CISSP（Certified Information Systems Security Professional）【エンジニアに役立つ資格】

はじめに

本記事では、CISSP（Certified Information Systems Security Professional）と呼ばれセキュリティに関する汎用的なスキルを証明する国際資格について紹介します。
私が資格を取得したのは、2016年5月20日 ということで、すでに7年もの時間が経過しているので本資格試験を志す方は、最新の情報をご確認ください。

CISSPとは

CISSPとはどんな資格か、正確な内容についてはホームページを確認してもらえばいいので、本ブログでは主観的に説明したいと思います。
CISSPは、正直細かいプロトコルレベルの技術の話は問われず、情報セキュリティの考え方、対策の優先度、時にはトレードオフの関係があることを念頭に、セキュリティ対策の最適解を選択するための知識を問う資格試験です。
たとえばデータセンターの設置場所を考えるのに運用の中で防げるリスクもあれば、震災、天災等予め考慮しなければならないリスクがあります。
想像されるリスクやリスクの低減策をその場で状況を想像し判断していく、どちらかというと、セキュリティエンジニアというより、会社で意思決定する人、経営者にアドバイスするセキュリティコンサルタント、アドバイザのようなポジションの人向けの資格試験と言えると思います。

取得する前の道のり

私は2012年にIIJに入社し、2016年あたりは、IIJでもSOCのような組織ができる準備期間で、自分にどんな役割が与えられるのか不透明な時期でした。
仕事にも慣れ、他のことにも挑戦したいという気持ちもあり、セミナーの講師の方のプロフィールに、名前,CISSPと書かれたアピールされているのでどの程度のものか腕試ししてみたいと思うようになりました。
案件の入札に安全確保支援士と同様に要件として求められることが多く、同時に英語の勉強をしていたこともあり国内資格より国際資格が取りたい。できれば、英語で勉強してセキュリティ関係の英語にも慣れたいという気持ちもありました。入札の要件になるため会社組織への貢献も可能であることも、いい理由付けになりました。
勉強期間は、3ヵ月ほど。当時は日本語のテキストが古くて使い物にならないと言われ、英語の最新版の問題集を購入し、繰り返し解くことをしていました。
ただ、一向に合格できる自信がなく、しっくりした気持ちにならず、同時に技術ではなくマネジメントやガバナンスの勉強が、自分の業務の実態とかけ離れており、勉強が少し辛くなってきました。
とりあえず受験して不合格なら諦めがつくだろうと思い、サッサと受験することを決意しました。

取得してよかったこと

コロナ禍の前にはCISSP取得者のみの会合などで、人脈構築や昨今のセキュリティインシデントについての情報交換などオフレコの会話がいくつかできました。
また、資格取得者の推薦者として、社内からも声がかかることがあり、地方案件の要件に必要だからプロジェクトのメンバーとして参加して欲しいなど声をいただくこともあります。