなくスタートです。CISSP取得により、私は、セキュリティ専門職の土俵にあがることができたと考えます。CISSP取得後、(ISC)²の試験問題の翻訳ワークショップ(inアイルランド)にもメンバとして参加し、海外の専門家とも交流を深めることができました。みなさんにも、そのような場にどんどんチャレンジしていってほしいと思います。

今後は、私自身もセキュリティに関する知見をもっと増やしていき、セキュリティ情報について、自分から発信できるような(TakeだけでなくGiveできるような)立場になれればと考えています。

(インタビュー日:2021年6月)