株式会社インターネットイニシアティブ様　│　公式 CISSP CBKトレーニング
～経営視点で判断する力を身に着ける～

井本様）経済産業省の調査によると、2030年までに最大79万人のIT人材が不足されると予測されています。IIJとしても、ここ数年のビジネス成長と相まって、様々なレイヤのIT人材が十分ではないことも事実です。そこで、関連する部門で横断となり、業務別(お客様に対するアカウントマネジメント・ビジネス創出・プロジェクトマネジメント・注力領域/プロダクトに特化した専門性の強化など)に、内製での上位者伴走型の育成、社外の育成プログラム の活用を併用した形で人材育成を進めています。

担当する数多くの案件ではお客様側にセキュリティ部門が設置されていることが多く、検討フェーズからご相談をいただきます。お客様の課題や要件が明確になっていないケースも多くあり、お客様の課題を読み解き、解決へと導くことができるプリセールスとコンサルの中間のような役割を担うことができる人材の育成が急務と考えています。CISSPの受講などを通じてそのような人材を育成することにも取り組んでいます。

人材の流動性が高い現状を踏まえ、IIJ社員だけでなく業務委託パートナーに対しても研修機会を提供しており、研修は優秀な人材を獲得・定着させるための施策と位置づけています。優秀な人材が集まり、社内外のメンバーが同じプロジェクトの中で切磋琢磨することで、互いにスキルトランスファーが起こり、人材が育っていくという効果も生まれています。

井本様）すべてのものがネットワークにつながってくると、あらゆる領域でセキュリティを考慮する必要があり、「サービスプロバイダ事業」「サービスインテグレーション事業」いずれにおいてもセキュリティは非常に重要な要素となります。セキュリティを自社サービスおよびインテグレーションの提供価値とするため、様々な観点で育成を進めています。

CISSPはISC2が認定を行っている国際的に価値のある情報セキュリティ・プロフェッショナル認定資格であり、セキュリティアーキテクト全般やセキュリティ評価・運用に加え、組織ガバナンスやリスクマネジメントといった幅広い範囲をカバーしています。他の認定資格との決定的な違いは、単純にベストプラクティスを理解するという観点ではなく、シチュエーションに応じてどのような判断を行い・組織や利用者への適用を実践するかの比重が高い点であると理解しています。

CISSP認定資格は現場SE中心に取得するものと思われがちですが、事業者のセキュリティ部門のトップ、お客様のCISOクラスの方も多く保有しています。私はそのような方々と接する機会が多く、まずは私が取得することで、関連部門の多くのメンバの効率的な取得を進め、現場での実践機会を加速させたいと考え、今回御社のCISSP講座を受講しました。

CISSPは、単なる知識を問う「資格」とは異なり、ガバナンスからオペレーションまでを網羅し、経営・マネジメント・現場の各レベルで実践的な判断が求められます。非常に幅広い、体系的かつ実践的な内容で構成されているため、経営層～マネジメント～現場部門の具体的な実践につながるものが多いという印象は、CISSP認定資格を取得する前後で変わりません。そのため、あらゆるレイヤにおいて、日々実践していくべき情報セキュリティ、アーキテクトの理解、提供することだけなく、最適化すべきセキュリティ運用、そのすべてに適用できる講座であると捉えています。これまで、データを漏えいさせない「コンフィデンシャリティ（機密性）の確保」が重視されてきましたが、今後はデータの改ざんを防止する「インテグリティ（完全性）の維持」も大切になってくる中、CISSP認定資格によりカバーできるものは非常に多いと考えます。技術が変化しても変わらない「考え方」のフレームワークを学び、多様な場面で適切な「判断を下す能力」を養うことができます。「判断に必要な材料」を多く手に入れることができます。

樂満）私は2007年ごろからCISSPの講師として携わってきました。CISSPは5日間の集中講座になるため、講義においても大変な集中力が求められます。集中力が途切れないよう、あえてテキストを読み上げることはせずに、私自身の言葉で本質を解説することを心がけています。どの講義でもそうなのですが、「テキストを教える」のではなく、「テキストで教える」という姿勢を大事にしています。テキストを読み上げるだけならば、講師は必要ありません。学ぶべき点を抑えつつも、私の経験即から重要であることなども加味して理解が進むような工夫をしています。

CISSPには昔から変わらない要素と、時代の変化・テクノロジーの変化で変わっていく要素で構成されています。「職務の分離」「最小特権」「知る必要性（Need to know）」といったセキュリティの根底にある考え方は変わることなく、講義の中で触れ続けられています。

5日間の研修では、実務の中で必要となる「判断」に必要な考え方や知識を修得することができます。逆に具体的なコマンドや製品の設定方法等は講義に含まれない内容となっています。実務において様々な判断が必要となるマネジメントに携わる方はもちろんのこと、現場でセキュリティに関する実務に携わる方にもぜひ受講いただきたい講座になっています。実務担当者が早い段階(*)で経営視点をもって業務に従事できるようになることは有意義です。私自身も「実務で使える」ようになれるよう、教え方を工夫しています。

*ISC2では受講にあたって実務経験が5年以上あることを要件としています

井本様）樂満さんの講義は大変ユーモアに溢れ、いい意味で集中力が途切れず受講を終えることができました。

私個人はキャリアのスタートがセキュリティサービスの導入・運用業務であり、長年のマネジメント経験から、いわゆる情報セキュリティに広く関与する立場にあったため、CISSP認定資格との距離感が近かったのは事実です。

しかし、講座の受講スタート時において「試験対策講座ではなく、CISSP認定資格の知識体系を実践するためのものである」と講師の方が強調されていた点は非常に印象的でした。それもあり、講座の内容はテキストの内容だけをフラットに受講者にインプットするものではなく、最新のセキュリティアーキテクト・現場の判断として重要視すべきポイントに多くの時間を費やしていていました。講座は5日間と十分な時間はあるかと思われがちですが、CISSP CBK 8ドメインとしてカバーする範囲は多いため、この有限な時間を「選択と集中」をしながら講義されていたことも印象的でした。また、ブロードキャスト型では珍しく、時間を感じさせない臨場感もありました。

実際にCISSP認定資格を受験すると、ただの知識を問うものはほぼなく、経営層～マネジメント～現場部門が直面する「現場感」を問うものが大半であり、講師の方が講座で強調されていた意図が理解できるものとなりました。そのため、あらゆるレイヤの方にメリットがある講座であると言えます。