セキュリティ系の資格は数あれど、その中でもCISSP認定は比較的特殊な立ち位置にある資格といえるでしょう。個人的には、CISSP認定は経験豊かなセキュリティエンジニアこそが取得すべき資格だと思っています。ここではCISSP認定が誰のためのものなのか、自分なりに考えてみた結果をまとめておきます。言うまでもありませんが、これはあくまで一個人としての考えであり、このように考える人もいるのだな、くらいに受け止めて頂ければと思います。
経験豊かなエンジニアこそ挑戦すべき
別記事で私自身のスペックについて触れていますが、私はセキュリティエンジニアという仕事にたどり着くまでに比較的様々な業務を経験してきており、その過程で様々な資格試験を受けてきました。その数々の試験の中でも、CISSP認定試験は至極真っ当な、よくできた試験だなと思いました。
先人たちの記録を見ても、また私の周りを見渡してみても、(セキュリティに限らない) エンジニアとしてのキャリアと、試験対策に要した時間とは、反比例の関係にあるように見えます。言い方を変えれば、エンジニアとしての経験が長いければ長いほど、あるいは “引き出し” が多ければ多いほど、CISSP認定に挑戦する上で有利ということです。セキュリティに限らずIT系の資格の多くは技術を、それも実用性が怪しい重箱の隅を突っつくような知識を問われることが少なくありません。CISSPは実際に起こり得るハイレベルな判断を問う問題が多く、あるスキルを有していることを “認定” する試験として、妥当と感じた次第です。
この事実を踏まえつつ、CISSP認定は若手ではなく中堅以上のエンジニアが、複数の分野のセキュリティ業務 or セキュリティ以外の分野の業務も経験した上で受験するのが望ましいと思っています。以下に上記以外の理由をいくつか上げます。
業務経験がないと準会員にしかなれない
CISSP認定を志す方ならば当然ご存知かとは思いますが、CISSP認定試験は合格後に、運営母体であるISC2に会員として登録する必要があります。細かい認定要件については本家のページを参照して頂きたいのですが、端的に言うとISC2が定める実経験がない限り、正会員にはなれないのです。
逆に言えば、正会員に必要となるキャリアを有している、もしくはこれから有すことを見込める状態でない限り、準会員に留まらざるを得ないわけで、せっかく苦労をして取得した認定資格が宝の持ち腐れになってしまう可能性が高くなります。もちろん、CISSP認定を有していること自体が、セキュリティ業務に就くための切符となる可能性もあるわけですが、純粋にその目的のための手段として考えると、少々コスパが悪いということになると思います。
先に書いた通り、CISSP試験はそれまでに積み重ねた経験の厚みを活かせる試験なので、若い or セキュリティ業務の経験が浅いうちは、特定の詳細分野に特化したスキルを身につける (資格を取得する) 方が、個人的には短期的なキャリアにプラスに働くのではないでしょうか (後述しますが、取って意味がないとは言いませんが)。
維持には一定の費用がかかる
CISSPに限りませんが、特に受験費用が高額なセキュリティ資格には有効期限があり、有資格者で有り続けるためには数年毎に費用を支払って資格を維持する必要があります。また、CISSPやGIACなどでは継続に際して一定のCPEポイントが必要となりますが、実業務でセキュリティに携わっていないと、これを貯めるのも容易ではありません。
CISSPの場合、3年間で120 CPEポイントを獲得した上で、更新料$135を支払う必要がありますが、これを実業務とは無関係に自分で維持し続けるのはそれなりに大変です。私が知っている方でも、CPEポイントが準備できずにせっかく取得したCISSPを失効させてしまった人がいましたが、これは実に勿体ないとしか言えません。
管理者以上の役職でないとCISSPの知識をフル活用できない
これまでも繰り返し強調してきたことではありますが、CISSPはCISOを含むセキュリティ責任者に求められる知識を有し、その立場にふさわしい考え方ができることを認定する試験です。つまり、CISSPを有することがなんの役に立つかというと、セキュリティ関連業務でマネージャ以上の役職で業務を遂行する時ということになります。
もし私が企業や組織で責任ある立場にあったとして、外部からCISOを招聘するに際して求める資格要件を挙げよと言われたら、間違いなくCISSPを真っ先に挙げるでしょう。しかし、管理者未満のエンジニアの資格要件としてCISSPが真っ先に挙がることはまずなく、おそらくは対象業務に特化した特定スキルを有することを証明する資格や、エンジニアとしての最低限の知識を有している (可能性が高い) ことの証明となるIPA系の資格がまず挙がるでしょう (CISSPは歓迎資格に挙げる程度)。
もちろんそれ以外の場面で役に立つことがないとは言いませんが、少なくとも日々の実業務に直結しやすいテクニカル系のスキルに比べると、活用の場面は限られると言わざるを得ないでしょう。
若手が取ることを否定する訳ではない
CISSPを若くして取得する方も時々Xで見かけます。私の職場にも、学生時代に取得したという人がいましたが (Flashcardをやりまくったと聞きました)、正直すごいと思いました。もし私が新卒でセキュリティエンジニア志望の学生を採用する立場であったら、膨大な時間と高額な受験料を払ってCISSP取得を学生時代で成し遂げたという事実自体に大きな加点を与えるでしょう。また、もし自分の部下が自力でそれを成し遂げたら、同じく大きなプラス評価を与えたいと考えるでしょう。そういう意味では、私はCISSP認定 (に代表される高難易度な資格) を取得する意味は大いにあると考えます。
CISSP認定試験を通じた得た知見を発揮できる場面
ただし、前述のように、経験が浅いセキュリティエンジニアが、CISSPの範疇に含まれる知見を発揮できる業務に就けるかかというと、それは難しいと言わざるを得ません。他に候補者がいない場面であれば、CISSP認定を有しているという事実に基づき、セキュリティに関わる意思判断を行うポジションに若手が据えられる可能性もゼロではありませんが、複数の候補者がいればセキュリティエンジニアとしての実経験も見られるでしょう。
たとえばセキュリティコンサルタントなど、業務関係とは無関係に、しかも若くしてそのような知見が求められる一部の業務に就く方を除けば、個人的にはCISSP認定はセキュリティエンジニアとしてのキャリアをある程度積んでから取得しても十分に間に合うと思っています。
セキュリティ責任者に技術は必要か
もう20年近く前になりますが、IPAのプロジェクトマネージャの資格を持った方と “自分が管理するプロジェクトの詳細を知らない (理解できない状態) で、いいマネージメントができるのか” について議論したことがあります。その人は “プロジェクトマネージメントは手法であり、管理対象の技術や業界知識の詳細を知らなくてもよい” との立場でしたが、私は今でも適正な管理を行うためにはその対象を知っていることが “少なくとも” 望ましいと信じています。私はセキュリティの判断を預かる立場の人間は一定のテクニカルスキルを有するべきだと思いますし、少なくとも自分はそうありたいと思っています。
私は実体験として、技術的な知識がなかったがゆえに重大な判断を誤り、自分を含めた数百人の人々を不幸に追い込んだ人を実体験として知っているがゆえに一層強く思うのかもしれません。しかし私はやはり、たとえばある脆弱性が悪用された時の影響範囲を想像する、被害を最小限に抑える方法を考える、あるいはその結果として起こり得る最悪の事態を想定するなどを行う場面があったとして、テクニカルスキルがあればあるほど、”最適の” 判断に近づくことができると思っています (技術に目を奪われて大局的な判断ができなかったら本末転倒なので、そこには気をつける必要がありますが)。
考え方と技術は両輪
CISSP認定資格取得を通じて学ぶ各種ポリシー・フレームワークは、それ自体がベストプラクティスである一方で、テクニカルスキルを兼ね備えてはじめて、その知見を十全に発揮することはできると私は考えています。ここで話の先頭に戻りますが、だからこそ様々な経験・知見を持ち、先人の失敗などを自らの目で見たり体感して来た経験豊かなセキュリティエンジニアこそが、CISSP認定を取得すべきだと思っています。