はじめに
CISSPは、ISC2が提供している情報セキュリティの資格です。国内だと他にSSCP、CCSPが有名でしょうか。
資格保有者数は以下に公開されており、私が取得した3年前の日本のCISSP保有者は2000人ほどでしたので、この3年で500人ほど増えたようです。
https://www.isc2.org/About/Member-Counts
私は今年初めての更新を無事に終えました。CISSPの更新には年会費の他、3年間で120ポイントのCPEを獲得する必要があります。ISC2の他の資格でもポイント数は異なりますが、同様です。
このCPEをどうやって稼げばよいのかわからず、不安になったのですが、実はそれほど難しくありません。本記事では、CPEの稼ぎ方をISC2が公開しているCPE Handbookを元にCPEとして認められる活動の例を紹介します。
なお、いずれの方法で稼ぐ場合も監査が行われる可能性があるため、証跡が必要になります。
注意事項
本記事に記載している活動内容が必ず認められるという保証はありません。不安な方はISC2にお問い合わせください。また、記載に誤りがあれば訂正しますのでご指摘ください。
CPEの稼ぎ方
CPE Handbook
まずは公式の文書を一読しましょう。CPE Handbookは以下にあります。本記事ではここから適宜抜粋、抄訳しています。和訳に誤りがあればお知らせください。
https://www.isc2.org/-/media/Project/ISC2/Main/Media/documents/members/CPE-Handbook-2023.pdf
CPEの種類
以降、CPE Handbookから抜粋、抄訳します。わかりやすくするためあえて表現を変更している個所があります。
CPEには、グループAとBという2種類があります。グループAは、保有資格に関連する活動内容で、グループBは、保有資格に関連しない活動内容です。
具体的な例として、グループAは、イベントに参加、書籍の執筆、自己学習などがあり、内容が情報セキュリティに関連していれば概ね該当するはずです。
グループBは、情報セキュリティ関連ではないIT関係のイベントに参加、書籍の執筆、自己学習などです。
CISSPの場合、1年間にグループAで30ポイント以上、グループBは10ポイントまでという制限があります。
CPEを獲得する方法
CPEとして認められる活動は意外と幅広いです。情報セキュリティに関連してさえいれば、ほぼすべての活動がCPEとして認められるように思います。
CPE Handbookに記載されているものを以下に抄訳して記載します。この他にISC2が提供するマガジンやwebinarの視聴でも獲得できますが、それらは省略しています。
・書籍や雑誌、ホワイトペーパーを読む(5CPE、250ワードで概要を書く必要がある)
・書籍、記事、ブログの執筆(最大40CPE)
・プレゼンを行う(1時間につき1CPE)
・業務経験(最大10CPE)
※上記は、2020年4月現在のCPE Handbookを元に記載しています。今後変更になる可能性があります。
実際にCPEを稼ぐ方法
まず、重要な点として、CPEとして認められる活動内容が不定期に変更されています。例えば以前は別の資格試験の自己学習の時間を申請することが可能で、私は実際にその時間を申請、受理されていました。現在はその記述は削除されています。その上で、現在の基準で稼ぐ方法を記載します。
トレーニングを受講する
お金があるなら最も確実かつ簡単な方法です。各セキュリティベンダーが提供するトレーニングであれば基本的にセキュリティに関連していますので、問題なく申請できると思います。CISSPの公式トレーニングを受講すれば1回で40CPEを貯められます。お金はあるけど時間がない組織に所属している方にはオススメです。
ISC2の公式トレーニング以外のセキュリティベンダーのトレーニング等でも問題ありません。多くのトレーニングが1日~数日ですので、かなりのCPEを貯められます。
セミナー、ウェビナーの受講
各所で行われているセミナーやウェビナーの受講でも取得できます。
私はSANSが無料で行っているサミットに参加することで取得しています。大抵は2日間行われるので、10CPE以上獲得できます。
ISC2公式のWebniar視聴やボランティア活動を行う
ISC2から随時公開されるWebniarを視聴することでCPEを獲得できます。その他、各種ボランティア活動でも獲得できます。
書籍や雑誌を読む
情報セキュリティに関連していればなんでもよいはずです。買わなければならないという記述はないので、図書館で借りてくる、人から借りてくるなどの方法でも問題ないと思います。概要を英語250ワードで書く必要はありますが、現代ではChatGPTを使っても問題ないでしょう。1冊あたり5CPEという制限が記載されていますが、何冊までという制限はないようですが、以下の記載がありました。
Maximum number of CPE credits per entry should not exceed 40
ここのentryが何を意味するのか完全に読み取れませんでしたが、おそらく1回の申請における上限が40CPEなのではないかと思われます(正確な情報が必要な方はISC2に問い合わせてください)
書籍を購入した場合や、図書館で借りた場合はレシートが証跡になると思います。人から借りたという場合は、本の写真でも撮るしかないと思います。
書籍、記事、ブログの執筆
このQiitaに記事を書ければ認められると思われます。CPE Handbookには以下の記載があります。 co-authorとは共著者のことなので、1人で書けば10CPEを申請できると思われます。また、何か制限があるような記載もないので、おそらく4つの記事を投稿すれば、それだけで年間40CPEの獲得が可能になるように思います。
Professional Blog – 10 CPEs per blog as author, 5 CPEs per blog as co-author, 2 CPEs per blog as editor
なお、Handbookを読む限り、英語でブログ書かなければ認められないということはないと思われます。心配ならGoogle翻訳を使って英語版も書いておくと良いかもしれません。
証跡は書いた記事そのものですので、URLを添付すればよいと思います。
業務経験
セキュリティベンダーに勤務しているのであれば、業務経験を申請することができると思います。いわゆる情シス部門であっても、活動内容がセキュリティに関連していることは多々あるでしょうから、申請可能だと思います。申請には250ワードで活動の概要を記載する必要があります。
監査にあたった場合、証跡として上司に一筆書いてもらう必要があると思われます。会社や上司の理解を得られるのであれば、最大で10CPE獲得できます。
上記以外の方法
上記はすべてCPE Handbookに記載されているものですが、他にも獲得する方法があります。
下記はその一例です。ペネトレーションテストの練習の場として提供されているHack the boxでは、VIPメンバー(有償)になることで、攻略したマシンの難易度に応じたCPEが自動的に付与されます。攻撃手法にある程度の知識がある方であれば比較的簡単に稼げるかもしれません。
https://www.hackthebox.eu/press/cpe-credits
まとめ
Handbookの記載を読む限り、ブログ記事を4つ投稿すればそれだけで40CPEを達成できてしまうようです。正直ホント?という気がするので、誤りがあればご指摘くださると幸いです。