現在、金融機関向けアプリケーション開発業務をしている26歳のものです。
今後仕事の幅を広げていこうと思い、独学でセキュリティ関連の勉強をしています(既所有資格はSV,SU)。
現在の業務そのものはセキュリティとはまったく関係なく、ISCの定める10ドメインのどれにも属していません。
また、知己にCISSP保有者もおりません。そのため、仮に試験をパスしても5年が上限のCISSP準会員にしかなれません。
私個人としては、CISSPを取得してセキュリティ分野のスペシャリストを目指したいのですが、
そのような事情もあり、取得に一歩踏み出せません。
そこで、保有者の方にお聞きします。答えられる範囲でお願いします。
1) CISSPは正資格保有者にUpgradeできないとしても、tryする価値のあるような資格ですか?
2) また、資格を保持するためには、頑張ってCPEクレジットを取得する必要がありますがそのような価値はありますか?
3) 資格を取得する前と後で(心境、労働環境など)変化はありましたか?
「セキュリティで飯は食えない」のは有名な話です。
そもそもセキュリティって企業にとってみて、お金を稼いだりコストを下げるような役に立たないものです。
社会的な責任上、やらざるを得ないからやっているのです。セキュリティ関係とは、そういう業種です。
CISSPは、技術士や弁護士のような、いわゆる「士業」でもありません。資格を持っているからこそできることは、なにもないのです。そういう資格を取って高い給料や技術料を払ってもらえると思いますか?
実際のところCISSPの団体に属している人は大手企業の中でのセキュリティ担当者やセキュリティ専門の会社の人間です。どちらにしてもCISSPは職務上、箔つけに取ったものに過ぎず、CISSPをもっているからどうこうというほどではありません。よく長時間の試験をがんばったね、という程度です。
CISSPをもっているから中途採用で有利になるなど、夢々考えるべきではないでしょう。
むしろ、今やられているアプリケーション開発のスキルに加え、最近流行のSQLインジェクションにひっかからないコードなどのガイドができるようなセキュリティの観点でも開発を語れるエンジニアのほうが、よほど価値があります。
ひょっとして「隣の芝生が青く見え」ていませんか?
回答ありがとうございます。
仰るとおり、セキュリティ業務が会社経営上コストセンター的性質を持ち、それにより利益を生まないこと、
また株主やユーザへのアピール、取引先企業に対する不安解消などの目的から、一般にISMSやプライバシーマーク取得などのセキュリティ施策が実施される傾向があることは理解しているつもりです。
現在所属している企業でセキュリティ資格は評価されるとは思いません(現に奨励金も出ません)し、今後転職をするとしても恐らくそれだけで食っていく事は不可能であることもわかっています。
私がセキュリティの勉強をしているのは、開発や管理に関して自分の持つ技術・裾野を広げていきたいという興味に尽きます。
また、周りにセキュリティ関係に強い技術者が少ないことに危機感を覚えており、勉強をしているというのもあります。
日本人取得者が1000人に満たないCISSPが現実問題としてどのような位置づけにあるのか、またどのように評価されているのか、
世の中に出回っている情報だけではよくわからず、生の声を聞きたいと思って、この質問をしました。
引き続き、資格保有者の方からの回答もお待ちしています。