Category Archives: Security

　 CISAとCISSPのCPE取得は、認定資格保持者であれば共通して頭を悩ますところであると思うが、どういったケースであれば、CPE申請できそうであろうか。公開されている情報を元に、比較的取得難易度の低そうなケースを列挙してみた。 なお、以下のケースが本当にCPEとして各団体に認められるかどうかは、自己責任で申請してもらいたい。 また、当然ながら各ケースへの参加／実施を証明する客観的なエビデンス（参加証、日付や団体名の明記された資料等）を残すことをお忘れなく。 CISA（ISACA）の場合 http://www.isaca.gr.jp/cisa/#cisa31 http://www.isaca.gr.jp/cisa/200906gokakusiryo/CISACISM_keizokukyoiku.pdf ・ISACAの会合に出席 ・ISACA以外のセミナー等に出席 ・システム監査や情報セキュリティ、ITガバナンス等に関する自主学習 ・セキュリティベンダーのプレゼンを聞く、打ち合わせに出る（10時間まで） ※1CPE=50分で計算 　 CISSP(ISC2)の場合 http://www.isc2.org/japan/holder_getcpe.html ・CPE付与対象イベントに参加 ・セキュリティ団体の会合参加（ISACAの会合とかでもいいのでは） ・展示会参加（セキュリティじゃなくてもいい） ・情報セキュリティ全般に関する自己学習 ・プロとしての話し方、クリティカルシンキングセミナー等に出席 ・セキュリティベンダーのプレゼンを聞く、打ち合わせに出る ・セキュリティ関連書籍の読了（5ポイント、年1冊まで） ・情報セキュリティ雑誌の定期購読（日経SYSTEM定期購読等、5ポイント、年1冊まで） ・試験監督補佐 ※1CPE=60分で計算

　 CISSPの試験勉強についての情報をググると「試験受かったー！やったー！！！」みたいな情報が結構ヒットするが、「それで？」ということが多かったので、本当に役に立ちそうな情報だけ集めてみる。 [Webサイト] Blue Pill: http://blog.sparky.jp/archives/cissp/ 老舗？試験に役立ちそうなリンク集、書籍紹介、受験体験記を含む。 基本として参照した。 Hatena::Question – CISSP保有者の方にお聞きします。 http://q.hatena.ne.jp/1208585336 試験というか、そもそもCISSPを取得する意味について再考するための情報。 回答は日本での現実・現状を的確に表していると思う。 それでもあなたは受験しますか？みたいな。 CISSP試験問題の7分類 http://blog.goo.ne.jp/tksmsmyu/e/25f69c222b0427ebe61172992d23d430 海外のサイトに掲載されたCISSP試験問題の分析をサマってある。 cccure http://www.cccure.org/ Blue Pillでも言及されている、CISSP Quizの掲載サイト。 あくまでクイズである。が、やっておいて損はない。 [書籍] これもBlue Pillとかぶるが、参考意見は多いほうがよいと思うので。 CISSP認定試験 公式ガイドブック 体系立てて書いてあることが一番良いポイント。 ばかちょんで内容を暗記するのではなく、「なぜそうなる/そうすべきなのか」を論理的に考えながら読むと吉。 きっと、試験でも実務でも役立つだろう。 情報セキュリティ技術大全―信頼できる分散システム構築のために ※絶版みたいです。 上記公式ガイドブックよりも更に踏み込んだ内容。 cccureのクイズサイトに出てくる「Biba model」「Clark-Wilson model」「Bell-LaPadula model」等の アクセスコントロールの概念についても書かれており、公式ガイドでカバーされていない領域を学習するために良い。 CISSP Certification All-in-One Exam Guide, Fourth Edition 賛否両論あるようだが・・・個人的にはもっときちんと読んでおけばよかったと思った。 [試験について] 以下、守秘義務があるので控えめに。 試験問題は日本語と英語両方で書かれているが、英語にアレルギーがないのであれば英語の方の問題文を読むことをお奨めする。和訳されたものはスッと頭に入ってこないし、そもそも日本語訳が間違っている(と思われる)問題が1問だけあった。 試験時間が長いのでおなかがすく。軽食は持ち込み可だった。あと、軽食はまわりの受験者に迷惑がかからないように、食べるときにカサカサ音のうるさいものは避けること！ 追記： (ISC)2公式CISSP10ドメインレビューセミナーは受講してません！ 　

　 CISA(公認情報システム監査人)の試験勉強に関する情報は、確かに少ないと思う。わたしは去年受験したのだが、振り返ってみると、以下のような準備を1ヶ月ぐらいして試験に臨んだと記憶している。感想含む。 ・ISACAのサンプル問題集は、追加100問分も含めて購入し、２回は全問解いたはず。 ・レビューマニュアルは購入したかったのだが、(財政事情により)購入しなかった。 ・ISACAのサイトからダウンロードできる情報は、リファレンスとしてよく利用した。 ・セキュリティ関連の業務経験により、監査の進め方や、セキュリティ技術に関する問題は解きやすかったように思う。 ・ITガバナンスに関する問題は、ISACAのサイトの情報を参考にもう少し勉強しておくべきだったかもしれない。 あと、他の情報ソースにも書かれているけど、問題数が多くて疲れた記憶がある。前日はきちんと睡眠をとった方がいいだろう。