SSCPの知識分野、認定試験、認定要件
セキュリティ専門家向けのCISSP資格と同じ点、異なる点前回は、SSCPの目的や概要を紹介した。今回は、SSCP取得のために身につけるべき共通知識分野(CBK)と、認定試験の概要、認定要件などを、セキュリティ専門家向けのCISSPと比較しながら詳しく説明しよう。
長谷川長一/ラック セキュリティ能力開発センター プロフェッショナルフェロー
情報セキュリティ知識を体系化した「CBK」
「CBK(Common Body of Knowledge:共通知識分野)」とは、セキュリティ分野におけるグローバル・レベルの共通知識、ベストプラクティスを体系的に網羅したものである。情報セキュリティ専門家および実務者が十分に理解しておくべき情報セキュリティの知識として、分野ごとにまとめられている。
(ISC)2では、1989年にこのCBKをベースとしてCISSPを開発し、さらにSSCPを含むそのほかの資格もCBKから開発している。現在では年に2回、日本を含む全世界のセキュリティ・プロフェッショナルを対象に定期的なヒアリング調査を実施し、その回答を分析/体系化することにより、CBKを最新の情報にアップデートし続けている。セキュリティ業務に日々従事するプロフェッショナルの視点からCBKを見直すことで、現時点でCISSPやSSCPに必要とされる「最新の体系的知識」が更新/維持されるわけだ。
このCBKとCPE(本連載第10回にて解説予定)と呼ばれる仕組みにより、SSCP認定を受けている者が、最新のセキュリティ知識を持った実務者であることが保証されている。
SSCPのCBKは7ドメイン
SSCPのCBK、つまり実務者に必要とされる知識分野は、以下に挙げる7つのドメイン(領域)で構成されている。
- アクセス制御 (Access Control)
- 分析とモニタリング (Analysis and Monitoring)
- 暗号 (Cryptography)
- 不正なコード (Malicious Code)
- ネットワークと通信 (Networks & Communications)
- リスク、対応、復旧 (Risk, Response & Recovery)
- セキュリティの運用と管理 (Security Operations and Administration)
7ドメインそれぞれの相関は下図のとおりだ(図1)。
ちなみに、セキュリティ専門家向けのCISSPの場合、共通知識分野(CBK)は10ドメインある(図2)。CISSPと比較すると、SSCPのCBKには法律や倫理、セキュリティ・アーキテクチャ、事業継続といった、コーポレート・ガバナンスに関係するものが含まれていないことがわかる。SSCPとCISSPとでは、必要とされるスキルや対象業務が異なるからだ(図3)。
例を挙げると、情報セキュリティ・ポリシーを策定するのはCISSPの業務であり、そのポリシーにしたがってセキュリティ機能を設計/開発/実装/運用していくのがSSCPの業務である。
このように、SSCPのCBKには、現場で業務を行う実務者や、セキュリティ以外の分野の専門家が有しておくべき情報セキュリティの最新知識が体系的にまとめられているのだ。
●連載:SSCP資格ガイド(全10回)
第1回:広範なIT実務者にセキュリティ知識が求められる理由
第2回:SSCPの知識分野、認定試験、認定要件
第3回:「アクセス制御」ドメインで求められる知識/スキル
第4回:「分析とモニタリング」ドメインで求められる知識/スキル
第5回:「暗号」ドメインで求められる知識/スキル
第6回:「不正なコード」ドメインで求められる知識/スキル
第7回:「ネットワークと通信」ドメインで求められる知識/スキル
第8回:「リスク、対応、復旧」ドメインで求められる知識/スキル
第9回:「セキュリティの運用と管理」のドメインで求められる知識/スキル
第10回:SSCPの維持と活用
- 1
- 2
