CISSPのCPEクレジットを効率的に貯める
よっしゃ!CISSP合格!からの、資格維持の旅へ出るあなたへ、(ISC)2のCPEクレジットを効率的に稼ぎ貯めていく方法をご紹介します。CPEを獲得するのにどのような活動をすれば良いのか迷っている方の参考になれば。
2024/07/12 一部コンテンツについて新規追加、追記しました。公式handbookが"earn CPE credits"と表現してましたので、サムネイルもHow to earn CPEs"にしてみました。
CISSPとは
CPEクレジットの貯め方を調べる方は既にご存じの通りかと思います。
8種から構成されるセキュリティドメイン(領域)が問われる資格であり、米国ではスタンダードな資格です。日本でも最近は取得者が増えているように見えます。より高度な案件や業務では、参画要件としてCISSPが書かれていることもあるほどです。
セキュリティに関連する業務に従事している方は、以下のドメインのどれかに触れているはずです。
セキュリティとリスクマネジメント
資産のセキュリティ
セキュリティアーキテクチャとエンジニアリング
通信とネットワークのセキュリティ
アイデンティティおよびアクセス管理
セキュリティの評価とテスト
セキュリティの運用
ソフトウェア開発セキュリティ
CISSPは年会費(通称AMF:125米ドル)を毎年支払うとともに、CPEクレジットを規定数貯める必要があります。CPEクレジットは上述した8ドメインに関連するセキュリティの活動をベースに貯めることができます。
CISSPについては受験資格はどなたにもありますが、合格後のメンバー認定にセキュリティ関連の業務経験が5年あることが条件となります。一定条件を満たせば4年に緩和されます。申請時に5年に満たない場合、アソシエイト(準会員)として登録を行うことも可能です。
CISSPのCPEクレジット
年会費を支払い正会員(メンバー)登録後、資格を維持し続けるためにCPEクレジットを3年間で120ポイント貯めなければなりません。
CISSPのAMF年会費払いを実施し、登録が完了した翌月からCPEクレジットが貯められるようになります。2024年3月に登録が完了した場合は2024年4月から2025年5月までの12か月間を3サイクル、1年間で40CPEを推奨とされ、3年間で計120CPEを獲得する必要があります。メンバーの登録はCPEを稼ぐお仕事の始まりだったりもします。
日本での知名度的に取得メンバーが多そうな、CC,CISSP,CCSP,アソシエイトメンバーの必要なCPEクレジット数は以下の通りです。複数資格を持っている場合は上位のCPE数を満たす必要があります。CCSP、CISSPの2資格の場合は120CPEを3年間で獲得していればどちらの資格も維持可能です。アソシエイト(Associate)メンバーに限り、毎年グループAの活動を15CPE記録する必要があります。
$$
\begin{array}{l:l:l:}
\textbf{認定} & \textbf{タイプ} & \textbf{年間推奨} & \textbf{3年間の合計} \\ \hline
\text{CC} & \text{グループA} & \text{15} & \text{45}\\
\text{} & \text{合計} & \textbf{15} & \textbf{45}\\ \hdashline
\text{CISSP} & \text{グループA} & \text{30} & \text{90} \\
\text{} & \text{グループA or B} & \text{10} & \text{30} \\
\text{} & \text{合計} & \textbf{40} & \textbf{120} \\ \hdashline
\text{CCSP} & \text{グループA} & \text{20} & \text{60} \\
\text{} & \text{グループA or B} & \text{10} & \text{30} \\
\text{} & \text{合計} & \textbf{30} & \textbf{90} \\ \hdashline
\text{Associate} & \text{グループA} & \textbf{15必須} & \text{n/a}
\end {array}
$$
CPEクレジットを集めきれなかったら…
3年間の有効期限内に120CPEの要件を満たせない場合、有効期限を過ぎた90日後には停止期間に入ります。後の2年間停止状態で要件を満たさなかった場合は失効状態となり、再度メンバー復帰を希望する際は「再試験の合格と、600米ドルの支払い」が必要となります。このような面倒とお金を回避することを避け、CISSPメンバーであり続けるためには、3年間で120CPEを獲得するサイクルが必須になるわけです。
(個人的には情報処理安全確保支援士よりも維持費と時間的コストパフォーマンスは良好で、いずれかを選べと言われたらCISSPの維持を選ぶ気がします。普段の学習や実務的観点からもCISSPのCPE獲得のほうが好きですね。所属組織がお金を負担してくれる間はどちらも持ち続けますが…。)
CPEクレジットを貯める方法(公式情報の整理)
(ISC)2が公式でCPE Handbookを公開しているので、CPEの獲得方法に悩んでいる方はまず目を通すのが良いでしょう。
CPEにはカテゴリとグループが存在します。カテゴリはトレーニングへの参加や本の執筆、業務経験、(ISC)2のイベントやアンケート配信に参加するなどをはじめ、様々なカテゴリ分けがされています。
活動のグループはグループAとグループBに分かれます。
グループAはサイバーセキュリティに直接的に関連する活動です。CISSPの資格でも登場するセキュリティドメインに関連していればグループAです。セキュリティに関連するトレーニングを受講した。セキュリティに関連する本やブログを執筆した。セキュリティに関連するウェビナーを受講した。などの活動が該当します。
グループBはサイバーセキュリティに直接関連しないものの、サイバーセキュリティに対応するプロフェッショナルとして能力向上に結び付くものが該当します。学習することで間接的にサイバーセキュリティ業務を遂行する上で何らかしらのメリットがあると述べられれば問題ないと言えます。セキュリティではない資格を取得するために参考書を読む。組織のマネージャとして活躍するためにマネジメントスキル向上を狙ったセミナーを受講した。などの活動が該当します。
グループAに獲得の制限はありませんが、グループBは3年間で30CPEまでの獲得制限があります。そのため、グループBを最大値まで獲得した場合は残り90CPEをグループAのサイバーセキュリティに関連する活動が必要となります。グループBの1年あたりの制限などはないようです。どれだけ活動してもグループBは3年間で30CPEまでの制限となるため、補助的な立ち位置として認識するのが良いでしょう。
長々と書きましたが、セキュリティに従事する方なら普段何気なくやっている活動もCPEの対象となりえるわけです。少しだけ意識は必要ですが、続けて読んでいただければ意外と大丈夫そうに思えてくるはずです。
CPEクレジットのエビデンスを残す
CPE Portalでのクレジット登録は簡単です。ただし登録に対する監査で対象外とされる可能性もあります。これは逆の意味で、正しい証跡、証拠として証明できる活動は認められ、CPEクレジットが稼ぎやすいとも言えます。本を読了したのであれば購入したレシート、Udemyを受講したのであればコース証明書(修了証明書)、セキュリティイベントに参加したのであれば参加時に発行された名札、メール、場合によってはイベント主催側が用意する参加証明書がエビデンスとして該当します。
CPE獲得のタイムスケジュールとクレジットロールオーバー
CPEを記録する活動が長期間に渡った場合、活動を終えたタイミングがCPEの獲得日となります。ここで注意すべきは3年間の認定期間(サイクル)を意識したCPEの記録です。
CPE Handbookに記載があるようにCPEクレジットロールオーバーを意識したCPEの記録を行うことで、3年間の次の認定期間に持ち越すことができるのです。この持ち越せるCPEはグループAの最大40CPEに限られ、グループBのCPEは持ち越せません。また次の認定期間に移る直近6か月に限られます。これを読んだ方はピンとくると思いますが、3年間のうち最後の1年間は「残り半年でCPEを登録する」ことによって翌認定期間を+40CPEの状態から始めることができます。更新とともにCPEを意識した行動を起こすなら、半年間に活動を増やすことで次の認定期間が楽にスタートできます。
何をすればCPEが貯められるのかを紹介
ここまで読んでみて難解なルールだ、CPE Handbookも分かりにくい、カテゴリと簡単な説明が書いているのみでいまいち理解できない。このような場合、下記に私のCPEクレジット獲得の事例を記載してみますので参考にどうぞ。似たような活動を行うことで悩まず120CPEを貯めることができるかもしれません。
01.A/B (ISC)2が開催するWebinars
およそ1か月に1回以上開催(追加)されているようです。視聴1時間あたり1CPEの獲得が可能です。視聴後に自動的にCPEが登録されます。
内容によってグループAまたはグループBのCPE付与となります。セキュリティに関連するウェビナーの場合はグループAのCPEに分類されるため、内容によって視聴を検討してもよいかもしれません。リアルタイムで見る必要はなく、録画されたオンデマンドのウェビナーを視聴することでも1CPE貰えます。
開催予定の案内はメール配信され、また(ISC)2のWebサイトのWebinarsからもアクセスできます。BrightTALKのアカウント作成が求められます。BrightTALKの仕様上、オンデマンドであっても早送りしたり飛ばしたりして見た場合は不正判定され「視聴完了」フラグにはならないようなのでご注意を。
02.A (ISC)2が開催する Chapter Meetings / Secure Events / Spotlight Events
稀にIn-Person(対面)開催もありますがお金が掛かり、東京開催は極めて少なく年1度開催されたら良い程度なので言及対象外とします。
Chapter、Secure EventsやSpotlight Eventsは(ISC)2が主催するサミット、カンファレンスのようなもので、バーチャル開催も多くあります。バーチャル開催は(ISC)2メンバーであれば基本的に無償で参加できます。参加した時間に応じてCPEが付与されます。
イベントによっては登録後、リアルタイムで参加せずとも、録画を視聴することでCPEが付与される開催形式もあるため見逃さず登録しておくのが良いでしょう。各セッション毎に付与されるCPEが個々に設定されているので、それほどCPEに貪欲でないのであれば興味のあるセッションだけ、Webinarsのように視聴するのも一つの手です。
(ISC)2のWebサイトのEventsからアクセスできます。バーチャル開催はVirtual Eventsから確認でき、過去の開催一覧は見えませんが、様々な開催予定が確認できますので、スケジュールと興味のある内容かどうか確認し、申し込み開始時には参加登録しておくと良いでしょう。
03.A (ISC)2が開催するクイズ Insights
以前はInfosecurity Professional Magazineと呼ばれていたようですが、現在は(ISC)2のニュースから配信される形となりました。どうやら2023年夏頃にリブランドしたようです。
クイズに合格するとグループAの2CPEが貰え、半月程度で自動的にCPEが付与されます。隔月で新規のクイズがリリースされており、過去12か月未満のクイズが回答可能な状態で公開されています。12か月過ぎると古いクイズは消えてしまいますので要注意。4択の10問中8問(80%)でPass判定となり、およそ30分程度あればPassできるかと思います。何度でも受験できますが、紹介されている記事内の内容の当たりを付けて見つけ読まなければ一発合格は難しいかもしれません。クイズの内容は何度間違えても同じ内容ですが、回答時にどの問題が正解/不正解だったのかまでは見ることができません。
(ISC)2のWebサイトのInsightsからアクセスできます。多くの記事が表示されるため、左ペインメニューのFilterから「Insights CPE Quiz」を選択するとクイズのみ表示できます。
04.A (ISC)2 Skill Builders
2023年頃に登場した新たなコンテンツのようです。CPEの更新が必要な(まさにこのNoteを読むような)CISSPメンバーであれば無料で受講可能です。各セキュリティドメイン毎に用意されており、1コンテンツあたり0.5から2CPEが獲得可能です。受講完了後に自動でCPEが付与されます。
(ISC)2のWebサイトのLearn new Skillメニュー(Skill Builders)からアクセスできます。興味のあるコンテンツがあるか眺めてみると良いでしょう。
05.B (ISC)2からのアンケート Survey
isc2.orgからのメールで依頼が来ます。件名に [〇CPEクレジット] 等の記載が入っているので、登録しているメールアドレスの受信ボックスを常々確認するようにしましょう。年数回程度送られてくるようです。回答後数週間でCPEが自動で付与されます。アンケートは英語だったり日本語だったりします。
2024年5月の「2024年サイバーセキュリティ人材に関するアンケート調査の実施」(日本語)ではグループB 1CPEクレジットが付与されました。
06.A 情報処理安全確保支援士のオンライン講習(1年に1度、毎年)
毎年恒例の20,000円講座ですね。多分行けると思います。修了証明書に時間はありませんが、IPAのWebサイトには標準学習時間が6時間と記載されています。修了証明書と併せて提出することで6CPEの対象とすることが可能です。CPEの申請時には修了証明書と一緒に上述のIPAのWebサイトに掲載されたPDFを一緒にエビデンスとし、6CPEにて登録すると良いでしょう。
カテゴリはCourses and Seminars - Otherを選択し申請しています。
07.A 情報処理安全確保支援士の実践講習 (3年に1度)
3年に一度は受けなければならない実践講習系列もCPEの活動に該当します。NICTのRPCIなどであれば事務局側が申請を代行してくれるようです。残念ながら私がRPCIを受講した際はまだCISSPを取得していなかったため、どの程度CPEが貰えるか不明ですが、おそらく6~8CPE程度が付与されるかと思います。
他実践講座も同様に開催時間で計算されるため、2日間の実践講座であれば時間×日数分の申請が可能です。(1エントリーあたり40CPEまでの制限に注意)
08.A SANSのサミット
グループAの無償CPE付与の中ではグッドパフォーマンスです。GIAC系資格を持っている人には有名かもしれません。SANSが定期的に開催する、無料で視聴可能なオンラインサミットで1時間1CPEが貰えます。開催は大体6-7時間程度のため、6CPEが付与されます。ありがたいことに、サミットの概要ページにSummit CPE Creditsと表記してくれているので貰えるCPEが分かりやすいです。SANSログイン後のAccount Profileに(ISC)2のMember IDを入力しておくことで視聴後自動的にCPEが付与されます。録画ではCPE付与はされず、ライブ配信をZoomで視聴した場合のみ対象となるようです。
いつ開催されるかはSANSのWebサイトから確認できます。悲しいことにアジア圏以外の開催だと時差の都合で夜中開催なので、東京開催などのAPAC表記がされたサミットを狙いましょう。オンラインサミット(Zoom)の視聴完了後、2-3日後に完了証明書(Certificate Of Completion)が確認できるようになるはずです。私は試しにEU-US時間のサミットに参加しましたが、夜中に数時間もライブ配信を見続けるのは辛いのでAPAC開催のものだけで良いでしょう。
日本地域向け開催としては、(ISC)2のSummit系イベントよりもSANSが回数的に優れているようにも思います。
09.A/B SANSのウェビナー
こちらも(ISC)2のウェビナーと同じように1時間あたり1CPEの申請が可能です。(ISC)2のウェビナーや、上述したSANSサミットとは異なり、CPEが自動的に追加されることはありませんので、自分自身で申請が必要となります。内容は様々で、技術的な話から、コミュニティな内容までウェビナーとして用意されています。基本的に字幕もなく、資料が用意されていない場合もあるので、興味を持ったコンテンツだけ視聴するのが良いでしょう。
SANSのウェビナーを視聴した際のCPE申請の手順例については本note記事の下部にて提示してみました。
10.A セキュリティに関するブログを書く
媒体は何でもよいですがCPE Handbookのプロフェッショナルブログに該当します。サイバーセキュリティのプロフェッショナル(専門家)のブログとなりますので、セキュリティ対策、解説、手法、マルウェアやフィッシングなどを詳細に書いているブログ記事であればCPEの申請は問題ないでしょう。
個人ブログで書けば著者として1件のカウントとなり、10CPE付与となります。最近は各企業でもエンジニアがブログを書ける機会も増えているので、著者名(共著名)で自身の名前が載るようであれば同じく申請対象となります。
11.A Hack the boxの有償会員ラボを攻略する
ペネトレーションスキルを学ぶためのプラットフォームとして有名なHack the boxも有償会員(VIPメンバー)であればCPE申請が可能であるとコミュニティヘルプにて紹介されています。個人での有償会員はVIP(月/14ドル)とVIP+(月/20ドル)がありますが、スキルアップも兼ねて本格的に取り組む方は、VIP+メンバーで多種多様なラボに挑戦してみるとCPEも大量に獲得できるかもしれません。
12.A 業務経験を登録する
グループAに関連するセキュリティの業務で、かつ「通常の業務外である独自性の高い取り組み」については最大10CPEまで申請することが可能です。250語(250単語で構成される文章)程度の英語でのレビュー文が必要になり、かつ監査対象となった際に、その業務についてどこかの記事やWebサイトに紹介されていない場合は説明してくれる第三者(例えば上司や同僚への確認)が必要になるかもしれません。
13.A/B 書籍のレビュー
セキュリティに関連する本であればグループAが5CPE付与されます。1年あたり1冊までの制限があると述べられている紹介を見かけましたが、2024年6月現在は該当するソースが見当たりませんでした。(もしかしたら2024年3月頃のCPE Handbookの改定で変更され、1年1冊の制限が撤廃されたんでしょうか?)
レビューには250語(250単語で構成される文章)程度の英語でのレビュー文が必要です。英語が苦手な人は内容を日本語で書き起こし、機械翻訳してもよいでしょう。購入したレシートや、図書館で借りたレシートなどがエビデンスとなります。
14.A/B Udemy
これは意外かもしれませんがUdemyも申請可能です。私の場合はUdemyの英語の語学講座について受講し、発行された修了証明書をグループBのCPEエビデンスとして提出しました。Udemyの修了証明書に記載された時間分申請ができるため、5時間の講座であれば5CPEの獲得となります。
え?語学(英語)でもCPE申請できるの?と驚くところですが、コミュニティでもモデレータの方がOKと仰っているのと、実際に私が申請してAcceptされ、CPE獲得できているので問題なさそうです。
グループA扱いとなるサイバーセキュリティに関するUdemy講座はそれ程多くなさそうですが、興味のある分野がUdemyの講座で提供されていたらチャンスです。キャンペーンで割引され安くなっている時の購入がお勧めです。
15.A セキュリティのPodcastsを聞く
Podcastsを聞くこともCPE申請の対象になります。海外では多くのセキュリティ関連のPodcastsがありますが、日本はそれ程多くなく片手で数えられる程です。例えば、セキュリティのアレも対象にできます。セキュリティトピックを扱いトークしているPodcastsなので大丈夫でしょう。ただし、仕様上視聴したとするエビデンスが公式的に残すことができないコンテンツになっています。海外の(ISC)2メンバーは「視聴した時に自分自身にメールを送り、それをエビデンスとしている、この方法で十年以上やってるよ」とコミュニティに書いている方もいましたので、私も申請のエビデンスとしては自分自身に送ったメールの画面を添付しています。自分に送るときには、視聴したタイトル、視聴したURL(私の場合Youtube MusicのURL)、視聴完了時のスクリーンショットを添付したメールを送っています。Podcastsはリストにまとめ、そのリストをもとに一括でCPE申請している方も海外には居るようでした。上述したメールの画面と一緒にリスト化し、エビデンスとすることで数か月分のPodcasts視聴履歴を申請することも検討してみてください。
サマリー
表にまとめてみるとこんな感じです。どなたでも、まとめて稼ぎやすいのは(ISC2)のサミット系やSANSのサミットでしょうか。本のレビュー、Udemyも比較的コスパは良いかと思います。今回はあまりお金を使わずに多くCPEを入手できる手段をご紹介しました。
サミットに年数回参加し、クイズやウェビナーを思い出したときに隙間時間でこなしながら、本のレビューやUdemyを申請すれば40CPE達成が見えてくるはずです。
自動で代理登録(自動)してくれるものは大体の目安です。
日頃の技術キャッチアップがCPEの対象にもなります。特にグループAの活動対象になりえるものは積極的に関与していきましょう。
$$
\begin{array}{l:l:l:}
\textbf{No} & \textbf{Title} & \textbf{CPEs} & \textbf{Free?} & \textbf{自動} & \textbf{活動後いつ記録されるか} \\ \hline
01 & \text{(ISC2) Webinars} & \text{1} & \text{Yes} & \text{Yes} & \text{1 Week} \\
02 & \text{(ISC2) Chapter Secure Spotlight} & \text{5-6} & \text{Yes} & \text{Yes} & \text{1-2 Weeks} \\
03 & \text{(ISC2) Insights} & \text{2} & \text{Yes} & \text{Yes} & \text{2 Weeks} \\
04 & \text{(ISC2) Skill Builders} & \text{0.5-} & \text{Yes} & \text{Yes} & \text{1 Month} \\
05 & \text{(ISC2) Survey} & \text{1} & \text{Yes} & \text{Yes} & \text{2-3 Weeks} \\ \hdashline
06 & \text{RISS Online Training} & \text{6} & \text{No} & \text{No} & \\
07 & \text{RISS Specific Training} & \text{-} & \text{No} & \text{No} & \\ \hdashline
08 & \text{SANS Summit} & \text{6-} & \text{Yes} & \text{Yes} & \text{2-3 Weeks} \\
09 & \text{SANS Webinars} & \text{1-} & \text{Yes} & \text{No} & \\ \hdashline
10 & \text{Write a blog} & \text{10} & \text{Yes} & \text{No} & \\
11 & \text{Hack the box} & \text{1-} & \text{No} & \text{No} & \\
12 & \text{Work experience} & \text{0.25-10} & \text{Yes} & \text{No} & \\
13 & \text{Book reviews} & \text{0.25-5} & \text{Yes} & \text{No} & \\
14 & \text{Udemy} & \text{0.25-} & \text{No} & \text{No} & \\
15 & \text{Listen podcasts} & \text{0.25-} & \text{No} & \text{No} & \\
\end {array}
$$
CPE申請の手順
一例としてSANS Webinarを視聴した時の(ISC)2 CPE申請の流れを記述しておきます。ウェビナー視聴後、SANSのアカウント画面からMy Webcastsにアクセスし、視聴したウェビナーの証明書を確認、PDFファイルをダウンロードしてきます。
ウェビナーの視聴、証明書の確認とダウンロードが完了したら、次は(ISC)2のCPE Portalへアクセスし申請を開始します。
先ほど取得した証明書の左下に記載された、視聴を完了した日(今回の例ではJul 12, 2024)を入力します。
今回はウェビナーの視聴となるため、Choose a category: Education を選択し、Chosen category: Educationでは Online webinars, podcasts and other online materials を選択します。
Details for Online webinars, podcasts and other online materials では複数の情報を入力する必要があります。
Titleではウェビナーのタイトルを入力します。
PresenterではウェビナーページのSpeakersに記載のある人名を入力します。Year Publishedは証明書またはウェビナーページに記載がある、ウェビナーが開催された年(例では2024)を入力します。
Creditsは証明書の一番左下に記載がある数字が対象となります。今回は約1時間のウェビナーであったため、記載の通り「1」を入力します。
最後にダウンロードした証明書のPDFファイルをUpload Filesし、Save & Continueを選択します。
今回は視聴した内容から「Security and Risk managements」と「Security Operation」が合致すると判断したため2つチェックしてSace & Continueを選択します。その後の最終確認画面で Submit CPE を選択で申請完了です。お疲れさまでした。
稀に監査対象となりうる可能性もあるため、すべてがスムーズにCPEに記録されるわけではありませんが、確率としてはだいぶ低いようです。監査対象になった時に備えてエビデンスはしっかり手元に保存しておきましょう。
ここまでお読みいただきありがとうございました。もしお役立てできる内容であった場合はスキ(ハート)を押して応援いただけると嬉しいです。
余談
X(旧Twitter)でリポストして頂くことで無償でお読み頂けます。課金して読んでいただくような内容ではありませんので、駄文を読み漁る知的好奇心の溢れた方はリポスト後にお付き合いください。
長々と書き留めましたが、要は私も忘れっぽいので忘れた時に自分の記事を見ればCISSPの資格保持のためにどんな活動をすればよいのか一目でわかるので便利、という意義だけで書き始めた記事です。時々サマリーを見返して今後のCPEプランを考えることとします。
ここから先は
この記事が気に入ったらサポートをしてみませんか?