「セキュリティの上位資格を目指したい」「マネジメント寄りのキャリアに進みたい」と考えたとき、候補に挙がる資格の一つがCISSPです。世界的な知名度と実務への直結度の高さから、セキュリティ専門職のキャリアアップに有力な選択肢として知られています。
一方で「どんな試験なのか」「どれくらいの実務経験が必要なのか」「日本での評価はどうなのか」と、具体的な情報がつかみにくいと感じている方も多いのではないでしょうか。
この記事では、CISSPの試験概要・8つのドメイン・効率的な勉強法・キャリアへの活かし方を、現場のエンジニア目線でわかりやすく解説します。受験を検討中の方や、中長期的なキャリア設計を考えている方はぜひ参考にしてください。
CISSPとは?なぜセキュリティ業界で重視されるのか
CISSPは、(ISC)²(International Information System Security Certification Consortium)が認定する情報セキュリティの国際資格です。正式名称はCertified Information Systems Security Professional。1994年の創設以来、世界170か国以上で15万人を超える認定者がいます。
CISSPが他のセキュリティ資格と異なる大きな特徴は、技術面だけでなくマネジメント・リスク管理・法規制・ガバナンスまで含めた「セキュリティ全体の統合的な知識」を問う点です。「手を動かす技術者」としてだけでなく、「組織のセキュリティをどう設計・運営するか」を考えられる人材の証明になります。
グローバルな評価が非常に高く、海外ではCISO(Chief Information Security Officer)やセキュリティアーキテクトの求人でCISSP保有が応募条件になっているケースが珍しくありません。日本国内でも外資系企業やグローバルプロジェクトに関わるポジションでは、CISSPの有無が選考に影響する場面が増えています。
また、CISSPはISO/IEC 17024(人材認証の国際規格)の認定を受けており、資格としての品質管理体制も国際基準を満たしています。「名前だけの資格」ではなく、取得後も3年ごとのCPE(Continuing Professional Education)クレジット取得が求められるため、継続的な学習が制度として組み込まれている点も信頼性の根拠です。
試験の仕組みと8つのドメイン
CISSPの試験は、CBT(Computer Based Testing)方式で実施されます。日本語での受験が可能で、全国のピアソンVUEテストセンターで受けられます。
| 項目 | 内容 |
|---|---|
| 試験形式 | CAT(コンピュータ適応型テスト) |
| 問題数 | 125〜175問(CATにより変動) |
| 試験時間 | 4時間 |
| 合格ライン | 700点 / 1000点満点 |
| 出題形式 | 4択選択式 + 高度な革新的問題 |
| 受験料 | 749 USD(約11万円前後、為替により変動) |
| 受験言語 | 日本語・英語ほか8言語 |
| 受験資格 | セキュリティ関連実務5年以上(条件付き緩和あり) |
2024年4月から導入されたCAT(Computerized Adaptive Testing)方式では、受験者の回答状況に応じて出題される問題の難易度が変化します。早ければ125問で合否が判定されますが、判定に十分な情報が得られない場合は最大175問まで出題されます。
CISSPの出題範囲は、以下の8つのドメイン(知識領域)で構成されています。
| ドメイン | 内容 |
|---|---|
| 1. セキュリティとリスクマネジメント | CIA三原則、法規制、リスク評価、セキュリティポリシー |
| 2. 資産のセキュリティ | 情報分類、データライフサイクル、保持ポリシー |
| 3. セキュリティアーキテクチャとエンジニアリング | 設計原則、暗号化、物理セキュリティ |
| 4. 通信とネットワークセキュリティ | ネットワーク設計、セキュアプロトコル、攻撃対策 |
| 5. アイデンティティとアクセス管理(IAM) | 認証・認可、SSO、多要素認証 |
| 6. セキュリティの評価とテスト | 脆弱性診断、ペネトレーションテスト、監査 |
| 7. セキュリティ運用 | インシデント対応、ログ管理、BCP/DR |
| 8. ソフトウェア開発セキュリティ | SDLC、セキュアコーディング、API保護 |
8ドメインの範囲は非常に広く、技術的な深さよりも「幅広い知識をどう統合的に活用するか」が問われます。たとえば「この状況で最もリスクが低い対応はどれか」のように、複数の知識を組み合わせて判断する問題が中心です。
受験資格の実務経験要件
CISSPの受験には、8ドメインのうち2つ以上の分野で5年以上の実務経験が必要です。ただし、以下の条件で1年分が免除されます。
・4年制大学の学位: 情報系に限らず、4年制大学卒であれば1年免除
・(ISC)²認定資格: SSCP、CCSP等の保有で1年免除
・その他の資格: CompTIA Security+、情報処理安全確保支援士等の保有で1年免除
実務経験が足りない場合でも、試験自体は受験可能です。合格後に「アソシエイト of (ISC)²」として登録し、6年以内に必要な実務経験を積むことで正式なCISSP認定を受けられます。この制度があるため、キャリアの早い段階で受験を目指すことも十分現実的です。
効率的な勉強法と学習戦略
1. 公式CBK(Common Body of Knowledge)を理解する
CISSPの出題は、(ISC)²が定義するCBK(共通知識体系)に基づいています。まずは公式の試験概要ドキュメント(Exam Outline)を(ISC)²のサイトからダウンロードし、各ドメインでどんなトピックが問われるかを把握しましょう。
CBKは定期的に更新されるため、受験時点で最新のExam Outlineを確認することが重要です。古い情報で学習すると、出題範囲のズレが生じるリスクがあります。
2. 日本語の参考書と公式トレーニングを活用する
CISSP対策の書籍は日本語でも複数出版されています。網羅性の高い参考書を1冊選び、全ドメインを通読するところから始めるのが効率的です。
学習の進め方としては、以下のサイクルがおすすめです。
・参考書の通読(1周目): 8ドメインの全体像を把握する。細部にこだわらず、全範囲の概要をつかむ
・ドメイン別に深掘り(2周目): 各ドメインの重要概念と用語を一つずつ押さえていく。わからない用語は調べて自分の言葉で説明できるレベルに
・問題演習で弱点特定: 模擬問題を解き、正答率が低いドメインを洗い出す
・弱点ドメインの集中学習: 苦手分野に絞って参考書を精読し直す
・模擬試験で仕上げ: 本番と同じ時間配分で通し練習を繰り返す
(ISC)²は公式のトレーニングコース(5日間の集中講座)も提供しています。費用はかかりますが、体系的に学べる上に講師への質問ができるため、独学で行き詰まった場合の選択肢として検討する価値があります。
3. 「考え方」を問われる試験に対応する
CISSPの最大の特徴は、知識の暗記だけでは合格が難しい点です。多くの問題が「この状況でセキュリティマネージャーとして最も適切な対応はどれか」という判断力を問う形式になっています。
対策のポイントとしては、以下を意識してください。
・「なぜ」を常に考える: 用語や手法を覚えるだけでなく「なぜその対策が必要なのか」「どんなリスクに対応するのか」まで理解する
・マネジメント視点を身につける: 技術的に正しい答えよりも、組織全体のリスクを最小化する答えが求められる場合が多い
・選択肢の「最も適切」を見極める: 4つの選択肢すべてがある程度正しいが、その中でベストな選択を判断する問題が頻出する
学習期間の目安は、セキュリティ実務経験が3〜5年ある方で3〜6か月程度です。1日1〜2時間の学習を継続的に行うペースが現実的でしょう。
キャリアへの活かし方
CISSPを取得すると、キャリアの選択肢が具体的に広がります。以下のポジションでCISSPが評価される、あるいは必須条件とされるケースが多くあります。
・セキュリティアーキテクト: システム全体のセキュリティ設計を担当。8ドメインの統合知識が直接活きる
・セキュリティコンサルタント: クライアント企業へのセキュリティ評価・改善提案。CISSPの信頼性が提案の説得力を高める
・CISO / セキュリティマネージャー: 組織全体のセキュリティ戦略を統括。マネジメント領域をカバーするCISSPはこのポジションとの親和性が高い
・SOCアナリスト(上級): セキュリティ運用チームのリーダー。インシデント対応の全体設計に関わる
年収面でも、CISSPの効果は数字に表れています。(ISC)²の2023年調査によると、CISSP保有者の全世界平均年収は約130,000ドル。日本国内でも、CISSP保有者はセキュリティ職の中で高い年収水準にある傾向が見られます。
外資系企業への転職を検討している場合、CISSPは特に強力です。英文レジュメ(職務経歴書)にCISSPと記載するだけで、セキュリティの専門性を端的に証明できます。面接でドメイン知識を問われた際にも、体系的に回答できる強みがあります。
セキュリティの基盤となるLinuxの知識を深めたい方は、姉妹サイトLinuxMaster.JPも参考にしてみてください。サーバーセキュリティの実践的なスキルは、CISSPの学習にも直結します。
よくある誤解と注意点
「技術に詳しければ受かる」は誤解
CISSPは技術資格ではなくマネジメント寄りの資格です。ファイアウォールの設定方法を細かく問われることはほとんどありませんが、「どのセキュリティ対策を優先すべきか」「限られた予算でどこに投資すべきか」といった意思決定の質が問われます。純粋に技術を極めたい方は、まずCompTIA Security+やOSCPなどの技術寄り資格から始めるのも一つの方法です。
「日本では評価されない」は過去の話
以前は日本国内での認知度が低かったCISSPですが、近年は状況が変わっています。経済産業省の「サイバーセキュリティ体制構築・人材確保の手引き」でもCISSPが参考資格として言及されており、日本企業でもセキュリティ専門職の採用基準にCISSPを含めるケースが増えてきました。
取得後の維持コストも把握しておく
CISSPは取得して終わりではありません。資格維持に必要な要件を事前に理解しておきましょう。
・年会費: 125 USD/年
・CPEクレジット: 3年間で120クレジット(年間最低40クレジット)が必要
・CPEの取得方法: セキュリティ関連の研修受講、カンファレンス参加、論文執筆、業務経験の報告など
CPEクレジットの取得は、日常のセキュリティ業務をこなしながら勉強会やWebセミナーに参加していれば、無理なく達成できる水準です。ただし記録をまめに付ける必要があるため、学習ログを習慣化しておくとよいでしょう。
情報処理安全確保支援士との比較
日本の代表的なセキュリティ資格である情報処理安全確保支援士とCISSPは、どちらを取るべきか迷う方も多いはずです。
| 項目 | CISSP | 情報処理安全確保支援士 |
|---|---|---|
| 認定団体 | (ISC)²(国際) | IPA(日本国内) |
| 試験の性格 | マネジメント+技術の統合 | 技術寄り(午後問題は実践的) |
| 国際認知度 | 非常に高い | 日本国内のみ |
| 受験資格 | 実務5年以上(緩和あり) | なし(誰でも受験可能) |
| 維持費用 | 年125 USD + CPE | 3年ごとの講習(約2万円) |
| おすすめ対象 | グローバル志向、マネジメント志向 | 国内キャリア、技術志向 |
どちらか一方に絞る必要はありません。国内でのキャリアを固めつつグローバルも視野に入れるなら、まず情報処理安全確保支援士を取得し、その後CISSPに挑戦する流れが現実的です。支援士の合格実績はCISSPの実務経験要件の免除にも使えるため、相互に補完し合う関係にあります。
本記事のまとめ
| 項目 | 内容 |
|---|---|
| CISSPとは | (ISC)²が認定する情報セキュリティの国際資格。8ドメインの統合知識を問う |
| 試験形式 | CAT方式、125〜175問、4時間、合格ライン700/1000 |
| 受験資格 | 実務5年以上(大学卒・他資格で1年免除可) |
| 勉強法のポイント | 暗記よりも「判断力」。マネジメント視点が鍵 |
| キャリア効果 | CISO・アーキテクト・コンサルタント等への道が開ける |
| 維持要件 | 年125 USD + 3年で120CPEクレジット |
セキュリティのキャリアをもう一段引き上げませんか?
CISSPのような上位資格への挑戦は、日々の知識の積み重ねが土台になります。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント