本記事の記載は古いため書き直しました
はじめに
CISSPは、ISC2が提供している情報セキュリティの資格です。国内だと他にSSCP、CCSPが有名でしょうか。
資格保有者数は以前は公開されていましたが、今は非公開になっているようです。
正確な人数はわかりませんが、公開されていた時点の数から考えると、現在は全世界で15万人程度、日本で5000人程度ではないかと思われます。
CISSPの更新には年会費の他、3年間で120ポイントのCPEを獲得する必要があります。ISC2の他の資格でもポイント数は異なりますが同様です。
このCPEをどうやって稼げばよいのかわからず、不安になったのですが、実はそれほど難しくありません。本記事では、CPEの稼ぎ方をISC2が公開しているCPE Handbookを元にCPEとして認められる活動の例を紹介します。
なお、いずれの方法で稼ぐ場合も監査が行われる可能性があるため、証跡が必要になります。
注意事項
本記事に記載している活動内容が必ず認められるという保証はありません。不安な方はISC2にお問い合わせください。また、記載に誤りがあれば訂正しますのでご指摘ください。
CPEの稼ぎ方
CPE Handbook
まずは公式の文書を一読しましょう。CPE Handbookは以下にあります。本記事ではここから適宜抜粋、抄訳しています。和訳に誤りがあればお知らせください。
https://www.isc2.org/-/media/Project/ISC2/Main/Media/documents/members/CPE-Handbook-2023.pdf
CPEの種類
以降、CPE Handbookから抜粋、抄訳します。わかりやすくするためあえて表現を変更している個所があります。
CPEには、グループAとBという2種類があります。グループAは、保有資格に関連する活動内容で、グループBは、保有資格に関連しない活動内容です。
具体的な例として、グループAは、イベントに参加、書籍の執筆、自己学習などがあり、内容が情報セキュリティに関連していれば概ね該当するはずです。
グループBは、情報セキュリティ関連ではないIT関係のイベントに参加、書籍の執筆、自己学習などです。例えば「効果的なプレゼンテーションの方法」のような内容はこちらに含まれます。
CISSPの場合、3年間にグループBは30ポイントまでという制限があります。グループAの制限はないため、120ポイントすべてをグループAで獲得しても問題はありません。
CPEを獲得する方法
CPEとして認められる活動は意外と幅広いです。情報セキュリティに関連してさえいれば、ほぼすべての活動がCPEとして認められるように思います。
CPE Handbookに記載されているものを以下に抄訳して記載します。この他にISC2が提供するマガジンやwebinarの視聴でも獲得できますが、それらは省略しています。
・書籍や雑誌、ホワイトペーパーを読む(5CPE、250ワードで概要を書く必要がある)
・書籍、記事、ブログの執筆(最大40CPE)
・プレゼンを行う(1時間につき1CPE)
・業務経験(最大10CPE)
※上記は、2024年4月現在のCPE Handbookを元に記載しています。今後変更になる可能性があります。
CPE申請の注意点
CPEは一部自動登録されるものを除き原則として自己申告制です。自己申告したものは監査の対象になる可能性があります。したがって、後からエビデンスの提出ができるようにしなければなりません。そしてエビデンスを出すことが難しいものもあります。
例えば「Self-study related to research for a project or preparing for a certification examination」(プロジェクトのための調査や資格試験の準備に関連した自己学習)という項目があります。別の資格試験のために勉強した時間を申請できるのはとても良いと思いますが、資格試験に合格したというエビデンスは出せても、何時間勉強したかというエビデンスを出すのは困難です。監査でエビデンスを求められた場合に提出するのが困難ですので、私はこの項目は使用していません。
トレーニングを受講する
お金があるなら最も確実かつ簡単な方法です。各セキュリティベンダーが提供するトレーニングであれば基本的にセキュリティに関連していますので、問題なく申請できると思います。CISSPの公式トレーニングを受講すれば1回で40CPEを貯められます。お金はあるけど時間がない組織に所属している方にはオススメです。
ISC2の公式トレーニング以外のセキュリティベンダーのトレーニング等でも問題ありません。多くのトレーニングが1日~数日ですので、かなりのCPEを貯められます。
情報処理安全確保支援士であれば、NICTが行っているRPCIという特定講習がおすすめです。3年に1回しか受講できませんが内容も良く、CPEも取得できます。以下の記事もご覧ください。
セミナー、ウェビナーの受講
各所で行われているセミナーやウェビナーの受講でも取得できます。
私はSANSが無料で行っているサミットに参加することで取得しています。1日で6CPE、2日で12CPE程度獲得できます。受講証明書にあたるものも自動的に発行され、SANSのアカウントにCISSPのIDを登録しておけば自動的に登録されるためおすすめです。SANSのサミットであればGIACのCPEも同時に取得できるのでGIACの資格を持っている方は特におすすめの方法です。
サミットは年に4~5回程度行われており、これだけで年間40CPE以上獲得できます。ただし、受講証明書が発行できるのはサミットが開催されている時間にサミットを視聴した場合のみです。したがって後から視聴しても受講証明書は発行されないので注意してください。
この他、CODE BLUEや湯沢ワークショップなど、CPEを申請できることが公式に告知されているイベントもあります。
また、個人が行っている勉強会に参加した場合でも申請可能です。この場合、主催者にCPE登録する旨を事前に伝えておくとスムーズかと思います。公開されているウェブサイトにアジェンダがあれば、それを記載して申請すれば良いかと思います。もちろん自分が主催する勉強会でも問題ありません。CISSPホルダーを何人かを集めて1人1時間のプレゼンを行えば、その場にいる全員がポイントを獲得できます。もし内容が非公開であれば、「〇〇についてのプレゼンテーション(内容は機密)」のような記載でも問題ないかと思います。
ISC2公式のWebniar視聴やボランティア活動を行う
ISC2から随時公開されるWebniarを視聴することでCPEを獲得できます。その他、各種ボランティア活動でも獲得できます。Webniarは日本語のものが年に数回、英語を含めれば非常に多く開催されており、これだけでも40CPEを獲得することは可能だと思います。
また、SANSでも同様にWebniarを開催していますので、GIACの資格を持っている方はSANSのWebniarも検討してみてください。
書籍や雑誌を読む
情報セキュリティに関連していればなんでもよいはずです。買わなければならないという記述はないので、図書館で借りてくる、人から借りてくるなどの方法でも問題ないと思います。概要を英語250ワードで書く必要はありますが、現代ではChatGPTを使っても問題ないでしょう。1冊あたり5CPEという制限が記載されていますが、何冊までという制限はないようです.
証跡は図書館の貸し出し記録や購入時のレシート、電子書籍なら購入記録などで良いと思います。
また、ホワイトペーパーを読むという項目もあります。IPAから毎年発行されている情報セキュリティ白書、書くセキュリティベンダーから発行されているホワイトペーパーを合わせれば、5枚程度はすぐに読めると思います。1枚当たり1CPEです。
書籍、記事、ブログの執筆
このQiitaやその他のブログサービスなどを使って何らかの記事を書ければ認められると思われます。CPE Handbookには「Publishing an article on cybersecurity」という記載があり、authorであれば1つの記事に月20CPEを申請できると記載があります。これ以外の記載はなく、何か制限があるような記載もないので、おそらく2つの記事を投稿すれば、それだけで年間40CPEの獲得が可能になるように思います。
とはいえarticleの指す意味がもしかしたら出版物でなければならないかもと思い、不安でしたので、ChatGPT(v4)で聞いてみたところ大丈夫そうな回答が得られました。(この回答が正しいかの保証はできません)
上記の回答からはそれなりに専門的で詳細に記載する必要があるようですので、例えば以下のような記事であれば該当すると思われます。なお、以下の記事は執筆および検証でトータル20時間くらい費やしていると思われるので、20ポイント申請できるレベルかと思います。
なお、Handbookを読む限り、英語でブログ書かなければ認められないということはないと思われます。心配ならGoogle翻訳を使って英語版も書いておくと良いかもしれません。
証跡は書いた記事そのものですので、URLを添付すればよいと思います。
業務経験
セキュリティベンダーや事業会社の情シス部門、CSIRT活動をしている人であれば申請可能だと思います。
セキュリティに直結する脆弱性診断、リスクアセスメント、インシデント対応、フォレンジック、マルウェア解析、SOC、トレーニング講師などはもちろん、セキュリティ製品の営業、プリセールス、サポートなどでも業務経験と言えるでしょう。
申請には250ワードで活動の概要を記載する必要があります。
監査にあたった場合、証跡として上司に一筆書いてもらう必要があると思われます。会社や上司の理解を得られるのであれば、最大で10CPE獲得できます。
上記以外の方法
上記はすべてCPE Handbookに記載されているものですが、他にも獲得する方法があります。
ペネトレーションテストの練習の場として提供されているHack the boxでは、VIPメンバー(有償)になることで、攻略したマシンの難易度に応じたCPEが自動的に付与されます。攻撃手法にある程度の知識がある方であれば比較的簡単に稼げるかもしれません。
なお、Write-Upが公式に公開されているRetired Machinesでも獲得できるようです。
CPEの単位について
CPEは15分単位で獲得可能です。15分のウェビナーを受講すれば0.25ポイントになります。塵も積もれば山となるなので、無駄なく獲得した方が良いでしょう。
まとめ
本記事ではCPE獲得の方法について記載しました。認められる活動の幅は広く、厳しい制限があるわけでもありません。それほど難しいものではないと思ったのではないでしょうか。
一方で、120CPEは簡単に貯まるものではありません。しっかりと計画的に貯めるようにしたいものです。