マネジメントと心理学、ときどきセキュリティ

セキュリティ屋の「たろう」が日々の勉強の記録や、趣味の話を書いていきます

クラウドセキュリティのプロフェッショナル認定「CCSP」を取得する

f:id:chilochilo:20200723121352p:plain

セキュリティ関連の最高峰の資格として、CISSPという資格が一番に来ます。CISSP認定資格とは、(ISC)² (International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認証資格です。

一方で、クラウドセキュリティという文脈でいうと、同じく(ISC)² が認定を行っているCCSPが相当します。CCSP認定資格は、業界で5年以上の経験を持ち、そのうち3年は情報セキュリティ分野で、6つのCCSPドメインのうちの1つで1年の経験を持つ経験豊富なIT専門家を対象としています。6つのCSSPドメインには、以下のようなものがあります。

  1. Cloud Concepts, Architecture and Design (クラウドの概念、アーキテクチャ、設計)
  2. Cloud Data Security (クラウドデータセキュリティ)
  3. Cloud Platform & Infrastructure Security (クラウドプラットフォームとインフラストラクチャセキュリティ)
  4. Cloud Application Security (クラウドアプリケーションセキュリティ)
  5. Cloud Security Operations (クラウドセキュリティオペレーション)
  6. Legal, Risk and Compliance (クラウドガバナンス - 法律、リスク、コンプライアンス)

CISSPの8のドメインと比べたら数が少ないですが、技術的な内容も多く、一筋縄ではいかない内容となっております。

CCSPのドメイン

1. Cloud Concepts, Architecture and Design (クラウドの概念、アーキテクチャ、設計)

このドメインは、クラウドコンピューティングの基本的な概念に関しての内容になります。暗号化、ネットワークセキュリティ、アクセス制御、ハイパーバイザーセキュリティなどのクラウドセキュリティの問題に深い知識がある必要があり、ここではそれを試されます。このドメインは、ソフトウェア、インフラストラクチャ、プラットフォームサービスなどのクラウドコンピューティング環境のセキュリティに焦点を当てています。試験内容には、ISO/IEC 17788に基づくクラウドコンピューティングの概念と定義やセキュアなクラウドコンピューティングの概念と原則が含まれています。

2. Cloud Data Security (クラウドデータセキュリティ)

このドメインはクラウドに特有の技術的なセキュリティ問題に関しての内容です。クラウド・データ・ストレージのアーキテクチャや、暗号化、データ・マスキング、トークン化、データ・ライフサイクル管理など、クラウド・データ・ストレージの安全性を確保するために使用されるコントロールが含まれます。この領域では、データ著作権管理(DRM)技術、ポリシーの削除、保持、アーカイブもカバーしています。クラウドにおける機密性、完全性、可用性を確保するためのネットワーク、オペレーティングシステム、機器、アプリケーション、および制御の設計、実装、監視、および安全性確保に使用されるすべての原則、概念、標準、および構造をなどを含んでいます。

3. Cloud Platform & Infrastructure Security (クラウドプラットフォームとインフラストラクチャセキュリティ)

クラウドインフラストラクチャに関連する仮想および物理的なセキュリティリスクをカバーしています。これは、クラウドサービス間の通信、仮想化プラットフォームの保護、監査メカニズムの実行から構成されています。クラウドのリスクアセスメントを実施し、特定されたセキュリティリスクの解決策として必要なセキュリティ対策を策定する能力を有している必要があります。また、このドメインでは、クラウドサービスの事業継続計画や災害復旧計画をどのように策定し、実施するかについても触れています。

4. Cloud Application Security (クラウドアプリケーションセキュリティ)

このドメインでは、クラウドコンピューティングに存在するすべてのアプリケーションのセキュリティ問題を探求します。候補者は、ソフトウェア開発ライフサイクル(SDLC)、クラウドソフトウェア保証、クラウドコンピューティングサービスとアイデンティティおよびアクセス管理ソリューションの最適な組み合わせを理解する能力が試されます。

5. Cloud Security Operations (クラウドセキュリティオペレーション)

このドメインは、クラウドコンピューティングサービスの利用から生じる運用上の問題をカバーしています。クラウドサービスプロバイダで働くクラウドインフラストラクチャ管理者やセキュリティの専門家に焦点を当てています。主に、論理的および物理的なクラウドインフラストラクチャの設計、実行、管理などの技術的な問題に関係しています。また、メディア、ハードウェア、オペレータの管理、監査と監視のためのツールと設備についても定義しています。

6. Legal, Risk and Compliance (クラウドガバナンス - 法律、リスク、コンプライアンス)

 このドメインでは、クラウドコンピューティングサービスの採用に伴い発生する法的および規制上の問題に関する受験者の知識が試されます。この分野では、企業のリスク管理がクラウドコンピューティングによってどのように影響を受けるか、クラウドのセキュリティ管理がどのように監査されるかをカバーしています。また、アウトソーシングのセキュリティ問題、クラウド契約の設計、クラウドコンピューティングのベンダー管理、調査技術、フォレンジック、法的規制などの証拠収集、プライバシー問題なども含まれます。

CCSP取得のための勉強方法

 CCSPは日本ではまだメジャーな資格ではないということもあり、勉強する方法は限られているのが現状です。

ガイドブックで勉強(英語)

 (ISC)2から出ている公式のガイドブックです。CISSPのガイドブックは日本語訳されていますが、CCSPに関しては日本語訳はございません。

(ISC)2 CCSP Certified Cloud Security Professional Official Study Guide is your ultimate resource for the CCSP exam.

 

自己学習オンラインコースで勉強(英語)

(ISC)2が提供するオンラインコースは下記から申し込むことができます。

https://www.isc2.org/Training/Online-Self-Paced

 

有料セミナーで勉強

 唯一日本語で、提供されている勉強方法です。46万円(試験バウチャー込み、税抜)と、非常に高額ですが、英語で学習することが難しい方は、こちらで勉強するしかないというのが現状です。

https://www.ntt-at.co.jp/product/ccsp/