CISSPの概要
「セキュリティを知っている人」と「セキュリティを設計できる人」は、まったく別の存在だ。CISSPは後者を証明する資格として、情報セキュリティの世界で最も認知されている。
**CISSP(Certified Information Systems Security Professional)は、米国の非営利団体ISC²(International Information System Security Certification Consortium)**が認定する情報セキュリティの最高峰資格だ。1994年から存在し、世界180カ国以上で約160,000人の認定者がいる(2024年現在)。
日本の情報処理安全確保支援士(登録セキスペ)が「国内の技術的セキュリティ知識」の証明であるのに対し、CISSPは「国際的なセキュリティ管理・設計・ガバナンスの実践能力」の証明として機能する。大手外資IT企業・セキュリティコンサルティングファーム・CISOポジションでは、CISSPが採用・昇格の基準になることがある。
対象者と前提知識
CISSPは「技術者向け」というより「セキュリティを設計・管理するプロ向け」の資格だ。
主な対象者
- CISO(最高情報セキュリティ責任者)・セキュリティ部門の責任者
- セキュリティアーキテクト(システム設計にセキュリティを組み込む役割)
- セキュリティコンサルタント(組織のセキュリティ体制を評価・改善提案)
- SOC(Security Operations Center)のリーダー・マネージャー
- セキュリティ審査・監査担当者
受験資格(重要)
CISSPには実務経験要件がある。これが他のIT資格と大きく異なる点だ。
| 要件 | 内容 |
|---|---|
| 実務経験 | 8つのCBKドメイン中2つ以上で、通算5年以上のフルタイム実務経験 |
| 代替措置 | 4年制大学卒業(または承認済み資格保有)で1年間の経験免除が可能 |
| 支持者 | 既存のISC²認定者(CISSPメンバー等)による推薦が必要 |
5年の実務経験がない場合は「CISSP Associate」として受験・合格し、後から経験を積んで正式認定を受けるルートもある。
出題範囲と試験形式
CISSPは**8つのドメイン(CBK: Common Body of Knowledge)**から出題される。
| ドメイン | 出題比率 | 主な内容 |
|---|---|---|
| ① セキュリティとリスク管理 | 約16% | ガバナンス・コンプライアンス・倫理・リスクマネジメント |
| ② 資産セキュリティ | 約10% | データ分類・プライバシー・情報ライフサイクル管理 |
| ③ セキュリティアーキテクチャと工学 | 約13% | セキュアな設計原則・暗号化・セキュリティモデル |
| ④ 通信とネットワークセキュリティ | 約13% | ネットワーク設計・プロトコル・安全な通信 |
| ⑤ ID/アクセス管理(IAM) | 約13% | 認証・認可・アクセス制御モデル |
| ⑥ セキュリティ評価とテスト | 約12% | 脆弱性テスト・ペネトレーションテスト・監査 |
| ⑦ セキュリティ運用 | 約13% | インシデント管理・BCM/DR・デジタルフォレンジック |
| ⑧ ソフトウェア開発セキュリティ | 約10% | セキュアSDLC・コードレビュー・DevSecOps |
試験形式
| 項目 | 内容 |
|---|---|
| 形式 | CAT(Computer Adaptive Testing)方式 |
| 問題数 | 125〜175問(適応型) |
| 試験時間 | 4時間 |
| 言語 | 英語(日本語オプションあり) |
| 合格基準 | 700点以上(1,000点満点換算) |
CAT(適応型)方式が特徴的だ。回答に応じて難易度が動的に変化し、125問で早期終了することも175問まで続くこともある。「試験が終わった=合格」とは限らない。125問で終了しても合否はわからない。
合格率・難易度の分析
ISC²は公式の合格率を公開していないが、業界推定では20〜30%程度とされている。
| 資格 | 合格率(推定) | 難易度 |
|---|---|---|
| 情報セキュリティ基礎(CompTIA Security+) | 約85% | ★★☆☆☆ |
| 情報処理安全確保支援士 | 約18〜20% | ★★★★☆ |
| CISSP | 約20〜30% | ★★★★★ |
| CCIE Security | 約10〜15% | ★★★★★ |
難しい理由は「知識量」ではなく「思考方法」にある。CISSPの問題は「最も正しい答え」ではなく「最もCISSPらしい答え」を選ぶ必要があるとよく言われる。リスク管理・セキュリティガバナンスの文脈で、ビジネスへのインパクトを最小化しつつ安全性を確保する視点が要求される。
技術屋の視点(「技術的に最も安全な選択肢」)ではなく、マネジメントの視点(「ビジネスリスクを最適に管理する選択肢」)で考える習慣が求められる。
効率的な学習アプローチ
推奨学習スケジュール(約500時間)
| 時期 | 内容 |
|---|---|
| 試験6〜4ヶ月前 | 「ISC² CISSP公式教材(CBKガイド)」精読。8ドメインを章ごとに |
| 3〜2ヶ月前 | 模擬問題演習(各ドメイン500〜1000問) |
| 1ヶ月前〜 | 「Think Like a Manager」型の問題に慣れる |
| 直前2週間 | 弱点ドメインの集中復習・本番形式の模擬試験 |
合格への鍵
「なぜその選択肢が正しいのか」を説明できるまで理解する。CISSPは暗記でなく概念理解を問う試験だ。
特に重要なのは:
- ドメイン①(セキュリティとリスク管理)— 最も配点が高く、CISSP的思考の根幹
- ドメイン③(セキュリティアーキテクチャと工学)— Bell-LaPadula、Biba等のセキュリティモデル
- CAT方式への慣れ — 「正解した」と思っても試験は続く。メンタルが重要
おすすめ教材:
- 「CISSP All-in-One Exam Guide」(Mike Chapple, David Seidl)— 世界標準の定番テキスト(英語)
- 「ISC² CISSPオフィシャルスタディガイド」(翻訳版)— 日本語テキストとして
- 「CISSP Official Practice Tests」— ISC²公式の模擬問題集(英語)
取得後のスキルマップ
市場価値と年収
CISSPは情報セキュリティ分野で最も年収への影響が大きい資格の一つとされている。
| キャリア | 平均年収(日本・参考) |
|---|---|
| セキュリティアナリスト | 600〜800万円 |
| CISSP取得者(セキュリティ担当管理職) | 900〜1,500万円 |
| CISO(大手企業) | 1,200〜2,000万円以上 |
関連資格・スキルマップ
| 資格/スキル | 位置づけ |
|---|---|
| CISM(ISACA) | セキュリティ管理の国際資格。CISSPとの組み合わせで管理職向け最強 |
| ISO 27001 Lead Implementer/Auditor | ISMS構築・審査の国際資格。コンサルタント向け |
| AWS Security Specialty | クラウドセキュリティとCISSPの組み合わせはクラウド時代の鉄板 |
| 情報処理安全確保支援士 | 国内法規対応のための補完資格として有効 |
CISSPは「セキュリティのプロ」として国際市場に通用する証明書だ。技術的スキルを土台に持ちながら、リスク管理・ガバナンス・ビジネス視点を兼ね備えたセキュリティのリーダーになりたい人への資格といえる。