ここしばらく数学の記事はお休みして、いくつかセキュリティ関連の記事を書いていました。実は仕事がセキュリティに関係しており、その都合でCISSP(Certified Information Systems Security Professional)
という国際的な情報セキュリティの資格取得をすることに決め、そのための勉強を半年ばかり行なっていました。
情報セキュリティ、コンピュータセキュリティの分野には様々な資格があります。国内では経産省が後援している、情報セキュリティマネジメント、情報処理安全確保支援士などの資格制度が有名です。CISSPは米国を中心とした国際的な資格です。
この資格、なかなかの難関資格との評判もあり、受験料も高く(8万円!)、受験時間が6時間!に設定、ということなので、確実に1回の受験で合格するためにここしばらくの間、数学やMaxima関連の活動はサスペンドしておりました。それでも勉強中に、「これ何?」と思って調べていくと、興味深い話題もあり、(息抜きも兼ねて:-)こちらで紹介しました。Bell La Padulaセキュリティモデルについて調べていると、MIT Multicsに実装された、という記載を見つけ、「それってMacsyma発祥の地だよね」とか、Formal Verificationのセキュリティへの応用を調べていると、軍用ヘリコプターの証明にIsabelleとHOLを使った、という記載があり、「このツール、ehitoさんのブログで紹介されてたやつだ」とか、、、。
2019年10月17日、CISSP認定試験を受験し、無事試験に(暫定的に)合格しました。この後、職歴(セキュリティ業務経験5年)の審査とか他のCISSP保持者からの推薦とか手続きを経て、正式に認定されるようです。
いくつかの事情からNRIやLACなどのセキュリティ企業が実施するCISSP受験セミナー(5日間で50万円!!)は受講せず、自分でいくつかの本や問題集を購入して受験対策をしました。まだ記憶が新しいうちにこの辺を次の記事にまとめておこうと思います(試験内容そのものはNDAがあり書けませんが)。
CISSPのための勉強をして思うことがいくつかあります。
- マネジメントとしてリスク判断をする、インシデントに対して対応判断をする、上級役員に説明して判断を仰ぐ、などの業務がある人には役に立つ資格だと思います。振り返ると過去に多少勘に頼っていた判断について、理論(論理的な判断の根拠)を持つことができる範囲がかなり広がったと感じています。ちょっと面倒なリスク判断についてCISSPを理解していればブレが少ないのではないか、と感じます。
- ISO27001に基づく管理策を記載したISO27002よりもCISSPの方が考え方が整理されている点があり、その意味でも勉強する価値がありそうです。例えば27002には物理記録媒体を輸送する場合の管理策として、まあ普通のやったら良いことが書いてあります。一方、CISSPでは物理記録媒体の輸送時に必要な保護の強度は、元の場所で適用されてきた保護策と同等であるべきで、記録されている情報のもっとも高い情報分類(classification)に基づく、ということが最初に来ます。この辺の考え方はCISSPの方が徹底されているように思います。
- ネットワークセキュリティ、暗号など技術の部分についてはかなり古い技術も勉強する必要があります。古いプロトコルでも今でも使われていることがあり、それがセキュリティの穴になったり、別の技術で穴を塞いで使っていたりするので、必要なのだと思いますが、、、。PPPとPAP, CHAPからOAuth2.0, SAMLとか、、、シーザー暗号への頻度解析攻撃から、スマートカードへのフォルト注入攻撃まで、広いですよね。
- コンピュータセキュリティはBell La Padulaのようなセキュリティモデル、強制アクセス制御や任意アクセス制御のようなアクセス制御の話、それを実現するTCBやReference Monitor、そしてTCSEC, ITSEC, Common Criteriaのようなアシュアランスの話の重要性を再認識しました。SELinuxの登場の背景や、そのアクセス制御の考え方はこの辺の話題とつながっているのですね。
覚えることも多く大変だったのも事実ですが、知らなかったことを知り、理解が広まり、応用できる範囲が広がったのは良かったと感じています。
次回は、私が勉強した資料の紹介を中心に、書く予定です。