ECE登録 ~その4~
CISSPの資格で登録
ECEポイントで「Certification Examination Related to IT Security」というカテゴリがあり、40ポイント貰えます。
ITセキュリティに関連する資格、がどこまで認定されるのか分かりません。情報セキュリティマネジメントで認定してもらえるだろうか?
「EC-Council ECE Examinations」という別カテゴリがあって、こちらはEC-Councilの別の試験に合格すれば120ポイント貰えるようです。
それ以外のITセキュリティに関連する資格として、今回はCISSPで登録してみました。
登録方法は、合格証のコピーをそのままアップロード。
記載事項は以下の通り。
| Event Name | CISSP Certiticae |
| Event Date | 2023-03-2X |
| Event Submission Date | 03-2X-2023 |
| Event Description | I passed CISSP Certificate held by ISC2. I was awarded March. 2X, 2023 and certification is valid from next month. |
| Event Location | Japan |
いつも2-3日で承認されるのですが、今回は2週間たってもPending状態。
時間かかり過ぎだと思い、問い合わせフォームから問い合わせたら、すぐに返信がきて、その3日後には無事承認され、40ポイント取得。
これにより、3年間で必要なポイント数である120に到達!
ECE管理画面の下に以下のメッセージが表示された。
次回更新すると、新しい認定書がダウンロードできる、ということのようです。
この2年弱で取得したECEポイントは合計で131ポイントですが、その内訳は以下の通り。
| Certification Examination Related to IT Security | 40 |
| EC-Council Exam Survey | 20 |
| Education Course | 16 |
| Education Seminar/Conference/Event | 55 |
これからは、CISSPのポイントも稼いでいかないといけない。CISSPでやったことがCEHでも認定されると楽なので、トライしてみます。
CISSP 認定の道のり
先日、CISSPの試験に合格しました。
勉強期間としては2か月ほど。公式トレーニングは受けていません。
いろんな方が書かれているブログを参考にさせて頂き、新規の情報は少ないですが、
今後、CISSPの取得を目指す方に参考になれば幸いです。
情報は、2023年2月時点でのものです。
雑感
もし勉強をやり直せるとしたら、書籍は以下のみで十分かも。
・日本語問題集
・英語テキスト
ただ、上記を丸暗記してもCISSPの合格は難しいように思いました。
テキストに出てこないことが問題で問われたような気がします。
自分はIT関係の仕事を20年以上やっており、その経験があったので、正解できたのかとも思います。
これから受験しようとする方にあまり参考にならないかもしれませんが、
CISSPの知識体系が、現実の世界で、どういう風に使われるのか、
ということまで考えて取り組む必要があるのかもしれません。
そういう風に考えさせる資格試験だと思いました。
CISSPのエンドースメント
エンドースメントの手順
試験合格後、翌日にはエンドースメントの案内メールが届く。
以下を参考にさせていただきました。
英文の在職証明書を用意して、推薦は(ISC)²にお願いして、Job Descriptionに記載すべき英文2-3行を2ドメイン分用意して、申請しました。上記サイトのまんまでした。
申請後に、再度Online Endorsement Applicationに訪問すると申請状況が見えます。
<申請直後>
自分の場合、これが4週間ほど続きました。
ある日、以下の表示に代わりました。
<審査中>
いよいよ審査か、監査に引っ掛からないで欲しいな、とかあれこれ考えていたら、すぐに「Next Step for Approved Application」というメールが届き、審査完了。
その後、年会費を支払っても、上記表示が継続していた。
2023年3月現在、(ISC)² Japan (isc2.org)にアクセスすると、国別のCISSPの保有者の人数が把握できます。
以前は以下のURLから全世界の国別のCISSPの保有者の人数が把握できました。
https://www.isc2.org/About/Member-Counts
現在は、ログインしないと見えないサイトに飛ばされ、しかもカウントが国ごとではなくなってしまった。
世界のCISSP資格保持者は、2023年3月時点で、159,679人で、2022年7月から約3600人増えたようです。
日本の資格保持者は以下の感じで増えていたようです。
データ元:Wayback Machine (archive.org)で拾いました。
日本で、〇〇人しか保持していない、というのが一つのステイタスだったので、(ISC)² Japan (isc2.org)で日本人の保持者数を掲載して欲しいものです。
認定期間は、会費支払いの翌月1日からスタートするらしく、CPE creditsの取得もそれ以降じゃないとカウントされないらしい。
CEHはセキュリティ関係の資格取得でECE30ポイント貰えるので、今回のCISSPを申請して、2年で120ポイントに到達できた。
しかしCISSPのECEには資格取得のカテゴリがないので、ポイントを貯めるのが大変だ。
CISSPの受験について
受験申込
日本でCISSPが受験できる場所は東京(2か所)と大阪(1か所)のピアソンのみ。
こちらでアカウントを作成して、受験予約をする。
受験資格は特にないので、スケジュールが空いていれば予約できる。
しかしながら、空きがなかなか見つからない。直近1週間か2か月以上先とかそんな状況。しかも、8時開始、というスケジュールがほとんどで、試験開始の30分前に受付が必要という状況で、前泊が前提という感じ。
何度もログインして、空き状況を見ていると、不定期に空きが増やされており、とりあえず、東京で2か月ほど先の予約を入れて、ホテルも確保した。
その後も、たびたび予約を確認して、どんな感じで空きが増えるか見ていたのですが、あまり良く分からなかった。
ある日予約を確認したら、大阪で10:15スタートの枠が空いていた。試験が2週間早まるが、前泊不要で、交通費も節約できることから、55ドルを支払って予約を変更した。
前泊は不要ながら、当日、雪などの影響でたどり着けなかったら、キャンセル扱いになり受験料が無駄になるのを心配しながら、受験会場へ。
いざ受験
当日、5分ほど早く受付に到着すると、2-3人待っている人がいて、順次手続きを行っていった。
身分証明書を出して、ロッカーにカバンを入れて、写真を撮って、静脈認証を登録して、申請書にサインして、ポケットを空にしてetc.
それが一通り済めば、試験ルームに移動して、5分以内にNDAに承諾して、250問のテスト開始。テストは予定の10:15よりも前にスタートしていたと思う。
休憩したい場合は手を上げれば、係の人が来てくれて画面をロックしてくれる。
受付で食べたり・飲んだりできる。トイレはビルの共有のトイレを使用する。
その時に人が付いてくるのかと思ったら、そうでもなかった。
トイレに協力者を潜ませて、テキストとか確認できちゃうんじゃない?と思ったりもしたけど、CISSPのテストは、一度回答した問題は、あとから修正できないので、そんな努力を無駄に終わらせる、抑止コントロールだ、とか思った。
自分は、50問解いた時点で1回休憩、再度150問解いた時点で2回目の休憩して、最後まで問題を解きました。
ピアソンの係の人達は、とてもてきぱきと、また丁寧に対応してくれたので、気持ちよく受験することができました。ありがとうございました。
テスト問題は、英語が併記と聞いていたのですが、実際は、ボタンを押すと英語の問題がポップアップする形式で、元の日本語の問題が見えなくなってしまい、確認に時間がかかりました。
結果発表
最終的に5時間以上費やして、テスト中は、もう2度と受験したくない、これで合格しなかったら、どうやって勉強したらいいかさっぱり分からない、と思いながらやっていました。いろんな人が指摘していますが、問題がふわふわしていて、回答に全然自信が持てない。
なんとか250問を完了して、受付で結果レポートを受け取ります。
ブログで何度も見た「おめでとうございます!」の文字が。
ただ、回答に自信がなく、得点もわからず、やり切った感もなく、疲れすぎで無反応でした。。。
CISSPの勉強方法
勉強方針
とりあえず、受験日は決めずに、書籍を購入して情報収集。
ある程度、知識を習得して、自信が持てたら、受験しよう、という感じでスタートしました。
公式が薦める書籍の一覧は以下に掲載されている。
アプリ・フラッシュカードは無料で使用できるようですが、使いませんでした。
ただ、CISSPの知識体系は2021年に更新されていて、日本語のテキストは2018年、問題集は2019年出版で、それらをカバーしていないのでは?と思った。
色んな方のブログを見ると、日本語の公式問題集は必須、とのことでした。
リンク
結局、kindle端末もないし、実際の試験も日本語と英語併記とのことで、日本語の公式問題集は諦めて、英語のテキストと問題集を購入することにした。それでも、日本語の情報が欲しいので、公式テキストは購入。
それ以外に、公式のサイトに紹介は無いが、誰かが使用したとブログで読んだEXAMCRAMを購入。
リンク
積み上げると、こんなんなりました。
英語書籍について
・EXAMCRAM
CISSPの受験会場を運営するピアソンが出版しているので、何か御利益があるのかと購入。内容は要点がコンパクトにまとめられている印象。
各ドメインの要点をまとめたチートシートと用語集がダウンロードできる。
WEB上で問題演習ができるようになっている。
各チャプターの問題は書籍と同じ内容で20問づつ。
試験問題は80問で、書籍に掲載されているものは60問が2回分で、内容が異なる。
実行した結果は保存され、間違えた問題を確認できるようになっている。
ただ、回答した問題を確認するUIの使い勝手がイマイチだった。
・Official Study guide & Practice Test
リンク
こちらも、WEB上で問題演習が出来るようになっている。
ただ、書籍はOfficial Study guideが9th edition、Practice Testが3rd editionだが、WEBでの問題はeditionが一つづつ古かった。結局、2nd editionは2018年に出ているので、日本語問題集と同じもの、ということか?
基本的にはテキストと同じ内容の問題なのだが、微妙に違う点があった。
Study guideは、テキストと同じ内容の問題が各章毎(全21章)に20問づつあり、それとは別に150問のテストが6回分ある。他に、Flashカードという形式の問題が741問ある。
Practice Testは、各ドメイン100問前後の問題と122問の問題が2つ、123問の問題が2つ用意されている。
間違えた問題は記録され、自分でフラグも付与することが出来るようになっている。
こちらも学習のログが確認でき、間違えた問題の復習ができる。
実際の勉強の方法
まず、各ドメインで
- 日本語のテキストをさらっと読む
- 英語問題集をとりあえずやってみる
ということを2週間くらいかけてやりました。この時点で5-6割程度は正解できる感じでした。
次にノート作り。
知らなかった事や問題で問われて回答できなかった知識などをまとめていきました。
個人的にはマインドマップでまとめるのが好きなので、以下の感じで各ドメイン毎にまとめました。
あとは、ひたすら
を繰り返しました。
マインドマップ作成の際には、こちらにお世話になりました。
余談ですが、自分の認知特性は「カメラ」で画像記憶タイプ、なのでマインドマップが向いているのかもしれません。
英語について
受験後に気づいたのですが、公式にこんな資料がありました。
CISSP英日対訳集 (用語WG成果物)
CEHを英語で勉強していたこともあり、比較的抵抗なく学習を継続できた。
CEHで学んだ知識も2-3割は被る部分があるように感じた。また、WEB上で問題演習ができるので、書籍を開くよりも、WEB画面に向かう時間が多かった。
英語の書籍を精読するようなことなく、WEB上の問題演習が中心で、そのためにお金を払っているようなものだった。
WEBでは、Google翻訳を駆使しながら、出来るのもありがたかった。間違えた問題が記憶されるし、フラグを付けたものを対象に問題を構成できるので、効率的だった。
全体の問題を2回くらい解いて、あとは間違えた問題などを繰り返し解いていた。
セキュリティモデル(Bell-LaPadulaとBiba)
セキュリティモデル
CISSPの試験に出てくる、Bell-LaPadulaなど、意味が分からない。テストとして割り切って暗記すれば良いのかもしれないが、少しまとめてみる。
そもそも、セキュリティモデルの必要性はどこにあるのか?
例えば、ユーザーがファイルにアクセスする際、そのファイルのへのアクセスの可否を判断する必要がある。
それぞれに名前がついていて、
・Subject(ユーザー)
・Object(ファイル)
・Reference Monitor(可否を判断する)
ということになる。
可否を判断するための指針がセキュリティモデルになる。
そのモデルがいろいろあって、その一つがBell-LaPadulaモデルになる。
以下のIPAの資料は2005年に作成されたもの。
https://www.ipa.go.jp/security/fy16/reports/access_control/documents/PolicyModelSurvey.pdf
詳しいというか、詳しすぎて逆に混乱します。ただ、セキュリティモデルが数式で示すことができて、それにより安全性を証明している、ということは理解できた。
この資料では、
- Confidential(秘匿性)
- Integtrity(完全性)
- 中立型
という観点でポリシーを分類している。
上記資料から引用:
それ以外に情報の区分けに応じた分類として、
- 多層的(上下:トップシークレット・シークレット・機密)
- 多元的(左右:営業・総務・管理)
という観点がある。
この観点での分類は、以下の通り。
多層的
- Bell-LaPadula
- Biba
- LOMAC
多元的
- Clark-Wilson
- Chinese Wall(Brewer-Nash)
- DTE
これらのセキュリティポリシーの割り当て方法についても分類がある。
DACとRBACはWindowsやLinuxで使用されている。
Lattice-Based Access controlはMACの一種。
DACはユーザーが、RBACは管理者がアクセス権を決める。
と、周辺知識だけで頭の中が?で一杯になる。
Bell-LaPadulaモデルについて
1973年に発明されたモデル。秘匿性、多層的、DACに該当。
参照アクセスと更新アクセスを明確に区別し、とくに更新アクセスに関する*-特性を導入したことが技術的特徴となっている。
またモデルの性質を数学的帰納法によって証明可能とした点が大きい。
引用:https://www.ipa.go.jp/security/fy16/reports/access_control/documents/PolicyModelSurvey.pdf
Confidentialityを守るためのモデル。
たとえば、
- Top Secret
- Secret
- Confidential
という情報のレベルがあって、Secretにアクセルできる権限がある場合を想定する。
1.Top Secretは読み取りできないけど、2.,3.は読める(シンプルセキュリティ属性)。
スター属性(*属性)という状態になると、1.は読めないけど書き込みが許可される。同様に2.にも書き込みが可能だが、3.には書き込めない。
強化スター属性では、2.に対してのみ、読み取りと書き込みが可能。
という状態を持たせることで情報へのアクセスを制御して、下位の情報への書き込みを許可せず、情報の漏洩を防ぐようにした。
という結論にたどり着くのに随分と時間がかかった。
Bibaモデルについて
1977年のモデルで、Bell-LaPadulaと対に語られることが多い。
こちらは、Integtrityを維持するためのもの。
たとえば、
- 高い正確性
- 中程度の正確性
- 低い正確性
の情報があったとする。
2.中程度の正確性にアクセスできる人は、1.にアクセスできるが、3.にはアクセスできない(シンプルインテグリティ属性)。低い正確性の情報で汚染されることを防止することで完全性を維持する。
逆に、書き込みについて1.には書き込めないようにして、高い正確性を汚染することを防ぐ(スター属性)。
まとめ
WindowsやLinuxで使用されているDACとRBACに慣れているので、そちらの方が柔軟だし、MACであるBell-LaPadulaは過去の遺物、と思ってしまう。これがCISSPで問われるの意味が分からない。ただ、最近言われている、ゼロトラストはMACに該当する。システムの利用形態によって、新しいセキュリティモデルが生まれる可能性もゼロではないのかもしれない。そういう意味では、Bell-LaPadulaを学ぶことは、温故知新なのでしょうか。
セキュリティー・クリアランス制度
セキュリティー・クリアランス制度とは
民間人も含め国の機密情報に接する立場の人に関し、外部に漏洩する恐れなどを調べる制度。欧米などでは当たり前に実施されているが、日本では、必要性の認識はあるものの「人権侵害の恐れあり」ということでなかなか進まないようです。
こちらの記事の指摘が興味深い。
NVD(National Vulnerability Database)
に格納されている情報のうち、パッチが開発されるまでの「ゼロデイ情報」に限り、セキュリティークリアランス保有者でないとアクセスすることができないことです。
上記サイトから引用。
自社の製品の脆弱性情報がNVDに登録されていても、セキュリティクリアランスで認められていないと情報にアクセスできない、という情報格差を生んでいる。
セキュリティクリアランス制度を有する国同士では、相互認証しているところもあり、自国のセキュリティ情報を共有することが可能になっている。
セキュリティクリアランスを得るためには、扱う情報のレベル(Top Secret, Secret, confidential)に応じて、厳しい審査が必要になる。
こちらの資料にアメリカの資格取得の詳細が記されている。
https://www.cistec.or.jp/jaist/event/kenkyuutaikai/kenkyu34/02-02arimoto.pdf
ポリグラフ検査もありうる、ってなかなか。
検査には1-2年かかるらしいですが、アメリカでは人口の1%以上がクリアランスを得ているようです。
もともとは、安全保障を中心とする機密情報(CI、Classified Information)だけが対象でしたが、米政府はこの範囲を、政府が生成するCUI(Controlled Unclassified Information=機密情報ではないけれども管理が必要な情報)や民間が生成する情報をCUI指定し、それらにも適用範囲を広げつつあります。バラク・オバマ大統領(当時)が2010年、米国の産業競争力に資する情報をCUIとして各省が指定するよう大統領令を発令しました。
引用:https://business.nikkei.com/atcl/gen/19/00179/100600018/
ということで、クリアランスを持たないとアクセスできない情報が増えつつある。
安全保障を前提としたセキュリティが民間にも広がっていくのは、今後の流れなのだろうか。
