カテゴリー: CISSP

CISSPのCPEを稼ぐ – InfoSecurity Professional Magazineが無くなったので ISC2 Insightsに挑戦(2CPE)

CISSP のCPEを稼ぐために必須と言っても良い InfoSecurity Professional Magazineでしたが、1年くらい前に無くなってしましいました。

そこで代わりとして提供されている?ISC2 Insightsに挑戦してみました。

ただ、そこへのアクセスが非常にわかりづらい為、アクセス方法も併せて記載しておきます。

1.ISC2 Insightsへのアクセス方法

ISC2にログインした後、ページ上部の「Members」から「CPE Opportunities」を選択すると「CPE Opportunities」のページが表示されます。

その「CPE Opportunities」のページを一番下までスクロールすると、以下のとおり、「Top 10 CPE Credit Tips to Maintain Your Certification」のリンクが表示されます。

「CPE Opportunities」のページ(ISC2)

ちょっと面倒なので直リンクも貼っておきます。

Top 10 CPE Credit Tips to Maintain Your Certification
https://www.isc2.org/Insights/2024/03/Top-10-CPE-Credit-Tips-to-Maintain-Your-Certification

上記のページの中から「Insights Quizzes」をクリックすることで ISC2 Insights にアクセス可能です。
こちらについても直リンクを合わせて貼っておきます。

ISC2 Insights
https://www.isc2.org/Insights?PROD_ISC2_V10_DATE_SORT_DESC%5BrefinementList%5D%5BgenericType%5D%5B0%5D=Insights%20CPE%20Quiz

2.Quizの回答方法

ISC2 Insightsのページから Quizに回答する問題を選択すると、以下のようなページが表示されますので、下部の「Start Quiz」を選択して Quizを開始します。

Quizの例(ISC2)

Quizは全部で10問ありますが、8問以上正解すると合格になります。

なおQuizの回答はすべて上図の赤枠で囲ったリンク先のページに書かれていますので、効率よく調べていきましょう。

3.CPEが加算されていることを確認

1週間くらいしたらCPEが2ポイント追加されていることが確認できました。

ISC2 – CPE加算結果

CISSP の CPE を稼ぐ(2023〜2024)自分のセキュリティブログを申請したら簡単に10ポイントゲットできました

2023年にはいってから、それまでISC2のサイトで提供されていた Professional Magazine が News and Insights に変わってしまい、CPE ポイントを稼ぎづらくなってしまいました。(ここは個人的な感想ですが。)

その為、約1時間の視聴で1ポイント稼げる Webinarsを頼りにしてきましたが、インターネットを調べていると、自分が書いたセキュリティ関連のブログでも申請できる(しかも10ポイント!)ようなので、さっそくこのサイトで書いたブログについて申請してみました。

1.申請カテゴリの選択

ISC2のサイトにログイン後、CPE の申請画面から該当するブログの作成日付を選びます。

すると次に申請カテゴリを登録する画面が表示されますので、赤枠で囲った通り申請しました。

ISC2 – Add New CPE – Category

2.ブログ情報の詳細入力

1.で「Writing, Researching, Publishing」を選択し、下にスクロールするとタイトルなどを入れるフィールドが出てきますので、1つ1つ入れていきます。

なお、Publisher の部分は個人ブログなのでどう書こうかすこし悩みましたが、インターネットの情報を参考にして、ブログのURLを記載しておきました。
Credits の部分は、もちろん10ポイントにしました!

ISC2 – Add New CPE – Details

その後はいつも通り Domain を適当に選んで申請しました。

3.無事申請が受付られました

申請するとすぐに以下の赤枠のとおり通り受け付けられました。
残り3ヶ月で13ポイントくらい稼がないといけなかったので、この10ポイントは大きいですね。

ISC2 – CPE List

<参考サイト>

・ブログ記事を書いてCPEを申請する(晴耕雨読)https://tex2e.github.io/blog/security/cpe-credit-blo

InfoSecurity Professional Magazineクイズを回答しても自動登録されなくなっていた件

今年の10月くらいにアーカイブされたInfoSecurity Professional Magazineのクイズを実施したところ、CPE ポイントがいくら待っても自動登録されませんでした。

そこでISC2に問い合わせをおこなったところ、以下の通り回答があり、最新号以外は自動登録されなくなっているようです。

恐縮ではございますがシステムの変更により、
過去のInfoSecurity Professional MagazineクイズのCPEは自動で
登録されなくなり、最新号のみ自動的に付与されます。
ご自身で登録される際は、Online webinars, podcasts and other online materials
をご選択いただくと良いと思います。

最新版のInfoSecurity Professional QuizによるCPE付与については
数週間ほどで反映されるかと存じます。

もし最近、過去のInfoSecurity Professional Magazineクイズを実施してCPEポイントが付与されているか確認していない人は、一度チェックしてみた方が良いと思います。

CISSPのCPEを稼ぐ為にInfoSecurity Professional Magazine May-June 2022を読んでクイズに挑戦

CISSP のCPEを稼ぐために必須と言っても良い InfoSecurity Professional Magazine。

今回、May/June 2022を読んでクイズに答えてみたので、その時の記録を残しておきます。

あいからわずこのMagazineの中では見慣れない単語や聞き慣れない表現がたくさん使われていて、むずいです。

FIELD NOTE

今年の(ISC)2 Security Congress 2022はVegas and Virtualと書かれており、ここにクイズのヒント(というか答え)が隠されています。

October 10-12ってもうすぐですね。お金の時間があればいってみたいですが。

MEMBER’S CORNER

MFA(Multi-Factor Authentication)の話が熱く語られています。

どうやらメインのお話は、in BとB to CにおけるMFAの適用意識の違いに関することのようですね。

そう言われると、B to Cの対顧客についてはかなり前からMFAが利用されていますが、in Bについては最近ようやくゼロトラスト なんかで従業員へのMFAの適用が促進されつつある感じがしますね。

THE PASS LESS TAKEN

今回の雑誌では女性がかっこよく写っている写真が多いですね。

ここに登場する女性は元フィルムメーカー(Film-maker)で働いていた人らしく、CISSP を取得した後にセキュリティの会社を立ち上げた話かなと思われます。

その時に以前(フィルムメーカー?)でのInternational business experienceが役にたったとかなんとか。

HIDDEN GIGS AMONG US

どうやら副業に関するお話のようです。

副業において社員が責任を持たなければいけないことや、会社との契約に違反しないように注意しなければならないことなどがかかれていると思われます。

日本では最近、副業が流行りじめていますが、海外でも同じ流れのようですね。
これもコロナの影響でしょうか?

MANAGING DIFFICULT EMPLOYEES

序盤では、そもそも論として、社員を雇うときにスキルセット以外も確認しないという話が書かれています。

たとえば、
・relationship management skills
・self-awareness
・social awareness
・empathy
・altruism
・amenable personality
など。

なんか後半に行くほど見慣れない単語になっていますが、
・empathy(共感、感情移入)
・altruism /ǽltruìzm/(利他主義)
・amenable /əmíːnəbəl/ (素直に従う、従順な)
という意味らしいです。

OFFICE HOURS

従業員を教育するときに注意することが大きく3点書かれているようです。
これをちゃんと押さえておけば答えられるクイズがあります。

この中で個人的には最初の「Tip 1: Ask yourself: What’s the end-
game?」の”end-game”がどういう意味だろうと気になりました。

そこで調べてみたところ、どうやら”end-game”とは、「ゲームの終わり」ではなくチェスなどでいう「終盤戦」という意味のようです。

従業員を教育するときに、最終的にどういう方向にもっていきたいか考えましょう、といってるんじゃないかと思いました。

終わりに

いやー、今回もなかなか難しかったですが、9割正解となり無事クリアしました・・・。

ということは私はどこか1つ勘違いしているようなので、鵜呑みにしないようにお願いします。

CISSPのCPEを稼ぐ為にInfoSecurity Professional Magazine Jan-Feb 2022を読んでクイズに挑戦

CISSP のCPEを稼ぐために必須と言っても良い InfoSecurity Professional Magazine。

今回、January/February 2022を読んでクイズに答えてみたので、その時の記録を残しておきます。

この雑誌は英語で書かれているのですが、やたらと難しい英語が使われていていつも簡単にはいきません。でもCPE 2ポイントは魅力的なんですよね。

EXECUTIVE LETTER

タイトルが「Nudging the Snowball」となっていますが、いきなりわかりません。

nudgeは「肘でかるくつつく、押す」という意味らしいので、「雪玉を軽く押す」という意味っぽいですが、それでもよくわかりません。

どうやらここでは、サイバーセキュリティ人材のretention(保持)が課題となっているようで、そのためには新人研修(onboarding)が重要ということらしいです。

FIELD NOTES

タイトルが「New Entry-Level Certification to Remove Experience Barrie」となっており、「新しいエントリーレベルの認定」について書かれているようです。

新しい参加者(entrants)のために敷居を下げよう、という話だと思います。

「workforce gap(労働力のギャップ?)」への対応計画がクイズの対象になっていますが、計画が多い順にかかれておらず、若干、ひっかけになっています。

MEMBER’S CORNER

タイトルは「Looking to Expand the Team? Consider Hiring a Military Veteran」となっており、そのままクイズに直結しています。あとはどんなスキルの人かですね。

しかし、military musicians が出てきた時はなにそれ?とおもいましたが、どうやら「軍の音楽隊」のことを指しているようですね。

HELP WANTED

タイトルは「They Can Code, But Can They Also Collaborate?」正直、これだけだと意味がわかりません。

ここに関するクイズもありましたが、少し難易度が高かったです。

Trusting Others To Manage Your Security

今回のメイン記事の1つです。

当然、ここに関するクイズがいくつかありますが、結構記事が長いので今回最大の難問ではないでしょうか?

その答えについてですが、個人的には、それはそうだよねーという少し残念な感じを受けました。

日本でも形式上?確認はしていると思いますが、海外では日本以上にアナリストレポートを重要視する傾向があるのかもしれませんね。

CONDUCTING AMAZON WEB SERVICES PEN TESTS

今回のメイン記事の2つ目です。

記事の最初の方で、最近AWSではペネトレーションテストを実施する際に事前通知が必要になったことが触れられています。

ここはクイズにもなっていますが、私の英語力では表現が微妙で意味がつかみづらく、答えに迷いました。

またこの中ではペネトレーションツールが4つくらい紹介されていました。

実際、こういったツール使ってみたいんですが、気軽に使える対象がなくていつもやらずに終わってしまうんですよね。

NO ONE SAID IT WAS EASY

メイン記事の3つ目。いろんな団体(NISTなど)から様々なアセスメントツールがでていますが、そのすべてにしたがってもカバーしきれない Intrusion vectors (侵入の方向?)があるという、すこし衝撃的な内容です。

なおこの記事を書いた人のお気に入りの言葉は、

“Why bother to lock the doors if you’ve left the windows open?”

らしいです。私の田舎ではよくある光景ですが。

OFFICE HOURS

タイトルは「Here’s to the Futures」。

記事が短く、クイズに関連する言葉が太文字で書かれているので、あまりこだわらなければ簡単に答えられるところになってますね。

今回は以上で終わりになります。

このInfoSecurity Professional Magazineは CPEが稼げて、かつ英語の勉強にもなるので、今後も積極的に活用していければと思っています。

BrightTALKのアカウントにISC2のメンバーIDを紐づける

前回のブログでお伝えしたように、初回作成した私のBrightTalkにはCISSPのメンバーIDが紐づいておらず、ISC2のWebinarを見ても自動的にCPEが付与されない状態でした。

http://k2-ornata.com/isc2_cpe_auto-grant/

そこで、一度既存のアカウントを削除して、もう一度作成しなおしてみることにしました。
その際に、削除と再作成にはすこしコツ(というかISC2 メンバーIDを登録できる方法とできない方法がある)が必要でしたので、今回ご紹介しておきます。

1.BrightTalk のアカウント削除方法

まずはすでに作成されているアカウントを削除します。
BrightTalk に既存のアカウントでログインし、いきなり削除しようとしたところ、以下のとおりサブスクライブしているチャンネルをすべて削除しないと消せないと言われました。

そこで以下の手順で削除します。

1-1.My channelsからチャンネルをすべて削除

以下の画面のMy channelsをクリックし、右側の画面にサブスクライブしているチャンネルが表示された場合、それらを全て削除します。

1-2.My ProfileからDeleteを選択

次に、上の画面の[Edit profile]をクリックすると、自分のプロファイルを編集する画面が表示されますので、そこから「Delete me from BrightTALK」を選択します。

すると今度は[Delete]ボタンがアクティブになっていますので、[Delete]を押してアカウントを削除します。

【注意】
Deleteすると、当然ですが、それまでのWebinarの閲覧履歴や証明書は全て削除されます。

2.BrightTalkへのISC2 Member ID紐付け

BrightTALK にアカウントを新規登録する方法としては、

1.BrightTALK のホームページからアカウントを登録
2.ISC2のサイトからWebinarに初回参加する際にアカウントを登録

の2つがありますが、1.の場合、ISC2 Member IDを入力するフィールドが現れません。(おそらく初回私はこちらの方法を取ったと思われます。)

したがって、2.の方法でアカウントを登録する必要があります。

2-1. ISC2のサイトから視聴したいWebinarを選択

ISC2のサイトから以下のように[Attend]を押してWebinarに参加します。

2-2. 登録画面からISC Member IDなどを登録

すると、以下のように最初の登録画面が表示されますが、ここではまだISC2 Member IDを登録するフィールドは出てきません。

すべてのフィールドを入力し、[Proceed]を押すと、次にようやくISC2のメンバーかどうか聞かれ、Member IDを入力するフィールドが表示されます。

以上の処理を行っておけば、今後、視聴したWebinarに対して、自動的にCPEが付与されるようになっているはずです。

ISC2のWebinarでCISSPのCPEが自動的につかない場合の対処方法

ISC2にログインし、Webinarを視聴したのにCPEポイントがつかないという状況になったことはないでしょうか?
私がその状況になっており、理由をISC2に確認してみましたので、その内容をここに記載しておきます。

2サイトへのISC2 IDの紐付けをしておこう!

ISC2に確認したところ、(ISC)² BrightTalk / Blue Sky channelsの両方に自分のISC2 IDが紐付けておく必要があるとのことです。具体的には以下の通りです。

1.「CPE Opportunities」のWebinarsを視聴する場合

BrightTalkのアカウントにISC2 IDの紐付けが必要

私の場合、以下のサイトからWebinarを視聴したときにCPEが自動付与されない状況になっています。

こちらの場合、一見、ISC2のサイト自身がWebinarを提供しているように見えますが、実際は、ISC2 BrightTalk というサイトに自動的にログインし、そこで視聴していることになっているようです。

したがって、BrightTalkのアカウントに自身のISC2 IDが紐づけられている必要があります。

BrightTalkログイン画面
https://www.brighttalk.com/login/

そこで、自身のプロファイルをBrightTalkで確認してみることにしました。

しかし、ISC2 IDを入力できそうなところが見つかりません。そこでもう一度、この状況をISC2に確認してみたところ、以下の説明が返ってきました。

When you created the Bright Talk account and watched the first (ISC)2 webinar, there should be a field to submit your (ISC)2 ID. If you miss the stage, unfortunately, it is not showing any more from the second time. This should be submitted for each (ISC)2 channels at the first time when you watch the (ISC)2 webinar. If you would like to link your (ISC)2 ID to your Bright Talk account, you would need to delete the account and re-register your (ISC)2 IDs per each (ISC)2 channels. Kindly remind that you should keep the certificate and submit CPEs manually before you delete the Bright Talk account.

(ISC)², Inc.

どうも、Bright Talkに初回アカウント登録した時はISC2 IDを入力するフィールドが表示されるけど、後からは設定できないということらしいですね。

なんで?という感じですが、今はそういう仕様になっているのでしかたないですね。自身のCISSPライセンスの更新が終わったら、一度アカウントを削除して、登録しなおしてみたいと考えています。

とりあえず過去の視聴履歴は手動で登録

しかたがないので、これまで視聴したWebinarについては手動で登録することにしました。

過去の視聴履歴は以下のとおり、「My viewing history」から確認することができますので、もれなく申請しましょう!
見てのとおり、じつはこっそり視聴したことを証明するCertificateも発行されています。

なお、上のISC2からの回答のとおり、アカウントを作成しなおすとこれらの視聴履歴や証明書も消えてしまうはずですので、そのまえに登録してしまいましょう!

2.e-Symposium Webinar Seriesを視聴する場合

こちらの場合、Blue Sky channelsのサイトに明らかに移動しており、そのアカウントに対してISC2 IDの紐付けを行なう必要があることも分かり易いと思います。
私の場合もすでに紐付けしているので自動的にCPEが付与されるようになっている状況です。

ちなみにISC2のサイトが新しくなってから、ISC2のトップページからこのページへのたどり方がわかっていません。
ちょっと隠しサイトっぽくなっていますが、更新されていないわけではなく、2020年も4件のWebinarが登録されています。

e-Symposium Webinar Series
https://www.isc2.org/Member-Resources/e-Symposium

以下、Blue Sky channelsのアカウント情報を編集する画面ですが、こちらは初回登録時以外でも、ISC2 IDを登録できるようになっています。(というか、今は登録必須になっていますね。以前は必須ではなかったと思います。)

まとめ

Webinar視聴時にCPEを自動付与する方法は結局以下の通りになります。

1.「CPE Opportunities」のWebinarsの場合

・BrightTalkのアカウントにISC2 IDの紐付けが必要。
・アカウント作成時のみISC2 IDの紐付けが可能。
・どうしても紐付けしたい場合は、アカウントの作り直し。
 (既存の視聴履歴やCertificateがきえてしまうので注意!)

2.e-Symposium Webinar Seriesの場合

・Blue Sky channelsのアカウントにISC2 IDの紐付けが必要。
・ISC2 IDの紐付けはいつでも可能。(というか、今は入力必須)

なお、ISC2 CPE を獲得可能なサイトの紹介を以下のページでしていますので、よかったら併せて確認してください。

http://k2-ornata.com/cissp-cpe-part2-webinars/

CISSPのCPEポイントを無料もしくは格安で取得する方法(その2:各種Webinars)

その1では新しく提供されたラボコースを説明しましたが、実は受講して1ヶ月経過してもCPEポイントが反映されない為、現在、原因をISC2に確認中です。

http://k2-ornata.com/cissp-point-isc2-lab/

そこで、今回は昔からある各種Webninarをご紹介しておきたいと思います。

The (ISC)² Solutions Summit and e-Symposium Webinar Series

このWebinarは1時間のビデオが3つで1セットになっています。毎回、あるセキュリティ関連の話題について、概要から提供ベンダーの製品紹介に移っていきます。

https://www.isc2.org/Member-Resources/e-Symposium

3時間じっくり見ないとCPEが付与されませんが、じっくり特定の話題について勉強したいときは良いかもしれません。もちろん、CPEは3ポイント付与されます。

(ISC)² Think Tank Webinars

このWebinarは1時間毎にCPEが付与されますので、取り急ぎCPEを1〜2ポイント稼ぎたい場合は、e-Symposiumよりこちらの方がよいでしょう。

https://www.isc2.org/News-and-Events/Webinars/ThinkTank

個人的には概要から説明してくれるe-Symposiumの方が好きですが、正直、そんな大きな違いはありません。

今年はコロナの影響で、これまでオフサイトでCPEを稼ぐために参加していたセミナーが軒並み延期や中止になっており、40ポイント稼ぐのが大変ですね。

CISSPのCPEポイントを無料もしくは格安で取得する方法(その1:ISC2 ラボコース)

今現在、ISC2のCISSPの認定を取得しており、その認定を維持するには年間で40ポイントと取らないといけません。
同じくISC2の認定を取得されている方は、同団体から提供されているWebnerやMagazineのクイズでなんとかしている方が多いのではないでしょうか?

私の場合もそれらを軸にして、あとはいくつかの団体が非定期で提供しているセミナーなんかを受けてやりくりしております。
しかしながら、先ほどのWebnerやMagazineは数が限られているのでそろそろ残りがすくなくなってきており、またセミナーについてはコロナの影響で取りやめになったりしており、なかなか取り辛くなってきております。

そこで今後、最近私がみつけたポイントネタをいくつかピックアップしていきたいと思います。

ISC2のバーチャルラボで手軽にセキュリティツールを触ってみる(無料、2CPE)

2020.07.25
バーチャルラボを受講しCertificateを取得して一ヶ月経過しましたが、その後、CPEsに反映されていません。現在、ISC2に理由を確認中です。
2020.08.01
ISC2から以下の通り回答が来ていました。CPE Portalにて別途申請が必要らしいです。(証明書ファイルを一緒にアップロードしておくと良いようです。)
I am happy to provide assistance with your inquiry.
At this time, CPEs earned through PDI need to be reported by the member through the CPE Portal.
We apologize that CPEs are currently not reported on the member’s behalf. 
When submitting the earned CPEs, it is recommended to include your Certificate of Course Completion as documentation, which can be found under the Awards tab in (ISC)2 Learn.

ISCのサイト(www.isc2.org)は一時期、使い勝手がひどかったですが、最近はだんだんよくなってきましたね。
そのサイトにアクセスし、上部のメニューバーから「Members」を選択すると、「CPE Opportunities」という項目がありますので、それをクリックします。

すると、以下の画面が表示されます。

その後、画面を下の方にスクロールしていくと、「Lab Courses」というカテゴリがあり、その右横にバーチャルラボで体験できる操作が表示されています。

そこでどれか自分が興味があるものを選択してもらうと、以下の画面が表示され、この例でいうと2CPEのポイントが獲得できることがわかります。

内容が確認できたら、「FREE FOR MEMBERS」を教えてもらえれば、インストラクションのビデオを見ながら、バーチャルラボを利用して色々なオペレーションを実際に体験することが可能です。

私は取り敢えず上の例にある「Introductory File System Forensics」を試してみましたが、FTK ImageやAutoSPY、Kali Linuxなどのフォレンジックツールを簡単に操作してみることができ、とても参考になりました。

ただし、その後に20問の質問に答えて70点以上の点数と取らないと2CPEがゲットできず、1発合格とはいきませんでした。なお、回数制限は内容なので、英語とはいえなんとかなるかと思います。