支援対象地域:札幌、仙台、関東、愛知、関西、広島、福岡

  • TOP
  •   
  • コラム
  •   
  • CSSLPとは?詳しく解説させていた

CSSLPの概要について

ここでは、CSSLP(Certified Secure Software Lifecycle Professional)について説明させていただきます。 CSSLPは(ISC)²(International Information System Security Certification Consortium)が主催する資格であり、 内容としては主にソフトウェア開発におけるセキュリティに関する知識や、それに付随する専門知識について出題されます。 CSSLPが開発された背景として、セキュリティに関する重要性の高まりがあります。 ソフトウェアの脆弱性を原因としたセキュリティインシデントやそれに伴う情報流出などは 日本だけでなく世界中において解決すべき課題です。 また、政府機関や大手企業を狙ったサイバー攻撃やセキュリティ攻撃の脅威はテクノロジーの発展と共に増加する一方であり、IT業界で働くエンジニアは情報セキュリティの扱いや情報セキュリティ対策に関するリテラシーを高める必要があります。 このような背景があり、CSSLPは2010年から提供が開始されました。
では、CSSLPの特徴について簡単に説明させていただきます。 CSSLPではソフトウェア開発における全ての工程において 必要なセキュリティに関する知識を体系的に学ぶことができます。 また、ソフトウェアを外部の企業や外注先のエンジニアに対して発注する際のセキュリティ上の知識なども学ぶことができます。 情報セキュリティについては多くの資格が存在しますが、ソフトウェア開発のセキュリティで 全ての工程において掘り下げて知識が必要とされる資格は他にはありませんので、最大の特徴と言えるでしょう。 対象者は、ソフトウェア開発を行うエンジニアやプロジェクトマネージャーなどの管理職、テストエンジニア、ソフトウェア発注責任者など幅広い層が対象となります。 セキュリティに関する知識は今後さらに重要性を増してくる一方となるため、 CSSLPを取得することでキャリアアップに繋がることは間違いないでしょう。 その根拠として、近年の米国ではセキュリティとクラウドに関する資格の有資格者の年収が非常に高いという 調査結果がでております。 これらに関する専門的な知識は政府機関や大手企業で働くうえではすでに必須と言えますので、 CSSLPはキャリア構築にはもってこいの資格と言えるでしょう。 また、(ISC)²では、セキュリティの専門資格であるCISSP(Certified Information Systems Security Professional)や、 クラウドの専門資格であるCCSP(Certified Cloud Security Professional)を主催しております。 これらの資格はCSSLPとの相性も良く、世界的な権威のある資格として知られております。 相互に知識を補完することもでき、エンジニアとして専門性の高いプロフェッショナルになるために CISSPを学習することもおすすめです。 以上が簡単ではありますが、CSSLPに関する知識となります。 それではさらに詳しくCSSLPについて解説させていただきます。

CSSLPの試験について

CSSLPの試験について説明させていただきます。 受験資格は以下のように設定されております。 CSSLPで設定されている分野の中で、ソフトウェア開発ライフサイクル(SDLC)の専門的作業に直接フルタイムで携わった経験が4年以上あること。 あるいは、コンピュータ科学、情報技術(IT)、あるいは関連分野において4年制大学の学士号またはこれに相当する地域資格を取得し、 CSSLP CBKドメインのうち1つ以上において、SDLCの専門的作業に直接フルタイムで携わった経験が3年があること。 (教育による免除期間は一年) また、(ISC)²倫理規約に同意をすることも受験資格の一つとなります。 (ISC)²倫理規約はセキュリティの専門家としての倫理観やモラルについて定義した内容となっており「Code of Ethics Preamble(倫理規約の序文)」 「Objectives for Guidance(本指針の目標)」「Protect society, the commonwealth, and the infrastructure(社会、一般大衆の福利、およびインフラを保護 する)」「Act honorably, honestly, justly, responsibly, and legally(法律に違わず、公正かつ誠実に責任を持って行動する)」「Provide diligent and competent service to principals(当事者に対して、十分かつ適切なサービスを提供する)」「Advance and protect the profession(セキュリティ専門家としての知識を向上し、保護する)」から構成されております。 また、CBKドメインにおける最低4年間のプロフェッショナルとしての経験が無い方も受験することは可能となっております。 このあたりの説明はややこしい部分となってしまいますが、CSSLPの試験を受けて合格後に(ISC)²の準会員となることができます。 その後経験月数が48ヶ月を超えた後に申請し、登録を実行することで正式にCSSLPの資格保有者としての認定が行われることになります。 (ISC)²の試験においては高い専門性やプロフェッショナルとしてのスキルを担保するために経験年数も一つの基準にしていることからこのような措置がとられているようです。
試験に説明を戻すと、CSSLPでは、「セキュアソフトウェアの概念」「セキュアソフトウェアの要件」「セキュアソフトウェアの設計」「セキュアソフトウェアの実装とコーディング」 「セキュアソフトウェアのテスト」「ソフトウェアの検収」「ソフトウェアの導入、運用、保守及び破棄」 の7つの分野から構成されております。
「セキュアソフトウェアの概念」では、 マネージャーや管理職の立場のエンジニアがソフトウェア開発においてセキュアなソフトウェアに関する基礎的な知識が問われます。 エンジニアは様々な環境で開発を行いますがセキュアソフトウェアの概念、 方法、その実施についての理解は どのような現場においても必須です。 また、セキュリティ設計の原則、検出手段 および是正措置、潜在的なリスク、脆弱性、侵害についての専門知識を問われます。 これらを理解することでソフトウェア開発においてマネージャーや管理者がセキュアなシステムの運用や安全な環境における開発体制を構築することができるでしょう。
「セキュアソフトウェアの要件」では、セキュアソフトウェアにおける要件定義についての理解が問われます。 ソフトウェアの開発現場ではスケジュールや納期が決められており、その目標に向けて開発を行う必要があります。 また、予算や開発体制など様々な制限があります。 そういった制限がある中でプロジェクトへの影響を最小限にしつつソフトウェア開発プロセスにセキュリティを組み込み、主要なセキュリティ目標を特定し、ソフトウェアセキュリティを最大限に高めるため、ソフトウェア開発ライフサイクルの要件定義を決定していく必要があります。 そのためセキュリティに関する全般的な知識や、ポリシーの分解や、ユースケースおよび悪用ケースの捕捉を含めたデータの特定と収集などに関する知識が必要となってきます。
「セキュアソフトウェアの設計」では、ソフトウェアの攻撃対象領域の要素を特定し、セキュアなソフトウェア設計を行います。 具体的にはソフトウェアの攻撃対象領域の要素を理解し、脅威のモデル化を実施し、 ソフトウェアのリリース前に満たしていなければならない具体的なセキュリティ基準を定義して、 セキュリティ観点においてソフトウェアの全体的な構造の定義するための知識を学びます。 脅威モデル化プロセスでは、各資産に危害を及ぼす恐れのある脅威を特定し、危害が加えられているリスクの予想を行います。 これにより製品チームがセキュリティ機能の必要性やそれを考慮したコードレビューを実施するなどセキュリティを意識した作業のパフォーマンスを支援します。 また、特定のセキュリティ基準が個々の製品チームまたは基本的なセキュリティ基準のほかにさらなる基準のあるソフトウェアリリースにおいて適用される場合もありますので、 セキュリティの専門家としてこのあたりの精査も必要です。 攻撃対象領域分析を行い、脅威モデル化を実施する手法を把握し、暗号化などのセキュリティ機能、資産を危害から守るソフトウェアの適切な機能いずれのケースにおいてもリスクを軽減する対策を特定し精査する知識が求められます。 そのため、セキュアソフトウェアの設計を実行するのに必要な設計留意点、アーキテクチャ、技術を理解するための知識が必要となります。
ソフトウェア開発においてセキュリティの脆弱性につながるリスクを下げるためのコーディングやテストに関する知識は必須となることは言うまでもありませんが、 「セキュアソフトウェアの実装とコーディング」では管理者の立場からそれらについてより実践的な知識として学びます。 実践において基本的な知識を理解していることは当然となりますが、それに加えて潜在的なセキュリティの脆弱性についての理解も必要となってきます。 ソースコードを調査し、潜在的なセキュリティの脆弱性を検出・排除するため、自動化ツールによって補完することや、コードレビューの実施を通じてセキュリティリスクを管理し、例外管理、設定管理、ビルド環境およびインターフェースコーディングで遭遇するセキュリティの問題を把握するための能力などについて理解することができます。
「セキュアソフトウェアのテスト」ではソフトウェアの開発工程におけるテストを実施する際のセキュリティについての知識が求められます。 これは、ソフトウェア品質保証スタンダードを熟知し、セキュリティの問題が発生した際に行う影響評価と是正措置手順を把握するための知識が求められます。 テスト手法には様々なものが準備されておりますので開発現場や目的に応じて柔軟に対応することが好ましいでしょう。 また、それらのテスト手法をセキュリティの観点から理解することももちろん重要であり、ペネトレーションテスト、ファジング、スキャニング、シミュレーションテスト、不具合および暗号検証の試験、 バグフィックスがコードのベースラインリリースを逆行させないことを確認する方法とプロセスなど様々な専門知識を学習する必要があります。 さらに、機能テストおよびセキュリティテスト(ホワイトボックスとブラックボックス)、相互運用性テスト、バグトラッキング、 および高優先度コード(ソフトウェアの「攻撃対象領域」の一部であるコード)のテストの概念などテストの概念についての知識を問われます。 もちろん、これらの知識はテスト実施者としてでなくプロジェクトマネージャーや管理者、テスターといった幅広い職種のエンジニアにとって役に立つものであることは言うまでもありません。
「ソフトウェアの検収」では、ソフトウェア開発の最終的な納品段階におけるセキュリティ面の知識が求められます。 ソフトウェア納品後、セキュリティ面でのリスクを顧客が負うことのないように ソフトウェアのセキュリティ状態の概要の説明を実施することなどがその内容となります。 また、それらを実施するために完了基準の決定方法、リスクの受容と文書化(災害復旧および事業継続計画など)、 コモンクライテリアおよび第3者テストの方法について しっかりと理解をしておく必要があります。
「ソフトウェアの導入、運用、保守及び破棄」では、ソフトウェアの脆弱性についての知識が問われます。 具体的には、脆弱性が現場で発見された際に顧客をリスクにさらす前に実施する様々な行動や専門知識について学習を行います。 以上がCSSLPの試験についての説明とさせていただきます。

CSSLP受験後の手続きについて

CSSLPの受験後の手続きについて説明させていただきます。 多くの認定資格やベンダ―資格と同様、CSSLPにおいても 合格後の手続きやそれらを維持するための手続きが存在しますので、事前に確認しておくようにしましょう。 せっかく学習を行ってCSSLPに合格にしても 再受験となったり失効とならないようにしっかりと(ISC)²の定めるルールを事前に調べておく必要があります。 CSSLP認定のためにはまず、1000点中700点以上のスコアを獲得して合格し、その後推薦状を(ISC)²に提出する必要があります。 推薦状について、推薦人がいる場合は(ISC)²の認定している資格であるCISSPやSSCP(Systems Security Certified Practitioner)などの推薦状を提出する必要があります。 周りに(ISC)²の認定している資格の保有者がいない場合、以下の手続きが必要となります。 免除申請を証明する大学等の証明書やレターの写し、各職歴についての勤務証明書、 各職歴についての上司/照会先の連絡先(名前・連絡可能な電話・電子メール)を (ISC)²に提出することになります。 上記の手続きを経てCSSLPの認定が完了となります。
補足をすると、CSSLP受検において、CBKドメインにおける最低4年間のプロフェッショナルとしての経験が無い場合においても受検は可能ですが、その場合、合格後すぐに認定を受けることはできません。 (ISC)²準会員として登録され、時間経過後に正式にCSSLP認定を受ける形となります。 (ISC)²準会員は認定登録要件のCBKドメインにおける「プロフェッショナルとしての」実務経験年数不足の方が試験合格の後、実務経験を満たすまでの期間において(ISC)²メンバーとしての活動を実施し、その後認定が行われるという制度となります。 (ISC)²準会員が設定されている理由としては、専門家やプロフェッショナルとしては一定の実務経験が必要があるという考え方があると推定されます。 実務経験の浅い合格者に対しての措置と考えられ、所定の期間を経過後は受験者自身が申請することで認定登録手続きが完了するという流れとなっております。 ちなみに、(ISC)²準会員を維持するためには年会費50ドル、1年あたりCPE15ポイントが必要となります。
また、CSSLP認定後は資格を維持するにあたり、 (ISC)²認定継続要件を満たす必要があります。(ISC)²認定継続要件は(ISC)²の倫理規約を遵守すること、 継続教育単位(CPEクレジット)を取得し申請すること、毎年の請求書の受領時に年会費を支払うことの3つとなっております。 この3つを毎年の年次認定基準日までに年次認定継続要件を満たさないと認定が失効してしまいますので、 注意する必要があります。 (ISC)²の倫理規約においては、情報セキュリティのプロフェッショナルとして遵守すべき心構えや指針が示されております。 CPEクレジットは資格毎に必要な認定継続要件が異なっておりますので、自身の資格に準じて 実行する必要があります。 CISSPの場合、3年間で120ポイント(このうち30ポイント分はグループBでも可)のCPEクレジットを取得すること、 年会費は125米ドルを毎年の認定サイクルの開始時までに支払うことが(ISC)²認定継続要件となっております。 CCSPの場合、3年間で90ポイント(このうち30ポイント分はグループBでも可)のCPEクレジットを取得すること、 年会費は125米ドルを毎年の認定サイクルの開始時までに支払うことが(ISC)²認定継続要件となっております。 SSCPの場合、3年間で60ポイント(このうち15ポイント分はグループBでも可)のCPEクレジットを取得すること、 年会費は125米ドルを毎年の認定サイクルの開始時までに支払うことが(ISC)²認定継続要件となっております。
最後に、年会費について説明させていただきます。 資格ごとに年会費が異なる点についてはすでに説明済ですが、これらの年会費はメンバーの記録の保持や、 認定資格の更新や市場における調査、あるいは(ISC)²の組織の運営が正しく機能するために利用されます。 また、(ISC)²の年会費は資格の喪失その他の事由の如何を問わず、 いかなる場合においても払い戻しは行われませんので注意が必要となります。

(ISC)²の導入事例について

(ISC)²は様々な団体、企業において導入されており国際的に権威性の高い資格として有名です。 ここでは、(ISC)²の導入事例についていくつか具体例を出しながら紹介させていただきます。 (ISC)²の導入事例についての一点目がアメリカ国家安全保障局(National Security Agency:NSA)となります。 NSAではCISSPの取得を必須としております。 NSAはアメリカ国防総省の情報機関で、シギント(SIGINT; signal intelligence)と呼ばれる電子機器を使った情報収集活動とその分析、集積、報告を担当することを業務としており、アメリカの情報を担う機関として非常に重要な役割を果たしております。 NSAは中央情報局(CIA)と比較されることも多い組織で、重要な任務として核戦争に備えることがあり、 大統領などの指示が核戦争中でも確実に伝わるように通信系統を維持するための情報網やそれに付随する 業務にあたります。 それ以外でもNSAでは通信や暗号化に関する多くの業務を扱っております。 具体的には通信情報(音声会話、コンピュータデータ)における 受信・収集・監視(地上アンテナ、情報収集艦、空軍機、人工衛星、インターネット、その他) 分類・集積・配信(巨大データベース:エシュロン) エシュロンの開発、運用、管理などです。 また、通信情報収集の資産の管理等(アンテナ、情報ネットワーク)も重要な任務です。 外国暗号、解読・解析、暗号技術、開発、規制と管理 、盗聴、米国政府の秘密通信、暗号化機器とシステムの開発と維持、暗号認証提供、基準作成、外国のレーダーサイト配置図などの作成などになります。 当然ながらそれらには高い情報セキュリティの知識も必須となりますので、 NSAはCISSP取得者のみが業務にあたることができます。
導入事例の二点目がアメリカ国防総省(United States Department of Defense:DoD)となります。 DoDは通称ペンタゴンと呼ばれ陸軍、海軍、空軍、海兵隊、宇宙軍の5つの軍を管理しておりアメリカ官庁の中で最大規模の組織の一つで、CISSPの取得を必須としております。
導入事例の三点目はアメリカ合衆国退役軍人省(United States Department of Veterans Affairs:VA)です。 VAは退役軍人を管理する組織となりますが、CISSP取得のための費用を負担しております。

次にヨーロッパにおける(ISC)²の導入例について説明させていただきます。 イギリスの国家機関であるNARIC(National Academic Recognition Information Centre)では、 CISSP所得者は修士号と同等の価値としております。 NARICは世界中の学術、職業、専門資格に関する情報と専門家のガイダンスを提供している機関であり、国境を越えた教育や改善など英国政府に代わって公式の英国国家機関サービスを提供する組織です。 国際的な教育、トレーニング、スキル、およびグローバルに移植可能な資格の開発と承認におけるソリューションとサービスのゴールドスタンダードプロバイダーとして知られており、資格とスキル基準について国際的に信頼性と権威性をもつことで知られております。 このようなNARICがCISSP所得者は修士号と同等の価値として高い評価をしたことにより国際的な権威や信頼を裏付けたといってもいいでしょう。

次に企業における(ISC)²の導入例について説明させていただきます。 (ISC)²の資格は大手企業を始め、多くのIT企業で取得が推奨されている資格の一つと言えるでしょう。 その代表例はシスコシステムズ社です。 シスコシステムズ社では世界最大のコンピュータネットワーク機器開発会社として知られており、最も有名なサービスの一つがネットワーク機器となりますが、 セキュリティ、エンタープライズネットワーク、データベース、仮想化、サービスプロバイダなど 多くのテクノロジーを扱い世界トップクラスのサービスを展開しております。 シスコシステムズ社においては、700人以上のCISSP取得者を有しております。 また、(ISC)²におけるCISSP CBKのプラクティスを実践することで 自社のトレーニングや顧客に対しての価値提供など多くのメリットを享受しております。 具体的にはエンタープライズセキュリティの観点からセキュリティ問題を解決や、 安全な製品およびサービスであるという印象を与えることができているなどです。 以上が(ISC)²に関する導入事例の説明とさせていただきます。

CSSLPの注意点について

CSSLPの注意点について説明させていただきます。 CSSLPは現在、日本語の受検はありません。 試験は四者択一形式で行われるとはいえ、問題は英語で出題されるため 英語力は必須となりますので一定の英語力が必要となります。 (ISC)²の主催する資格では、CISSPは日本語・英語併記という形式で出題されますので、 英語力に不安がある方は事前に学習を行うといいでしょう。 (ISC)²のようにグローバルな資格の場合、英語力が問われるケースがほとんどですので、将来を見据えて準備しておくことを推奨します。

まとめ

いかがでしたでしょうか?CSSLPについて 詳しく解説させていただきましたので、参考にしてみてください。