【セキスペ】セキュリティ関連資格・枠組み【CISSP】

【セキスペ】セキュリティ関連資格・枠組み【CISSP】

情報セキュリティ早期警戒パートナーシップ

情報セキュリティ早期警戒パートナーシップ (以下、パートナーシップ)とは、脆弱性関連情報に着目し、必要な情報を必要な関係者に送り届けることで、発生する被害を最小限に留めるための枠組みです。

3つの脆弱性関連情報

脆弱性に関連する情報をまとめて「脆弱性関連情報」と呼ぶことが多いのですが、脆弱性関連情報は、大きく分けると以下の3種類があります。

脆弱性情報

脆弱性そのものの情報

検証方法

脆弱性の有無を見極めるための方法

攻撃方法

脆弱性を悪用する方法

このような情報を入手した人を「発見者」と呼び、発見者に対して求める対応なども、パートナーシップの中で述べられています。

発見者とは、脆弱性を発見し、然るべき機関に届け出る人

発見者に求められるのは、発見した脆弱性関連情報をIPAなどの受付機関に届け出ることと 、届け出た脆弱性情報が一般公開されるまで、その情報が第三者の目に触れることないように厳重に管理することです。たとえば、「ブログやソーシャルメディアへ投稿しない」「公開前に他者に話さない」といったことに注意します。なお、不正アクセスなどの不法行為によって脆弱性情報を入手した場合、その情報をIPA に届け出たからといって不法行為が減免されることはありません。むしろ、不法行為の結果であることが明白な届出の場合は、脆弱性関連情報の取り扱いが行われないこともあります。最も想像しやすいのは Web サイトの脆弱性です。通常のレスポンス情報などを読み解くことで、脆弱性が存在する可能性を指摘することは適法ですが、実際に攻撃を行って認証回避を行い、内部情報や非公開情報を攻撃対象から取得することは、不止アクセス禁止法に抵触する行為になるので絶対に行わないでください。

セキュリティ関連の資格

セキュリティに関する資格は多数ありますが、大きくは公的資格(国家資格も含む)と民間資格に分類されます。民間資格はさらに、ベンダーや製品に依存する資格と依存しない資格に分類されます。資格の有無と実務能力は必ずしも一致するわけではありませんが、資格を取得しておけば、「各資格が求める最低限の知識および経験」を保有していることを第三者に示せます。本項では「情報処理安全確保支援士」 と「CISSP」を紹介します。

情報処理安全確保支援士

情報処理安全確保支援士(通称:登録セキスペ)は、サイバーセキュリティの実務能力を保有する専門家の育成確保を目的とした国家資格です。実際の運営は、IPA(独立行政法人情報処理推進機構)が行っています。情報処理安全確保支援士の資格取得には、情報セキュリティに必要な知識要素の理解が求められます。企業や組織における安全な情報システムの企画·設計·開発運用の支援と、サイバーセキュリティ対策の調査·分析·評価およびその結果に基づく指導·助言を行うことを期待されています。資格を維持するためには、定められた講習の受講と3年に1度の更新が必要です。

CISSP (Certified Information Systems Security Professional)

CISSP は、国際的なセキュリティ専門家を育成する団体 (ISC)により運営されている、情報セキュリティの専門家を認定する資格です。この資格は民間資格です。CISSP の取得には、情報セキュリティに必要な知識要素の理解と、情報セギュリティ分野での実務経験が最低4年必要です。必要な知識要素は8つの分野に分けられ、それぞれの分野で理解度を求められます。CISSP の保持者は、たとえば CISOやCISO を補佐する役割など、セキュリティを理解·実践できる役割で業務を遂行することが期待されています。CISSP の資格継続のためには年会費の支払いおよび、継続研鎖を行い、所定の基準を満たす必要があります。

セキュリティカテゴリの最新記事