ローン返済

現役の外資系コンサルタントがサイバーセキュリティの効率的な勉強方法や、暮らしを豊かにするためのアイテムなどを紹介するブログ

CEH(認定ホワイトハッカー)とは?取得するメリットや難易度も紹介!

f:id:yuukoutetu:20211201024915p:plain

 

セキュリティ学習者の皆さん、こんにちは!

今回は、CEH(Certified Ethical Hacker:認定ホワイトハッカー)について紹介させていただきます。

セキュリティを勉強していく中で、「どんな資格が自分に合っているんだろう?」と悩まれている方も多いのではないでしょうか。

また、CEHについて興味はあるけど受験を迷われている方も多いと思います。

本記事では、グローバルで認められているCEHについて、取得するメリットや、勉強方法のステップについて解説いたします。

CEHとは?

CEHとは、EC-Counsil(電子商法取引コンサルタント国際評議会)による認定資格です。

本資格では、実際の攻撃者がどのようにハッキングするのかを体型系的に学ぶことが可能です。

試験では次のようなタイプの問題が出題されます。

  • 過去に流行した攻撃手法
  • 攻撃の流れ(偵察、エクスプロイト、権限昇格など)
  • ホワイトハッカーとしての考え方
  • 攻撃に対する防御策

攻撃者の理解を深めることは、効果的な防御策を考えることに凄く役立ちます。

そのため、ペネトレーションテスターはもちろん、次のような職種の方達におすすめです。

特にコンサルティングなどを行っている方で、技術的なスキルに課題を感じている方にオススメです。

リスクや脅威を考える際に、実際の攻撃者が取りうる攻撃手法を知っていると、より具体的なアイディアを出すことができるようになります。

こういった知識やスキルを持っている方は非常に少ないので、同期より一歩抜きん出るには凄く良い資格です。

試験概要

CEHの試験概要は次のようになっています。

■ 問題数/出題形式
- 125問
- 選択式

■ 制限時間
- 4時間

■ 合格ライン
- 出題される問題の難易度により変化

■ 費用(※試験のみ)
- $1,199

■ 言語

- 英語、日本語(※日本語はGSXの公式トレーニングを受ける場合に利用可能)

■ 前提条件
- 情報セキュリティの実務経験2年 or 公式トレーニング受講

注意点としては、CEHを受けるには、情報セキュリティの実務経験2年か、後述する公式トレーニングを受ける必要があります。

また、試験範囲(CEHv11: Blueprint v4.0)は次のようになっています。

f:id:yuukoutetu:20211201012848p:plain

詳しくは下記を確認ください。

https://www.eccouncil.org/wp-content/uploads/2021/01/CEH-Exam-Blueprint-v4.0.pdf

難易度と前提スキルについて

f:id:yuukoutetu:20211201004518p:plain

https://pauljerimy.com/security-certification-roadmap/

セキュリティ認定資格を分野・難易度別に整理された上記の表では、入門者〜中級者レベルに位置付けられています。

また一般的にも、Comptia Security+の次に受けられる方が多いようです。

試験では攻撃ツールやプロトコルの詳しいことが聞かれるので、OSCPを勉強された方やオフェンシブセキュリティの実務経験がある方は比較的簡単に取得できると思います。

具体的に試験で問われる問題を知りたい方は、下記リンクがおすすめです。

CEHの練習問題を無料で確認することができます。

Free CEH V11 EXAM Footprinting practice test 2021

ただ、セキュリティ領域が全く初めてという方は、Comptia系の資格で基礎知識を勉強してから挑むか、公式トレーニングなどでKali Linuxや攻撃ツールを実際に触ってから目指すと良いと思います。

取得するメリット

CEHを取得するメリットとしては次のようなことが挙げられます。

  • グローバルで認められており、取得者の平均年収が高い
  • 攻撃者の考え方や攻撃手法を学べる
  • CISSPで必要な実務経験が1年分免除される

グローバルで認められている資格

海外の政府では、サイバーセキュリティのキャリアを進める上で、まずはComptia Security+やCEHを取得することを推奨する例が複数あります。

また、CEH取得者は、企業からのニーズが高く、グローバル調査機関Global Knowledgeによる「最も稼ぐことができるIT資格Top15(2019年)」によると、$116,306と高収入を得ています。(ちなみに、CISSPは$116,900と僅差)

www.globalknowledge.com

そのため、特にグローバル企業での就職を考えている人や国際水準のセキュリティ技術を身につけたい人にはおすすめの資格です。

攻撃者の考え方や攻撃手法が学べる

CEHでは、システム、ネットワーク、Web, ワイアレス、IoT、OTなどを含めて、広範囲に攻撃手法を学ぶことができます。

これによって、攻撃者の理解を深めることができ、攻撃者に対抗するため防御策を効率的に考えることができます。

セキュリティの実務では、システムや組織のリスクや脅威を考える際にはとても発想力やアイディア力が求められます。

この時に、攻撃手法の技術的な知識があることによって、自分の引き出しを増やすことができ、他の人にはない意見をいうことができます

なので、コンサルティング業務の付加価値を高めたい人にも凄くおすすめです。

CISSPで求められる実務経験が1年免除される

CISSPの取得には、原則、フルタイムで5年以上の実務経験が求められていますが、CEHを取得している場合、1年間免除されます。

そのため、実務経験を短縮してCISSPを取得できるのもメリットですね。

https://www.isc2.org/Certifications/CISSP/experience-requirements

合格に向けた勉強ステップ

CEHでは大きく2つの勉強の始め方があります。

  1. グローバルセキュリティエキスパート株式会社(GSX)が代理店として提供している公式トレーニングの受講
  2. Udemyや書籍などを活用した独学

1に関しては凄くコストがかかり約50万円ほどします。

ただ、実際にハンズオンで攻撃手法を学べる演習形式となっているので余裕があれば受講するべきです。

以降では、独学での勉強ステップについて解説します。

STEP1: Udemyで基礎知識を習得

【情報セキュリティ】Ethical Hacking:ホワイトハッカー入門

本講座は、書籍「ホワイトハッカー入門」で有名な阿部ひろきさんによるホワイトハッカー入門講座です。

まさにCEHで求められる試験範囲をカバーしているので、CEHに向けた勉強のファーストステップとしては最適です。

受講生からの評判も凄く良く、「CEHの勉強にとても良い」、「ハッキング手法を具体的にイメージしながら体系的に学ぶことができる」と評価されています。

STEP2: Pocket Prepで問題を解く

IT & Cybersecurity Pocket Prep

IT & Cybersecurity Pocket Prep

  • Pocket Prep, Inc.
  • 教育
  • 無料

apps.apple.com

このアプリはCEH v11に対応しており、約1100問収録されています。

また、苦手領域の管理や日々の学習を記録する機能が優れており、モチベーションを維持して継続しやすいのがメリットです。

CEHでは広範な知識が求められるので、本アプリや後に紹介する書籍を併用し、知識の定着を図ることがオススメです。

STEP3: CEH Practice Testで模擬テストを解く

こちらもCEH v11に対応しており、全5回分の模擬テストが用意されています。

英語なのが辛い部分ですが、本問題集を1周し、まずは自分の弱い領域を分析し、2周目で間違った問題を中心に解き直すことで知識を蓄えていきます。

本書に慣れることで、当日の時間配分なども前もって予測が立てられ、安心して本番試験に望むことができます。

まとめ

まとめると、次のような人にCEHはおすすめです。

  • 攻撃者の考え方や攻撃手法を学びたい人
  • ペネトレーションテストの技術を座学で体系的に学びたい人
  • グローバル企業での就職を考えている人
  • 国際水準のセキュリティ技術を身につけたい人

グローバルではもちろん、日本でもCEHを採用条件にしたりするケースが増えつつあるので、この機会にぜひ取得を検討してみてください。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ゼロトラストとは?仕事についたらまず読むべきもの|ゼロトラストの書籍や文献を紹介

本記事では、ゼロトラスト関係の仕事についた方がまず読むべき書籍や公開文書などを紹介します。

私自身、今までの実務経験として、ゼロトラストの技術調査、アーキテクチャの設計、SASEやCASBの導入支援を行ってきました。

そんな私がゼロトラストの勉強で役立ったものを厳選しました。

ゼロトラスト大全

本書はゼロトラストのエントリー本として最適です。
境界型セキュリティの問題点からゼロトラストを実装するうえでの勘所が掲載されており、ゼロトラストの全体像を理解することができます。
また、ゼロトラストを構成するソリューションやベンダーについて一覧化されているので、対策や製品選定の際にも利用することができます。
導入事例では、大手企業でどのような課題があり、ゼロトラストで解決できたのかが書かれているので、導入のイメージもつきやすいです。

政府情報システムにおける ゼロトラスト適用に向けた考え方

cio.go.jp

本文書は政府CIOによって2020年6月に公開された文書です。

NIST SP800-207を踏まえ、ゼロトラストのアーキテクチャを凄く分かりやすく解説してくれています。

また、政府情報システムにおけるゼロトラストのあり方も解説されているので、府省庁ネットワークの課題や現行の取り組みなどを知る観点でも読んでおいて損はないです。

NIST SP800-207 「ゼロトラスト・アーキテクチャ

www.pwc.com

ゼロトラストで必ず話題にあがるのは、NIST SP800-207です。

本文書では、ゼロトラストアーキテクチャのあるべき姿や、導入シナリオについて記載されています。

政府系の文書で最も具体的に書かれている文書なので、「ゼロトラスト大全」などで基礎を理解してから読まれることをおすすめします。

また、pwc社によって日本語訳と概説が公開されているので、まずはそちらから参照されることをおすすめします。

米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

https://media.defense.gov/2021/Feb/25/2002588479/-1/-1/0/CSI_EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF

2021年2月に、米国国家安全保障局 (NSA)からゼロトラストセキュリティモデルに関するガイダンスが発表されました。

政府に向けたゼロトラスト文書ですが、一般的な知識習得にも使えます。

特に、ゼロトラスト実装のための成熟度モデルなどが参考になりました。

 

 

 

 

 

 

 

 

 

 

 

CompTIA Security+ セキュリティ初心者が取得するべき資格 | おすすめする理由と勉強方法

f:id:yuukoutetu:20211122035729j:plain

サイバーセキュリティを勉強されている皆さん、こんにちは!

今回はComptia Security+について解説していきたいと思います。

ところで、皆さん次のような疑問はもっていないでしょうか。

「Comptia Security+は取得するメリットあるの?」
「どういうことが勉強できて、何に活かせるの?」
「難易度的にはどうなの?」

Comptia Security+はサイバーセキュリティ初心者の方におすすめです。

本記事では、Comptia Security+の試験概要や取得するメリットについて、さまざまな角度から解説していきたいと思います。

Comptia Security+試験概要

Comptia Security+はセキュリティの必須となるスキルおよび知識を学べる国際的な資格です。

セキュリティの幅広い知識やスキルを身につけることができるため、多くの政府機関ではセキュリティ入門者におすすめな資格の1つとして紹介されています。

詳しい試験範囲や初心者におすすめする具体的な理由について解説します。

Comptia Security+ (SY0-601)試験情報

2021年5月24日に、Comptia Security+の改訂が行われました。

それまでの試験番号はSY0-501でしたが、新しくSY0-601となり、試験範囲が変更されました。

SY0-601の基本的な試験情報としては次の通りです。

Comptia Security+ (SY0-601)
■ 問題数/出題形式

  • 最大90問
  • 単一/複数選択、パフォーマンスベーステスト

■ 制限時間

  • 90分

■ 合格ライン

  • 100~900のスコア形式 750スコア以上

■ 費用

  • 一般価格:46423円(税込)

■ 前提条件

  • なし

CompTIA Security+ | CORE|CompTIA JAPAN (コンプティア 日本支局)

また、試験範囲としては次のようになっています。

f:id:yuukoutetu:20211122041613p:plain

初心者におすすめする理由

セキュリティ業界標準かつベンダーニュートラルである

日本ではまだ聞いたことがない人もいるかもしれませんが、国際的に認められている資格で、取得者は500,000人を突破していると発表されています。

特に、米国国防総省(The U.S. Department of Defense: DoD)では、DoD Directive 8570の中で、情報保証に関わる職員や取引先に対して取得を義務付けています。

また、特定ベンダーの製品やサービスに特化する資格ではないため、セキュリティを学習する全ての人におすすめです。

給与水準が高い

海外の企業では、Comptia Security+のニーズが高く、業務要件として求められることが多いです。

グローバル調査機関Global Knowledgeの「最も稼ぐことができるIT資格Top15」によると、15位の$110,974と、高水準の給与を得ることができます。

15 Highest-Paying IT Certifications in 2021 | Global Knowledge

前提条件を必要としない

Comptia Security+以外で、サイバーセキュリティ初心者におすすめできる資格として「CEH」がありますが、こちらは実務経験を2年間要します。

Comptia Security+は誰でも受験し、取得することができます。

高度なセキュリティ資格への足掛かりとなる

Comptia Security+の難易度としては入門者レベルです。

よく基本情報技術者レベルと言われています。

そのため、初心者の方がセキュリティ基本的な用語や考え方を学ぶのに効率的です。

また、CISSPや情報処理安全確保支援士などの前段で受けることもおすすめです。

特に、CISSPとはドメインレベルで重複している箇所が多いので、1度挫折してしまった人などはSecurity+を検討してみることをおすすめします。

CISSPで求められる実務経験が1年免除される

CISSPの取得には、原則、フルタイムで5年以上の実務経験が求められていますが、Comptia Security+を取得している場合、1年間免除されます。

そのため、実務経験を短縮してCISSPを取得できるのもメリットですね。

勉強方法

1. 基礎的な知識の勉強

2021年11月現在、SY0-601に対応した書籍は販売されていません。

そのため、SY0-501のものを使用せざるを得ないのですが、その中でも下記の教材がおすすめです。

初心者にも十分わかりやすいテキストで書かれており、知識の整理に使うことができます。

まずは本書を2〜3週間ほどかけて読み切り、基本的な知識を習得することがおすすめです。

2. TACによる模擬試験(SY0-601対応)

TACの模擬試験はすごく評判が良いです。

受講者のコメントでは、Comptia Security+の試験は、この模擬試験とほぼ同じ内容が出題されるみたいです。

本教材を購入すると、2回分の模擬試験を受けることができます。

現在、SY0-601に対応している教材は少ないので、効率的に合格を狙われたい方には凄くおすすめです。

www.tac-school.co.jp

まとめ

今回はサイバーセキュリティの入門資格であるComptia Security+の解説を行いました。

まとめると、次のような人におすすめです。

  • サイバーセキュリティ初心者の方(特に文系出身者の方など)
  • グローバルでのキャリアを考えている方
  • CISSPなどの高度な資格を目指したい方

Comptia Security+ワールドワイドな資格で、多くの政府機関や企業で取得が推奨されているので、もしセキュリティに興味があり仕事を始めたいと思っている方はぜひ目指してみてください。

kali linux 2021 Python2とPython3が使えるJupyter Notebookの構築方法

f:id:yuukoutetu:20200627214733p:plain 今回は、Kali Linux2021で、Python2と3の両方が使えるjupyter notebookを構築する方法についてです。

  1. Jupyter Notebookのインストール(※この段階ではpython3しか使えない状態です。)
apt update
apt install jupyter-notebook 
  1. Python2のpipをインストール
wget https://bootstrap.pypa.io/pip/2.7/get-pip.py
python get-pip.py
pip install --upgrade pip setuptools 
  1. Python2をJupyter Notebookで使えるように設定
python -m pip install ipykernel
ipython kernel install
  1. Jupyter Notebookの起動
jupyter-notebook

これでPython2, 3が使えるJupyter Notebookを使えるようになりました。

後は、メニューの「New」からPython2, 3を切り替えてファイルを作成することが可能です。

f:id:yuukoutetu:20211119222813p:plain

補足:他の端末からリモートアクセスしたい場合

  1. Jupyter Notebookの設定ファイルを作成
jupyter-notebook --generate-config
  1. Jupyter Notebookに設定するパスワードのハッシュ値を作成
python -c 'from notebook.auth import passwd;print(passwd())'
>>>
<Hash of Password>
  1. 設定値の変更
vim ~/.jupyter/jupyter_notebook_config.py 

# Jupyter Notebookを起動するIPアドレス変更
c.NotebookApp.ip = '0.0.0.0'

# Jupyter Notebookを起動するポート番号変更(※変更しなくてもよい)
c.NotebookApp.port = 8889

# Jupyter Notebookにアクセスする際のパスワードのハッシュ値を設定
c.NotebookApp.password = '<Hash of Password>'

これで、リモートからKali Linux上で動くJupyter Notebookにアクセスできるようになりました。

オフェンシブセキュリティ関連のおすすめ本紹介!レベル・目的別に解説

 

f:id:yuukoutetu:20211118003633j:plainオフェンシブセキュリティを学ぶみなさん、こんにちは。

サイバーセキュリティを学ぶ人が増え、日本語の書籍も充実しつつあります。

ただ、「どれを読むべきなのか」を悩んでいる人も多くいると思いますので、

オフェンシブセキュリティ未経験から独学した私からおすすめの本を10冊紹介します。

オフェンシブセキュリティ未経験の人におすすめ

ハッキング・ラボのつくりかた

本書はハッキング初心者の方を対象に、kali Linuxや脆弱なマシンの環境構築から、代表的な攻撃手法の演習を含んでいます。

初心者の方は環境構築の時点で挫折してしまいがちですが、本書はその辺りを非常に丁寧に解説しています。

また、攻撃手法も網羅的かつ丁寧に解説されており、リバースシェルの貼り方、マルウェアファイルの作成方法、ネットワーク上の中間者攻撃などをカバーしている珍しい入門書です。

本書は、実務で使う技術の基礎が学べるので、読んでみて損はないです。(私もいつも周りの初心者の方におすすめしています。)

サイバーセキュリティプログラミング | Pythonで学ぶハッカーの思考

本書は、Pythonを用いて、情報調査や攻撃活動によく利用されるツールのソースコードの解説をしてくれています。

読む前にPythonを読めるレベルになっている必要はあるものの、内容が分かりやすく、また汎用的に使えるツールをコーディングできるので、初心者にはすごく良い本だと思います。

特に、パケットキャプチャで使用するScapyや、Webのソケットライブラリのurllib2は実際に使う場面も多いので、知っておくと役に立ちます。

Webの脆弱性診断の勉強におすすめ

脆弱性診断スタートガイド

本書のポイントとしては、Webの脆弱性診断でよく使うツール(OWASP ZAPやBurp Suiteなど)や実際の業務の流れを解説してくれています。

そのため、脆弱性診断を初めてやる方が、業務としてどういうふうに脆弱性診断を進めれば良いのかを知るのに最適です。

特に、事前計画の留意点や報告書の書き方についても触れられているので、業務時に確認することもオススメです。

安全なWebアプリケーションの作り方

本書はWebの脆弱性を網羅的に学習できる本です。

特徴としては、実際に手を動かしながら、脆弱なWebアプリケーションに対する攻撃を行い、各脆弱性の理解を深められるところです。

また、脆弱性の解説だけではなく、影響や対策方法についても書かれているので、実務で顧客に解説する際の参考ドキュメントとしても使えます。

ペネトレーションテストやレッドチーム演習の勉強におすすめ

ハッカーの技術書

ハッカーの学校」でお馴染みの黒林檎さんが執筆された本です。

本書では、最新の動向を踏まえて、攻撃手法を解説してくれています。

特に、クラウドサービスに対する攻撃手法や、Active Directoryに対する攻撃手法は、インターネット上を含めても日本語の情報が少ないので、そこだけでも読む価値があります。

本書は特にレッドーチームの方におすすめですね。

 

サイバーセキュリティレッドチーム実践ガイド

本書は、レッドチーム演習で使われる技術にフォーカスして解説がされています。

そのため、Active Directoryに対する攻撃はもちろん、Bash BunnyやLAN Turtuleなどの物理的な攻撃用ツールの紹介もされていることが魅力です。

アンチウイルスソフトを回避する難読化の技術など、実務レベルでよく使用されるツールなども解説されているので、レッドチームに興味がある方にすごくおすすめです。

まとめ

本記事では、私が今まで購入してきた中から厳選してピックアップしました。

なので、全ての本をオススメできるので、ぜひ参考にしてみてください。

また、ITが未経験の方には上記で紹介した本をいきなり勉強するのは難しいと思いますので、まずはネットワークやサーバの知識から学んでいくことをおすすめします。

参考までに個人的なおすすめの勉強方法を下記で紹介しています。

 

 

 

 

 

 

 

 

 

サイバーセキュリティ人材育成調査メモ|カナダ

グローバル規模でサイバーセキュリティ人材が不足する中、各国政府は次々と施策を打っています。

その中でも本記事では、『カナダ』に焦点を当て、政府がどのように人材育成に取り組んでいるのかをメモしています。

カナダサイバーセキュリティセンター(Canadian Centre for Cyber Security)

https://cyber.gc.ca/en/

カナダサイバーセキュリティセンターは2018年に設立されました。

同センターが設立される前は、カナダ政府のセキュリティ運用機能は国防省や公安省に分散されており、各組織の役割や責任が曖昧さが課題となっていました。

同センターは、サイバーセキュリティに関する政府の対応を主導しており、国のサイバー資産を保護および防御することに取り組んでいます。

特に、重要インフラや中小企業のサイバーセキュリティ窓口となり、支援を行うことで、国家のサイバーセキュリティを確保しています。

また、カナダ国内のサイバーセキュリティ人材の育成を行なっています。

サイバーセキュリティ人材育成に関する取り組み

キャリアの支援

カナダサイバーセキュリティセンターは、サイバーセキュリティのキャリアについての情報を公開しています。

https://cyber.gc.ca/sites/default/files/2020-09/2021-0089-student-guide-e-sept25-2.pdf

同ファイルには国内のサイバーセキュリティの状況、キャリアステップ、資格情報などが書かれています。

個人的に気になったのは下記の2点です。

  • カナダでニーズのある資格一覧
  • サイバーセキュリティを学べる大学一覧
カナダでニーズのある資格一覧

カナダ国内では次の資格のニーズが高く、取得が推奨されています。

Cyber Security Fundamentals
GIAC Security Essentials
CompTIA Security+
CompTIA Advanced Security Practitioner
Certified Information Systems Security Professional
Certified Information Security Manager
Certified in Risk and Information Systems Control
Systems Security Certified Practitioner
Certified Chief Information Security Officer
CyberSec First Responder
Certified Secure Computer User
Certified Secure Software Lifecycle Professional
Certified Wireless Security Professional
CertNexus CyberSAFE®
Certified Ethical Hacker
Certified Information Systems Auditor
Certified Cloud Security ProfessionalCyber Security Nexus Practitioner
Offensive Security Certified Professional
GIAC Information Security Professional
GIAC Security Leadership Certification
GIAC Information Security Fundamentals
GIAC Certified Perimeter Protection Analyst
GIAC Certified Intrusion Analyst
GIAC Certified Incident Handler
GIAC Certified UNIX Security Administrator
GIAC Certified Windows Security Administrator
GIAC Certified Enterprise Defender
GIAC Certified Web Application Penetration Tester
GIAC Assessing Wireless Networks
Global Industrial Cybersecurity Professional
GIAC Critical Controls Certification
GIAC Penetration Tester
GIAC Security Expert 

CISSPをはじめ、ほとんどがグローバルで認められている資格ですね。

また、ここ数年で有名になったOSCPが含まれていることをみると、政府の柔軟さや動きの速さを感じます。

セキュリティを学べる大学一覧

また、同センターでは、サイバーセキュリティのプログラムを提供する大学を公開しています。

実は10年ほど前までは、カナダのオンタリオ州などでは、サイバーセキュリティのプログラムを提供する学校はごくわずかでした。

それが、2018年に政府がサイバーセキュリティ戦略『National Cyber Security Strategy』を発表して以降、ほとんどの教育機関がプログラムを提供するようになりました。

ちなみに、日本では、東邦大学の金岡先生が、国内のサイバーセキュリティ研究室を一覧化して公開しています。

https://github.com/akirakanaoka/seclablist

カリキュラムガイド

次に、同センターでは、サイバーセキュリティ教育を計画する事業者や教育機関向けに、カリキュラムガイドを公開しています。

このガイドでは、サイバーセキュリティの役割の定義(業務内容や一般的に要求される知識や実務経験)と、それぞれの役割に求められるトレーニング要件を定義しています。

ここでの役割のカテゴリは次の4つあります。

  • Govern and Support:組織が効果的なサイバーセキュリティ対策を実施できるようにするための管理、指示、およびサポートを担当
  • Protect and Defend:サイバーインシデントおよび脅威の検出、防止、対応、および回復を担当
  • Operate and Maintain:効果的かつ効率的なパフォーマンスとサイバーセキュリティを確保するための管理、保守、およびサポートを担当
  • Design and Develop:製品のライフサイクル全体にわたって、ハードウェア、ソフトウェア、およびシステムを開発、保護、テスト、および統合する担当

例えば、Operation and Maintainのカテゴリーには、ペネトレーションテスターが含まれているのですが、その具体的なトレーニング要件としては次の通りです。

他にも様々な役割についての定義があります。

カリキュラム作成は教育で最も難しいことの一つなので、こういった政府の取り組みは、国内の人材教育に大きく寄与しているものと考えられます。

参考文書

JCIC海外ニュースクリップ, https://www.j-cic.com/news/20181010.html

Canadian Centre for Cyber Security, https://cyber.gc.ca/en/w

Canadian Centre for Cyber Security: Cyber Security Career Guide , https://cyber.gc.ca/en/guidance/career-pathways
Canadian Centre for Cyber Security: Learning Hub, 

https://cyber.gc.ca/en/learning-hub

【2021年】CISSPに合格するための勉強方法を解説!日本語での勉強や費用を抑えたい人向け

f:id:yuukoutetu:20211111233720j:plain

セキュリティ界隈のみなさん、こんにちは!

今回は、グローバルスタンダードな資格である、CISSPの勉強方法について解説します。

ところで、CISSPに対して、次のようなイメージを持たれている方も多いのではないでしょうか。

  • CISSPって独学で取得することは可能なのか?
  • 取得にはどれくらいの期間やお金が必要なのか?
  • 効率的な勉強方法はないのか?

CISSPの勉強方法に関する情報は、まだまだ日本では少なくイメージがつきにくいと思います。

本記事では、2021年現在、CISSPの合格レベルに至るために、効率的な勉強方法をご紹介します。

CISSPとは?

CISSPとは、国際非営利団体(ISC)² (International Information Systems Security Certification Consortium)が認定を行う、国際的なサイバーセキュリティ資格です。

認定を行うには、次のようなセキュリティ共通知識分野(CBK)の8分野について、深い知識を有していることを証明する必要があります。

  1. セキュリティとリスクマネジメント
  2. 資産のセキュリティ
  3. セキュリティアーキテクチャとエンジニアリング
  4. 通信とネットワークセキュリティ
  5. アイデンティティとアクセスの管理
  6. セキュリティの評価とテスト
  7. セキュリティの運用
  8. ソフトウエア開発セキュリティ

加えて、セキュリティ専門家としてフルタイムで5年以上の実務経験が求められています。
(なお、大学卒業学位取得者、あるいは(ISC)² が認める資格の取得者の場合、1年分の経験が免除されます。)

CISSP取得のメリット

CISSP取得のメリットは、セキュリティ資格の中で最もグローバルで認められており企業でニーズのある資格だからでしょう。

2021年7月にcouseraが実施した調査によると、他のスペシャリスト資格より3倍以上求人があるそうです。

f:id:yuukoutetu:20211111215858p:plain
https://www.coursera.org/articles/popular-cybersecurity-certifications

また、給与水準も高く、グローバル調査機関Global Knowledgeの「最も稼ぐことができるIT資格Top15」によると、なんと5位の$151,853です。(※1~5位はより専門領域に特化した資格)
www.globalknowledge.com

特に、外資系企業や監査法人、金融機関などで、監査やリスク管理などの仕事をする際には、必須条件であることが多く、国内でも情報セキュリティ確保支援士よりも優遇されることが多いです。

■ こんな人にオススメ!
 ▷サイバーセキュリティで求められる知識全般を学びたい人
 ▷将来的にグローバル企業への就職・転職を考えている人
 ▷セキュリティの仕事を行う上での単価を上げたい人

CISSPの勉強方法とコンテンツ紹介

2021年現在、CISSPの勉強方法としては大きく2パターン存在します。

1つは、お金を大量に使える人向けです。ただし、その分短期で資格取得を目指せます。

もう1つは、コストを抑えたい人向けです。こちらは、受験者のバックグラウンドに大きく依存しますが平均的には半年〜を見ておいた方がよいと思います。

CISSPの勉強にあたって、お金を払えば大きく時間短縮することができるということは、1つのポイントです。




勉強方法① (ISC)² 公式トレーニングの受講

(ISC)2 公式トレーニン

(ISC)2 公式トレーニン
■ トレーニング期間

  • 平日の5日間(09:30〜17:30)

■ 学習形式

■ 費用

  • 495,000〜550,000円(税込)
  • ※試験費用は別途91,000円かかる

■ 配布物

  • 日本語テキスト(冊子、電子版)
  • 英語テキスト(電子版)
  • 日本語確認問題(冊子、電子版)
  • 英語確認問題(電子版)
  • 日本語CISSP公式問題集(電子版)【終了後のアンケート回答者に配布】

https://www.nri-secure.co.jp/service/learning/cissp_training

結論から言うと、2021年現在、(ISC)2 公式トレーニングを受講することが最も良い選択肢だと思われます。

独学で勉強される場合、「新版 CISSP CBK 公式ガイド」や「CISSP公式問題集」をベースに勉強されていく方が多いと思いますが、全く学習効果が異なります。

上記資料の場合、セキュリティ共通知識分野を1つ1つ理解していくには適している一方で、試験問題(CISSPとしての)の勘所というのが掴めないことが問題です。

公式トレーニングでは、講義中に「CISSP的な考え方としては〜〜〜」と話されることがあるのですが、ここが最重要箇所となるんです。

また、講師陣が教える能力に長けているため、1つ1つの概念を学んでいくのですが、事例や関連性を含めて講義されるので、知識の定着がスムーズに行えることもメリットの1つですね。

とはいえ、約50万円とかなり高額なので、予算が厳しい方も多いと思われるため、比較的コストをかけずに独学できる勉強方法もご紹介します。

勉強方法② おすすめの独学方法

Udemy CISSP講座(日本語版)


【日本語】初心者から学べるCISSP講座

上記のCISSP講座は、日本語教材として、クオリティが高く、簡単な言葉で1つ1つの概念を説明しています。

そのため、サイバーセキュリティ入門者でも分かりやすい内容になっており、アニメーションでCISSPの全体像を学べるので、CISSP学習のスタート地点として凄くオススメです。

また、公式トレーニングが費用面で受けにくいと思われている方も、まずはこちらの講義で学習のとっかかりを見出し、必要に応じて公式トレーニングの受講を考えられることがよいと思います。

本講義は1ドメインあたり1500円〜で学ぶことができるので、非常に取り組みやすいですね。

ただし、上記の講座だけで、CISSPに合格するのは難しいので、次に紹介するような書籍を使って知識を保管していきましょう。

CISSP公式問題集

こちらが独学でメインで使用する教材です。

他のブログ発信者や合格者の話を伺ってみると、ほとんどの方がこの公式問題集で勉強されています。

私自身も、この公式問題集を2週することで、全ドメインの正答率を9割以上にし、徹底的に知識を詰め込んだ上で試験に望んでいます。

ただ、この問題集から始めるのはあまりオススメではなく、上記のような公式トレーニングやUdemyでCISSPの全体感を先に学んだ上で取り組まれる方が学習効率が高いです。

新版 CISSP CBK 公式ガイド


CISSPの独学といったら、CBK公式ガイドですよね。

本書の使い方としては、1ページ目から順番に読んでいくのではなく、都度分からない用語を調べるような、辞書的な使い方が最も良いと考えています。

というのも、本書はCISSPで求められる知識を網羅的に書かれたものなので、ページ数が膨大で、とても読み切れるものでは無いからです。

ただし、もし公式トレーニングを受講される予定があるなら、本書は不要だと考えています。

というのも、CISSP公式トレーニングでは、既に日本語資料を配布しており、そちらの方が内容的にも理解しやすいものになっているからです。

なので、全て独学でやられる方にオススメな本となります。

CISSPは難しすぎる!って人のために

CISSPの勉強を始めるにあたっては、少なくとも1年間のセキュリティ経験があった方が良いと感じています。

経験は、大学での勉強でも良いですし、社会人としての経験でも良いですが、大事なのはCISSPで述べられている内容がざっくりでも頭に入ってくるかです。

公式トレーニングやUdemyは比較的初心者の方でも分かりやすく作られている印象ですが、もし万が一、全くわからないと感じたら一度ITやサイバーセキュリティの基礎を勉強するべきです。

私自身、「どうすればセキュリティ人材を育てられるのか」に非常に関心があります。

まだ完成度としては全然高くないですが、下記の記事で「初心者向けセキュリティ技術を学ぶ方法」を解説していますので、興味があればご覧ください。

ariastark.hatenablog.com

まとめ

国内でも、情報処理安全確保支援士よりも、CISSPが重視されることが多くなってきています。

グローバル共通で認められている資格なので、セキュリティを志す人は、本ブログなどを参考に取得を目指してみてください。

また、合格した人もぜひコメントで教えていただけると嬉しいです。