社内でCISSP座談会をやってみました

こんにちは。マネージド&セキュリティサービス部セキュリティサービス部門の閏間です。総合リスクマネジメントサービス「WideAngle」のサービス企画を担当しています。

皆さんはCISSPという資格をご存じでしょうか。CISSPとはCertified Information Systems Security Professionalの略で、セキュリティに関する国際的な認定資格です。去る6月23日に社内でCISSP資格保有者による小さな座談会を開催したのですが、本記事では、開催するに至った経緯や、開催してみてどうだったかなどについて紹介したいと思います。

勉強会開催の狙いは、部署でセキュリティ学習の機運を高めること

私が所属している部署は、企業向けにセキュリティサービスを開発して提供することをミッションとしています。メンバーの役割は色々あるので、必ずしも全員がセキュリティに関する深い知識を求められるわけではありません。しかし、部署全体でセキュリティに関する知識やスキルをより高めることは、業務遂行にプラスになるだろうと以前から感じていました。

そしてそのような状況を作り出すことに少しでも貢献できたらと思い、あるとき思い立って、以下のメッセージをチーム内のチャットに投稿してみました。

対象の資格としてCISSPを選んだ理由は2つあります。

  1. CISSPは国際的な認定資格であり、セキュリティ分野を体系的に広くカバーしているため
  2. 私もCISSP資格保有者なので、勉強会の企画、運営だけでなく、情報を伝える面でも貢献できるため

投稿の結果は…"いいね"が複数ついたので、私の所属部署を対象に、勉強会を開催することを決意しました。

ちなみに開催を決意できた背景には、会社の自由な雰囲気というものがあります。NTT Comでは、ランチタイムの勉強会や、ときには夜間の勉強会など、有志による勉強会が盛んに行われています。このような状況は昨年私がNTT Comに中途入社して初めて知ったのですが、大企業なのにすごいと思った記憶があります。そうした光景を見て、自分もやっちゃえ、と思うことができました。

参加者の関心度を高めるために、身近な人による座談会形式にしました

メンバーのCISSPに対する認識や考え方は人それぞれです。CISSPに関心がなかったり、関心があっても取得するつもりはなかったり、取得したいと思っているけど時期は決めていなかったり…。そのため、各人のCISSPに対する気持ちが一段階上げられれば、という想いで準備を進めることにしました。

工夫した点として、勉強会の形式は職場の資格保有者による座談会形式としました。資格保有者にパネリストとして体験談を語ってもらった後、パネリスト同士で会話したり、参加者から質問を受け付けたりするスタイルです。

座談会形式にしようと思った理由は次の通りです。

ネット上には有益なCISSPの勉強法や受験体験記はたくさんあり、今でもどんどん増え続けています(私も受検の際はかたっぱしから記事を読みましたが、学習計画を考える上でとても参考になったので、大変ありがたかったです)。ですが、そうした記事はCISSPに対する関心が薄い人には読まれないかもしれません。

そこで、身近な人に直接体験談を語ってもらうことで、興味を持って聞いてもらえるのではないか?と考えました。幸い私の周囲にはCISSP資格保有者が何人もいまして、3名の方に声をかけたところ、全員が協力依頼に快く応じてくれました。

なお、座談会当日の進行がスムーズにいくよう、パネリストの皆さんとは一度だけ事前ミーティングを実施しました。

その場で、「メンバーのスキル底上げにつながることに貢献したい」「カジュアルな雰囲気で楽しい会にしたい」という想いをパネリストの方にしっかり伝え、協力をお願いしました(カジュアルな雰囲気にしたいので、当日は顔出しお願いします、とも!)。

あとは以下のようなお題でエピソードを用意しておくことをお願いし、当日に向けて資料準備などを進めました。

当日は有意義な情報交換が行われました

座談会はリモート会議(Teams)で実施し、参加者数は40人弱でした。

※NTT Comではリモートワーク実施率は80%を超えていますが、私の所属部署でも在宅で業務を行うことが多いため、今回の座談会に限らず、打ち合わせは基本的にはリモート会議で行っています。

アジェンダは以下の通りです。最初に私から簡単なCISSPの概要説明と、NTT ComのCISSP取得支援制度として受験費用や研修受講費に対する支援があることを紹介をしました。

そしてその後はメインである、パネリストによる体験談紹介です。体験談を語ってもらい、その後パネリスト同士で質問し合ったり、参加者からの質問やコメント(チャット or 音声)に答える形で進行させました。

なお、全員の体験談の紹介が終わった後に自由に質疑する時間をとりたかったのですが、体験談パートが盛り上がったため時間不足となり、残念ながら質疑パートはなしとなってしまいました。

パネリストとして当部署の事業の責任者の方にも参加してもらいましたが、その方からはNTT ComとCISSPの関わりについての昔話も聞けて興味深かったです。ISC2(CISSPの運営団体)の日本でのサービス開始は2004年ですが、そこにNTT Comが関わっており、関係したメンバーは必須に近い形でCISSPをとる必要があったそうです。

また、参加者からは、CISSP合格後の資格維持に必要となる継続教育(CPE;Continuing Professional Educationsと呼ばれています)について、どのようなことを行っているかとか、大変さなどについて、前のめりな質問ももらいました。

他にもパネリストの体験談や参加者からの質問はいろいろありました。主なものをご紹介します。

パネリストの体験談やアドバイス

  • お客さまがCISSP資格保有者の場合にも対等な立場でディスカッションできるように、というのも取得を目指したひとつのきっかけ。
  • 名刺にCISSPと記載されているだけで、とくに欧米のビジネスパーソンとは信頼関係を固く結べる。
  • 公式問題集を繰り返し解くのが合格の近道。ただし問題と解答を覚えるのではなく、「なぜその解答が正しいのか」を理解するのが重要。
  • 公式問題集を繰り返し解くには、Ankiというアプリを利用するのがお勧め(英単語の単語帳のような使い方ができるアプリで、忘却曲線に基づいて出題頻度を管理できる、暗記に適したツール)。
  • 将来セキュリティ関連の業務を離れたとしても、形として残すことができるので資格取得するのはお勧めできる。
  • 資格取得したことで自信がついた。その一方で専門家として見られるので、日々勉強しようという気持ちになる。

参加者からの質問やコメント

  • CompTIA Security+との難易度の差は?
  • 知識のアップデートは大事ですね。
  • Ankiや学習方法など、大変勉強になった。

※ちなみにAnkiについては、座談会後に実際に使い始めた方もいます。

以上のように、座談会当日は活発な情報交換がなされ、とても有意義な会となりました。うれしいことに、座談会で交わされた話に触発されて学習にとりかかった、という方もいます。また、会社とCISSPの関わりの歴史を知れたとか、業務上関わりの薄かった人と準備を通して接することができたといった、企画側にとってうれしいこともありました。このように、座談会を開催したことは、参加者、企画側の双方に有益なものとなりました。

まとめ

社内で開催したCISSP座談会について、開催の経緯や、開催することで参加者、企画側の双方にメリットがあったということを紹介しました。一度座談会をやったくらいで何かが大きく変わることはないと思いますが、CISSP取得を目指す人が少しでも増えたらうれしいです。今後も継続的にこういった活動を行い、所属部署を盛り上げることに少しでも貢献できればと考えています。

© NTT Communications Corporation 2014