更新履歴
2024/9/3 CPEハンドブックについてISC2から回答があったため修正
はじめに
本記事は以下の記事に誤りが複数あるとの指摘を受け、改めて最新版のCPEハンドブックを参照して書き直したものです。
https://qiita.com/log0417/items/4ae5325ff226604d0300
ところがそもそもハンドブック自体に問題がありそうです。
→複数の日本語版ハンドブックが存在していたためISC2に問い合わせを行い、以下が正しいハンドブックであると回答いただきました。
CPEの基本
必要なポイント数
更新に必要なポイント数はCISSPが最も多く120ポイントです。CCSPが90、SSCPが60ですが、ほとんどの人はCISSPの120ポイントに苦労すると思いますので、ここでは120ポイントを貯める方法を考えます。
グループAとグループB
CPEはグループAとグループBの2つに分かれています。グループAは資格のドメインでカバーされている分野に直接関係している活動です。普通に貯めていればほぼこちらでたまるはずです。グループBはドメインに直接関係しない活動です。セキュリティ以外のイベントへの参加がこれに含まれるようですが、私はこちらで申請したことがなく、その必要もありませんでした。本記事ではグループAのみで考えます。
CPEの監査
CPEは自己申告制ですが、ランダムで監査に当たります。監査の対象になった場合、その活動を行ったことを証明するエビデンスが必要になります。よってエビデンスが確実に得られる活動が望ましいことになります。
具体的な稼ぎ方
ISC2では多様な活動がCPEの対象になっています。トレーニングの受講、書籍の執筆、本や雑誌を読む、ウェビナーの受講などです。この他ISC2からもクイズへの回答などで獲得機会が提供されています。
CPEを稼ぐにあたり、できるだけお金をかけず、手間をかけない方法を紹介します。
ウェビナーやセミナーの視聴
ISC2やSANSなどからウェビナーがたびたび配信されています。1時間の視聴で1ポイントです。個人的なおすすめはSANSが年に数回開催しているサミットです。オンラインから無料で参加できますし、基本的に2日間、合計12時間程度開催されるので、12ポイント獲得できます。SANSのアカウントにISC2のメンバーIDを登録しておけば自動的に登録されるのもおすすめです。
他にもJSACは日本で開催される無料のイベントです。こちらも2日間行われます。
上記以外ですと、有料になりますが湯沢、道後、白浜などで開催されるセキュリティイベント、CODE BLUEでも獲得できます。
ウェビナーやセミナーは参加申し込みが必ず必要なので、それが自動的にエビデンスとして使えるというメリットがあります。また上記に挙げたイベントのほとんどがイベント主催者側から自動的にCPE登録が行われるので安心です。
3年間ありますので、上記のイベントをこまめにチェックして参加していれば、120ポイントは十分貯められるかと思います。
書籍、雑誌、ホワイトペーパーを読む
書籍または雑誌は1冊につき5ポイント、ホワイトペーパーは1枚につき1ポイント獲得できます。
比較的簡単に獲得できますが、エビデンスは少々注意が必要です。CPEハンドブック(日本語版A、Bともに)には、『書籍・雑誌のCPEクレジットは、書籍・雑誌本体、売上明細書、請求書、図書館の記録などの「所持ができる証
明」を保管してください。最低限、証明書にはタイトルと、書籍の場合は著者とISBN番号、雑誌の場合は出版社を
記載して保管します。』と記載されており、監査に備えてきちんとエビデンスを補完する必要があります。
ウェビナーやセミナーで基本的には十分稼げると思いますが、あとちょっと足りないという場合にはこちらで申請すると良いと思います。
Hack The Box
Hack The Boxのサイトには以下のようにISC2のCPEポイントが獲得できる旨が記載されています。
少しお金はかかりますが、VIPかVIP+に課金して、Retired Machinesを攻略することをお勧めします。
Retired MachinesであればWrite-Upが公式に公開されており、ペネトレーションテストに慣れていなくても攻略できます。
ただ慣れていないとそれなりに時間がかかってしまうため、ペネトレーションテストの練習ついでに稼ぐというのが良いかと思います。
重課金勢向け
予算が潤沢にある、実家から石油が出た、宝くじに当たった、ビットコインで一山当てたなどで潤沢な資金がある方におすすめなのは、CISSPの公式トレーニングです。確実にポイントを獲得でき、CISSPの範囲の復習もできます。その他、SANSなどのトレーニングや、BlackHatへの参加などでも獲得可能です。
お勧めしない方法
番外編として、あまりお勧めしない方法も記載しておきます。
業務経験
業務経験を最大10CPE申請できますが、「独自性の高い」という条件が付いています。しかもプロジェクトの内容を要約して提出する必要があるため、機密性の高いプロジェクトはそもそも申請できません。(伏字を使いまくることはできるかもしれませんが・・・)
そもそもどこから「独自性の高い」とみなされるのかも不明瞭ですので、この活動は申請しない方が良いでしょう。
執筆
書籍、記事、ブログ、ホワイトペーパーなどの執筆で最大40CPE(書籍の著者の場合のみ)獲得できますが、ブログ以外はそう簡単に書けるものではないですし、そもそも40時間で本が書けるとは到底思えないのでコストパフォーマンスが非常に悪いです。たまたま執筆の仕事が舞い込んできたら申請するのが良さそうです。
なお同人誌が書籍として認められるかはわかりませんが、通常はハンドルネームで執筆すると思いますので、著者であるという証明が少々難しいかもしれません。
ちなみにブログは誰でも書けますが、「プロフェッショナルブログ」がどのレベルかはよくわかりません。後から認められなくなると困るようであれば申請しない方が無難かもしれません。ただ受理されるのであれば、最大10CPEなのでかなりコストパフォーマンスは高そうです。
余談
最後に余談として、ロールオーバーという仕組みがあります。更新日時の6か月前から取得したCPEポイントを次の3年間に持ち越せるという制度です。CISSPの場合は最大で40ポイントです。よって、120ポイント貯まったから終わりではなく、次の3年に向けてコツコツと貯めておくのが良さそうです。