CISSP

2024年1月21日にCISSP試験に合格したので受験記というものを書いてみます。何番煎じか分かりませんが、最新の情報がほしい方へ参考になれば幸いです。 CISSP試験について 前提 試験対策 勉強の記録 試験当日 過去の私へ(未来の受験者へ) 終わりに 余談 CISSP試験について CISSP試験はISC2という情報セキュリティプロフェッショナルの育成を資格制度を通して応援している団体が提供する試験のうちの1種です。国際的に認められている情報セキュリティ資格で、競争入札案件においては情報処理安全確保支援士に並んで応募要件の1つとなっていたりする場合もあるようです。 試験内容は2024年1月現…

はじめに 2022年4月18日にCISSP資格を取得しました。 この資格は、情報セキュリティの分野での専門知識と経験を証明するものです。 目標は、2025年3月末までに追加で89CPEを獲得し、合計で120CPE以上を達成することです。 現状のペースでは達成できないので今後のアクションプランを考えて見ました。 今後のアクションプラン 1. Webinarsの視聴 定期的なWebinarの視聴を通じて、最新のセキュリティトレンドや技術について学びます。これらのセッションは、業界の変化を理解し、専門知識を広げる絶好の機会です。 頻度: 毎月1回 予想CPE: 約15 2. Security Con…

情報セキュリティのコントロールの３つの種類に関する問題です。この話はドメイン1に書かれるべきだと思うのですが、データセキュリティと絡めてドメイン2に書かれています。 管理コントロール(Administrative Control)は何を使用して組織の資産を守りますか？ a. 物理的なアクセス制御 b. ポリシー c. 情報の分類 d. コンピュータの機能と自動化 正解：b. ポリシー 正答が正しい理由 管理コントロールは組織のメンバーが従うべきポリシーやそれに紐づく規則を使って資産の保護を行います。 他の選択肢が間違っている理由 a. 物理的なアクセス制御：管理コントロールからの要請で物理的な…

ドメイン3からASLRの効果に関する問題を出題します。 攻撃者が自身のテストマシンで成功した悪用コードを対象システムで実行する際のASLR(Address Space Layout Randomization)の影響は何ですか？ a. 悪用コードが失敗する可能性が高まる b. セキュリティポリシーが無効になる c. ファイアウォールが遮断する d. ユーザーアカウントがロックアウトされる 正解：a 悪用コードが失敗する可能性が高まる 正答が正しい理由 ASLRによってメモリアドレスがランダム化されるため、攻撃者が特定のアドレスに依存することが難しくなり、悪用コードが他のシステムで失敗する可能性…

アドベントカレンダーはクリスマスまでのものですが、このシリーズは12月28日までは続けようと思います。 ドメイン1からの出題です。リスクが識別されて分析・評価された後に組織としての対応を決める必要があります。このリスク対応に関する問題です。 特定のリスクを取り除くために、そのリスクを引き起こす活動や技術を停止または取り除く戦略は何ですか？ a. 回避する b. 緩和する c. 転送する d. 受け入れる 正解：a 回避する 正答が正しい理由 リスク回避は、特定のリスクを完全に排除するために、リスクを引き起こす活動や技術を停止または取り除く戦略です。 他の選択肢が間違っている理由 b. リスク緩…

ドメイン7はセキュリティ運用に関するドメインです。すでにそれ以前のドメインで紹介されているセキュリティの概念やシステムを現場で運用する方法を述べています。パッチもドメイン3やドメイン6ですでに部分的に述べられています。ドメイン7では脆弱性管理と関連してパッチ管理について述べられています。 情報セキュリティにおいてパッチ管理プロセスが重要な理由は何でしょうか？ a. システムの性能向上を図るために必要なプロセスである。 b. セキュリティポリシーの策定を支援するための手段である。 c. 特定の脆弱性や問題に対処し、セキュリティを維持するための手法である。 d. インシデント対応の一環として必要な…

みなさん、はじめまして。セキュリティチームの岡地です。もともとはSierでインフラを担当し、セキュリティ製品ベンダーでの技術職を経て、企業内のセキュリティ担当として働いています。ウェルスナビには昨年12月にへジョインし、セキュリティアラート監視、脆弱性管理、インシデント対応等を担当しています。 本記事では、当社で今年から始めたセキュリティレポートの取り組みをテーマにお送りします。 地味なテーマで恐縮ですが、同じ立場でお仕事をされている方の参考になれば嬉しいです。 ここでいうセキュリティレポートとは？ セキュリティレポートと聞いてどういったものを連想されるでしょうか？ 公的機関から発行される、最…

サイバーセキュリティチームでマネージャーをしている岡地と申します。本記事では、いま話題（！？）の脅威モデリングを参考に実施した、社内のセキュリティリスク分析について紹介させて頂きます。 サイバーセキュリティチームについて 私は2022年12月にウェルスナビにジョインし、2023年はコーポレートIT部門でセキュリティ担当として従事してきました。2024年1月からサイバーセキュリティチームとして独立し、チーム戦略の策定から始めているのですが、その中で改めて感じたのが、自社のリスク認識の解像度が不十分だということです。別の表現でいうと、自社のセキュリティのカタチがいまいちわからない状態でした。 この…

はじめに こんにちは、教育ソリューション担当の吉浦です。 2024年3月にOffSec社のOSCPを取得したので、合格までの記録を書きたいと思います。 目次 はじめに 目次 OSCPとは？ OSCP試験 試験スケジュール 合格基準とボーナスポイント 学習について 取得のきっかけ 学習開始時点のスキルレベル 学習コンテンツ① TRAINING MATERIAL 学習コンテンツ② CHALLENGE LABS その他 試験について 試験準備 実技試験 レポート 試験結果 感想 おわりに OSCPとは？ OSCP (OffSec Certified Professional) とは、OffSec社が…

＜パスワードレスとFIDO2＞パスワードが無くなる未来はくるか？1/2 さて本日はパスワードが無くなる未来はくるか？という観点の第一部として、「FIDO2」に関連したお話をしていきたいと思います。IPA、CISSP試験の観点ではあまり時間を割いても・・・という感じなので、実務的な観点で参考になれば幸いです！ いきなりですが、 FIDO2 よく聞きますよね？笑 僕は仕事柄、非常に良く聞くワードになっており、セキュリティに携わる方は同じ感じではないでしょうか(^^♪ 安全性の向上はもちろんですが、それと同じく利便性の向上も大変重要であるため、FIDO2は見過ごせない技術と言えるでしょう。ではまず、…

ITの安全・安心を支えるセキュリティの番人 情報システムや組織に対する脅威や脆弱性を評価し，技術面・管理面での有効な対策を遂行できるセキュリティエンジニアや情報システム管理者を目指す方に最適です。情報セキュリティの重要性はますます高まっており，いま最も旬なエンジニアです。 国家資格 公的資格 民間資格 業務独占 名称独占 必置 // 0.01 ? 1 : 0"}, "align": {"value": "center"}, "baseline": {"value": "middle"}, "fontWeight": {"value": "bold"}, "fill": {"value": co…

視聴動画 これからの3年間を考えたときに、CISOが行うべき事は何か 獲得CPE 1.5CPE 内容 生成AIの動向とセキュリティへの影響 ～大衆化する専門性への懸念と期待～ Preferred Networks 高橋 正和, CISSP ChatGPTをはじめとした生成AIが活発に利用され、セキュリティ領域においても、攻撃者が生成AIを悪用することに伴う新たなリスクの発現、既存リスクの拡大や深刻化が懸念されています。 本講演では、まず、生成AIの概要として、構成や構造、ブレークスルーがどこにあるかを解説します。また、生成AIに伴う脅威については、CSAやOWASPが公表した資料を考察し、生成…

ITP1(合計:66h 今月:13h) 期末の課題をやって提出した Midterm の課題の採点が返ってきた 色々突っ込みどころがあるが多分採点も学生だろうしまあ、みたいな気持ちでいる 例えば2D ゲームのキャラクターが崖の際まで行けすぎる、という理由で減点されていた 際まで行けないようにしたらまだ落ちてないのに落ちた、で減点されるじゃないのか first class かどうか的にはどうでもいいラインだと思うので気にしないことにした これを踏まえて final の課題を手直しするかどうかは悩み中 CM1(合計:141h 今月:41h) 期末テストの準備のために過去問を片っ端から解いてたら Mi…

昨年の目標設定はこちら www.tsubock-lab.xyz もう2024年も２ヶ月が過ぎようとしておりますが、 今年の目標設定記事を書いていなかったので目標設定をしておきたいと思います。 今年の大項目は セキュリティのスキルアップ クラウド／コンテナ周りのスキルアップ 語学スキルアップ 発信／コミュニティ活動活動 についてです。それぞれ目標設定していきます。 セキュリティのスキルアップ・証明 CISSP RISS(情報処理安全確保支援士) SANS取得（GCIH or GOSI or GCTI） CCSP CISSPは今まさに挑戦してて2/27に受けて落ちちゃいました。。。 リテイクキャン…

きりんです。 2024年にAWS 12冠しました！！ 2020年10月からAWS試験を取り組み、3年半でなんとか完走しました。 そこで、本記事では、AWS 12冠の感想と各試験の総評をご紹介したいと思います。 ◆感想 ・圧倒的な達成感（もう試験受けなくていいんだ）と更新どうしようの絶望感。 ・入社当初は資格なんて...だけど今は資格が評価されてきている模様。 ・2024 Japan AWS All Certifications Engineers に間に合って良かった。 aws.amazon.com ◆各試験の総評 ここからは、各試験の総評を、基礎知識量、専門知識量、文章読解力、準備期間、回答…

はじめに 必要なスキルセット 必要な資格 まとめ 補足セクション: 学習リソースとコミュニティ 終わりに はじめに このブログでは、ネットワークとオペレーションの専門知識を基に、クラウド技術を駆使したアーキテクトを目指す。 NW・OP・アーキテクトに必要なスキルセットとそのスキルを身につけるために推奨される資格取得のタイミングについて掘り下げてみる。 特に、Google Cloudをはじめとするクラウドプラットフォームに焦点を当て、それらの環境で必要とされる技術的能力に光を当ててみる。 必要なスキルセット ネットワークの基礎 ネットワーキングの原則、プロトコル、技術に関する深い理解。 システム…

CPE取得のため毎週1本ずつbrighttalkで動画を視聴しています。 今週はこれ 事前登録が600名くらいとのこと。 今後も幅広く興味のままに毎週視聴を続けていきたいと思います。 ※動画は90分ですが、1.5倍速で見てもCPEは取得可能であることを 別動画で確認済みです。 www.brighttalk.com ChatGPTをはじめとした生成AIが活発に利用され、セキュリティ領域においても、攻撃者が生成AIを悪用することに伴う新たなリスクの発現、既存リスクの拡大や深刻化が懸念されています。 本講演では、まず、生成AIの概要として、構成や構造、ブレークスルーがどこにあるかを解説します。また、…

6 minites english https://www.bbc.co.uk/learningenglish/english/features/6-minute-english もうリスニングの勉強何したら伸びるのかわからん ITP1(合計:53h 今月:16h) 授業全部終わったのでずっとリファクタリングをしている JavaScript の function Class(x) { this.x = x; } みたいのを学んだ クラス構文じゃだめなんかなとかそういうことを考えていた CM1(合計:100h 今月:23h) 行列はあんまやった記憶がないのでふつうにおもしろかった homogen…

Project Management Professional (PMP®)に一発合格しました Project Management Professional (PMP®)とは 受験のきっかけ 結果 試験前の知識レベルについて 勉強方法 使用した教材 使用しなかった教材 金額 受験方法 受験申請・会員登録・試験予約 受験 結果・さいごに Project Management Professional (PMP®)とは PMP® とは、PMI 本部が認定しているプロジェクトマネジメントに関する国際資格です。 PMP® 試験は、受験者のプロジェクトマネジメントに関する経験、教育、知識を測り、プロフ…