(ISC)2公式 CISSP CBKトレーニング

セミナー・トレーニング

(ISC)²公式 CISSP CBKトレーニング

CISSP^®認定資格は、情報セキュリティの共通言語とも言える『(ISC)²公式CISSP^® CBK（Common Body of Knowledge：セキュリティ分野におけるグローバルレベルの共通知識、ベストプラクティスを網羅したもの）』を理解している情報セキュリティ・プロフェッショナルのみに与えられる、国際的に権威のある資格です。

(ISC)²公式 CISSP CBKトレーニングは、CISSP^®認定資格試験合格を目指す方々を支援する為の、総合的かつ実践的な、日本国内唯一の公式セミナーです。本セミナーは、CBKに基づいて忠実に作成された教材等を使用し、全て日本語で提供されます。また、(ISC)²公認の日本人講師は、情報セキュリティの現場で活躍しているCISSP^®認定保持者です。実例を交えた講義・演習を通じて、受講される皆様がこれまでに得られた経験や知識をレビューしながら、ドメイン間の関連性などについて理解を深めることが出来る内容になっております。

CISSP^® 認定保持者

CISSP資格の上位資格である、「CISSP^® -行政情報セキュリティ認定資格　及び公式セミナー」をご希望の方はこちら

対象者
セミナー受講/CISSP^®認定資格取得のメリット
各CBKドメインに関するレビュー内容について
お申込み

受講スケジュール

公式セミナー 9時30分から19時（予定）

	AM 9:30 ～ PM 7:00 ※ 休憩及び昼食時間を含みます。進行状況により終了時間は異なります。
1日目	セキュリティとリスクマネジメント（セキュリティ、リスク、コンプライアンス、法、規制、事業継続）資産のセキュリティ（資産の保護）
2日目	アイデンティティとアクセスの管理（アクセス制御とID管理）セキュリティの運用（概念、調査、インシデント管理、ディザスタリカバリ）
3日目	セキュリティエンジニアリング（セキュリティ設計と構築）
4日目	通信とネットワークセキュリティ（ネットワークセキュリティの設計と保護）ソフトウェア開発セキュリティ（ソフトウェアセキュリティの理解、適用と執行）
5日目	セキュリティの評価とテスト（セキュリティテストの設計、実行、分析）まとめ模擬試験解説

試験　Computer Based Testing(CBT)形式

問題数	250問/4択（日本語・英語併記）
総時間	6時間
試験運営元	ピアソンVUE
提供元	(ISC)²

※ 2012年9月より、マークシートからCBT配信に変わりました。

日時

2023年10月
1日目	2日目	3日目	4日目	5日目	受付締切
10/11 (水)	10/12 (木)	10/13 (金)	10/16 (月)	10/17 (火)	9/20 (水)

2023年11月
1日目	2日目	3日目	4日目	5日目	受付締切
11/13 (月)	11/14 (火)	11/15 (水)	11/16(木)	11/17 (金)	10/23 (月)

2023年12月
1日目	2日目	3日目	4日目	5日目	受付締切
12/11 (月)	12/12 (火)	12/13 (水)	12/14 (木)	12/15 (金)	11/20 (月)

2024年1月
1日目	2日目	3日目	4日目	5日目	受付締切
1/25 (木)	1/26 (金)	1/29 (月)	1/30 (火)	1/31 (水)	1/5 (金)

場所 / URL

オンラインの場合はURLを後日ご案内いたします。

教室型の場合は場所を後日ご案内いたします。

定　員

20名

受講費用

【セミナー（5日間）】

	条件	セミナーのみ
通常価格		400,000円
早期割引	セミナー開始日より45日(暦日）前までにお申込が完了していること	360,000円
団体割引	同月のセミナーに同一組織より3名以上のお申込いただくこと。	360,000円

※ 「早期割引」「団体割引」にてお申込頂いた後、日程変更などで、条件に満たない場合は通常価格が適用されます。

※ 早期割引・団体割引の重複による更なる割引などはございませんので予めご了承ください。

※ セミナー受講費用に試験費用は含まれておりません。

※ 認定試験は、受講者様ご自身でピアソンVUEにお手続きください。
CISSCP認定試験は2021年5月1日より 91,000円（税抜）となります。

講師陣

(ISC)²認定の日本人講師

お申込方法

申込フォームに必要事項をご記入の上、お申込み下さい。折り返し申込書類をメールに添付してお送りさせていただきます。

※申込者が指定人数に満たない場合は、本コースを中止させていただくことがあります。ご了承ください。

※申込締切の日程をご確認の上、余裕を持ってお申し込みください。

お支払い方法

お申込後、請求書をお送りいたしますので、コース開催初日の3週間前までに所定の口座にお振込下さいますようお願いいたします。銀行振込受領証をもって、領収書に代えさせていただきます。

対象者

特に以下のような目的、技能をお持ちの方に有用です。

CISSP^®認定資格取得を目指す方

セミナー受講/CISSP^®認定資格取得のメリット

≪個人にとってのメリット≫
自身の情報セキュリティ各分野での知識・習熟度を再確認出来ると共に、情報セキュリティ全体を体系的に理解していることが証明できます。また、今までの自己申告による「プロ」とは異なり、ISO/IEC 17024取得組織である(ISC)2により正式に資格認定されますので、キャリアアップにも十分な効果をもたらします。
≪組織にとってのメリット≫
一部の技術に特化することなく、体系的に情報セキュリティを考え、リスク管理もきちんと判断出来る人材が自組織内にいることによって、社内資産の保護は勿論、外部コンサルタントや製品ベンダに対する的確な判断が可能となります。また、組織内部に対する予防・検知・是正・復旧などへの対応がレベルアップするだけでなく、情報セキュリティを向上させる様々な対策に組織全体で取り組む真摯な姿勢をステークホルダーに示すことが出来ます。

CBKドメインに関するレビュー内容について

1. セキュリティとリスクマネジメント
（セキュリティ、リスク、コンプライアンス、法、規制、事業継続）

Security and Risk Management
(Security, Risk, Compliance, Law, Regulations, Business Continuity)

ここでは、すべての情報セキュリティ機能のベースとなる、機密性、可用性および完全性という基本的なセキュリティ原則範囲を始めとして、さまざまな情報セキュリティとリスクマネジメントのトピックス全般を扱っており、セキュリティガバナンスとコンプライアンス領域におけるこれらの概念を基に構築されています。また、倫理学的考察全般、そして特に(ISC)2の倫理規定に関する知識を必要とします。情報セキュリティという枠組みのなかでポリシーおよびプロシージャを策定し導入することができるかどうかについての知識や、情報および要件の収集、ビジネスインパクト分析、目標復旧時点(RPO)といった事業継続計画のあらゆる側面も含まれます。そして、リスクマネジメントの概念である、リスク分析、対応策の選択と実施、リスク監視、報告、およびリスクの枠組み、脅威モデルの導入とハードウェア、ソフトウェアおよびサービス契約の取得および管理へのリスクマネジメントの統合などの理解が必要です。そして、人員のセキュリティポリシー領域についても問われ、セキュリティに関する教育、トレーニングおよび意識向上プログラムを構築し維持できることが求められます。

2. 資産のセキュリティ（資産の保護）

Asset Security (Protecting Security of Assets)

ライフサイクル全体を通した情報の収集、処理および保護を取り上げます。情報の分類および資産のサポートは、このドメインで取り上げるすべてのトピックスの基礎となっております。そして、情報、システム、およびビジネスプロセスに関しての所有権は、分類と切り離して考えることはできず、資産のセキュリティのドメインで取り上げられる2個目のトピックとなります。プライバシー保護も非常に重要な要素となっていて、データオーナー、データ処理装置、データの残留、および収集と保管の制限の概念などがあります。情報の収集と保管に関する議論を行う場合は、データ保存を含んだ、適切なデータセキュリティ管理策について詳細の知識を保有している事が求められます。最後にデータの保管、ラベリングおよび破棄などを含んだデータ処理要件についての理解が必要となります。

3. セキュリティエンジニアリング（セキュリティ設計と構築）

Security Engineering (Engineering and Management of Security)

セキュリティエンジニアリングは、悪意ある行為、人的エラー、ハードウェア障害および自然災害により引き起こされる可能性のある脅威に対し、必要な機能を提供し続ける情報システムおよび関連アーキテクチャの構築の実践と定義することができます。このドメインでは、安全な設計原則を使用してセキュリティエンジニアリングプロセスを実装および管理する能力について問われます。セキュリティモデルの基本概念を理解し、組織の要件およびセキュリティポリシーに基づいて設計要件を策定し、これらの設計要件を満たす制御および対応策を選択することができなければなりません。セキュリティアーキテクチャ、設計およびソリューション要素における脆弱性を継続的に評価および軽減しなければならず、この領域について詳細に理解をしていることが求められます。暗号化とは、情報の完全性、機密性および信ぴょう性を確保するため情報を変更することにより、情報の移行中も保存中も情報を保護するということで、セキュリティエンジニアリングのドメインで詳細に取り上げています。一般的な暗号化の概念、暗号化のライフサイクル、暗号化システム、公開鍵インフラストラクチャ、暗号化キー管理実務、デジタル署名、およびデジタル著作権管理についての理解が必要となります。最後に、事業所および施設の設計および物理的セキュリティへの安全な設計原則の適用などへの理解も必要となります。

4. 通信とネットワークセキュリティ（ネットワークセキュリティの設計と保護）

Communications and Network Security (Designing and Protecting Network Security)

ここでは、私設および公設通信ネットワーク双方を介して送信される情報の機密性、完全性および可用性を維持するのに使用される、ネットワークアーキテクチャ、通信方法、配送プロトコル、制御デバイス、およびセキュリティ対策を網羅しています。ネットワークトポロジー、IPアドレス設定、ネットワークのセグメンテーション、スイッチングとルーティング、無線ネットワーク利用、OSIとTCPモデルおよびTCP/IPプロトコルスイートなど、ネットワークの基本を十分に理解していることを示すことが求められます。かつ、安全なネットワーク通信に関連して、暗号化についても問われます。また、ネットワークデバイスの保護という見出しの下に、さまざまなトピックスも含まれていますので、スイッチ、ルーターおよび無線アクセスポイントといったネットワーク制御デバイスを安全に操作および保守する知識と能力についての知識も問われます。また、さまざまな伝送媒体に元々備わっているセキュリティについて熟知していなければなりません。ネットワークアクセスコントロール、エンドポイントセキュリティ、およびコンテンツ配信ネットワークについても取り上げます。データ、音声、リモートアクセス、マルチメディアコラボレーションおよび仮想化ネットワークなど多くの適用を促す、幅広い技術を使用して安全な通信チャネルを設計し実装できることが求められます。そして、ネットワーク攻撃のベクトルの知識や、これらの攻撃を防いだり軽減したりできるかについての理解も必要となります。

5. アイデンティティとアクセスの管理（アクセス制御とID管理）

Identity and Access Management (Controlling Access and Managing Identity)

ここでは、人間と情報システム、異種情報システム間、さらには情報システムの個々のコンポーネント間のやりとりに使用される、アイデンティティとアクセスのプロビジョニングと管理を扱います。システムや情報に不正にアクセスするためにアイデンティティまたはアクセス制御システムを危険にさらすことは、データの機密性に関するほぼすべての攻撃の目標にもなるため、これは情報セキュリティプロフェッショナルが相当な時間をかけなければならない領域です。ユーザー、システムおよびサービスの特定と承認に関する知識が必要となり、具体的にはID 管理システム、単一要素および多要素認証、説明責任、セッション管理、登録と確認、フェデレーテッドID管理、および信用管理システムについての知識保有を求めています。さらに、サードパーティのクラウドベースおよびオンプレミスID サービスの統合についても問われます。そして、ロールベース、ルールベース、強制および任意アクセス制御に基づくものを含め、承認メカニズムの実装および管理ができることが求められます。最後に、アクセス制御システムをターゲットとした攻撃の防止と軽減、およびID管理のライフサイクルも含まれます。

6. セキュリティの評価とテスト（セキュリティテストの設計、実行、分析）

Security Assessment and Testing (Designing, Performing, and Analyzing Security Testing)

ここでは、アーキテクチャの問題、設計上の欠陥、構成エラー、ハードウェアとソフトウェアの脆弱性、コーディングエラー、および情報システムの能力に影響を及ぼす可能性のあるその他の弱点が原因となるリスクを特定および軽減して、意図された機能を安全に提供するため、さまざまなツールや手法を用いて、情報資産および関連するインフラストラクチャの評価に関しての知識が求められます。評価およびテスト戦略を検証し、さまざまな手法を用いてこれらの戦略を実行することができなければなりません。脆弱性評価、ペネトレーションテスト、代理トランザクション、コードレビューとテスト、悪用ケース、およびインターフェーステストに関する知識の保有が求められます。これら評価には、セキュリティポリシーとプロシージャの検証、ディザスタリカバリおよび事業継続計画も含まれます。最後に、テスト結果について分析し報告することができるか、さらに、社内監査および第三者監査を実施または円滑に進めることができるかどうかも理解している必要があります。

7.セキュリティの運用
（概念、調査、インシデント管理、ディザスタリカバリ）

Security Operations (Foundational Concepts, Investigations, Incident Management, Disaster Recovery)

ここでは、エンタープライズコンピューティングシステムの運用に関する情報セキュリティ概念およびベストプラクティスの適用に関するさまざまなトピックスが含まれています。証拠の収集と取り扱い、文書化と報告、捜査手法とデジタルフォレンジックといったさまざまな調査概念を含めたフォレンジックを指揮する、あるいはサポートするための知識が必要です。運用上、刑事上、民事上、および規制上の観点からも、調査要件を理解しなければなりません。効果的なロギングおよび監視の仕組みは、不可欠なセキュリティ機能です。そこについては、侵入検知と防止、セキュリティ情報とイベント監視システム、およびデータ漏洩防止などが含まれます。そして、リソースのプロビジョニングおよびこれらリソースのライフサイクルを通した管理と保護についても取り上げますが、セキュリティの運用が前提としているのはこれらリソースの保護です。ファイアウォール、侵入検知システム、アプリケーションホワイトリスティング、マルウェア対策、ハニーポットとハニーネットおよびサンドボクシングといった保護制御を運用し維持すると同時に、サードパーティのセキュリティ契約およびサービスを管理する能力、そしてパッチ、脆弱性および変更管理についても理解をすることが求められます。インシデントレスポンスとリカバリ、ディザスタリカバリ、および事業継続の運用面での理解が必要となります。物理的セキュリティおよび個人の安全についてのトピックスで締めくくります。

8. ソフトウェア開発セキュリティ
（ソフトウェアセキュリティの理解、適用と執行）

Software Development Security (Understanding, Applying, and Enforcing Software Security)

実稼働および開発ソフトウェア環境へのセキュリティ概念およびベストプラクティスの適用について扱います。ソフトウェアに対するセキュリティ制御を評価し執行するために、ソフトウェア開発のライフサイクルにおいてセキュリティを理解し適用できなければなりません。その中で、ソフトウェア開発方法、成熟度モデル、オペレーションと保守および変更管理についての理解を必須とし、同時に統合化された製品開発チームの必要性も理解しないといけません。また、ソフトウェア開発環境においてセキュリティ制御を執行することもできなければならないので、ソフトウェア開発ツール、ソースコードの弱点と脆弱性、ソースコード開発に関する構成管理、コードリポジトリのセキュリティおよびアプリケーションプログラミングインターフェースのセキュリティなどについての知識取得も求めます。かつ、変更管理に関する監査とロギング、ソフトウェアセキュリティに関するリスク分析と軽減および取得したソフトウェアのセキュリティインパクトを含めたソフトウェアセキュリティ制御評価の領域についても理解が求められます。

セミナー・トレーニング

常設コース

ISO/IEC27002 準拠情報セキュリティファンデーションコース

(ISC)²公式 CISSP CBKトレーニング

(ISC)²公式 JGISP CBKレビュートレーニング