サイバー攻撃の被害額は年々増加し、企業のセキュリティ投資は経営課題の最上位へと移りつつある。そのような時代に「セキュリティを設計・管理できる人材」を国際的に証明する資格として、CISSPへの注目が急速に高まっている。
**CISSP(Certified Information Systems Security Professional)は、米国の非営利団体ISC²(International Information System Security Certification Consortium)**が認定する情報セキュリティの最高峰資格だ。1994年から存在し、世界180カ国以上で約160,000人の認定者がいる(2024年現在)。大手外資IT企業・セキュリティコンサルティングファーム・CISOポジションでは、CISSPが採用・昇格の基準になることがある。
なぜ今CISSPが注目されているのか
ランサムウェア、サプライチェーン攻撃、クラウド環境の設定ミス——セキュリティリスクの質が変わった。以前は「技術的に守る」ことが中心だったが、今や「ガバナンスとして管理する」視点が経営に求められている。
この変化が、CISSPへの需要を押し上げている。CISSPは純粋な技術資格ではなく、「セキュリティをビジネスリスクとして設計・管理できる能力」を証明する資格だ。CISOや上位管理職を目指すキャリアパスで事実上のパスポートになっており、外資系企業やセキュリティコンサルでは採用条件に明記されることも珍しくない。
日本の情報処理安全確保支援士(登録セキスペ)が「国内の技術的セキュリティ知識」の証明であるのに対し、CISSPは「国際的なセキュリティ管理・設計・ガバナンスの実践能力」の証明として機能する。
CISSPとは何を証明する資格か
CISSPが証明するのは「技術を知っている」ことではなく、「セキュリティをアーキテクチャレベルで設計し、組織として管理できる」ことだ。
主な対象者:
- CISO(最高情報セキュリティ責任者)・セキュリティ部門の責任者
- セキュリティアーキテクト(システム設計にセキュリティを組み込む役割)
- セキュリティコンサルタント(組織のセキュリティ体制を評価・改善提案)
- SOC(Security Operations Center)のリーダー・マネージャー
受験資格(重要): CISSPには実務経験要件がある。
| 要件 | 内容 |
|---|---|
| 実務経験 | 8つのCBKドメイン中2つ以上で、通算5年以上のフルタイム実務経験 |
| 代替措置 | 4年制大学卒業(または承認済み資格保有)で1年間の経験免除が可能 |
| 支持者 | 既存のISC²認定者(CISSPメンバー等)による推薦が必要 |
5年の実務経験がない場合は「CISSP Associate」として受験・合格し、後から経験を積んで正式認定を受けるルートもある。
試験で問われる知識と実技
CISSPは**8つのドメイン(CBK: Common Body of Knowledge)**から出題される。
| ドメイン | 出題比率 | 主な内容 |
|---|---|---|
| ① セキュリティとリスク管理 | 約16% | ガバナンス・コンプライアンス・倫理・リスクマネジメント |
| ② 資産セキュリティ | 約10% | データ分類・プライバシー・情報ライフサイクル管理 |
| ③ セキュリティアーキテクチャと工学 | 約13% | セキュアな設計原則・暗号化・セキュリティモデル |
| ④ 通信とネットワークセキュリティ | 約13% | ネットワーク設計・プロトコル・安全な通信 |
| ⑤ ID/アクセス管理(IAM) | 約13% | 認証・認可・アクセス制御モデル |
| ⑥ セキュリティ評価とテスト | 約12% | 脆弱性テスト・ペネトレーションテスト・監査 |
| ⑦ セキュリティ運用 | 約13% | インシデント管理・BCM/DR・デジタルフォレンジック |
| ⑧ ソフトウェア開発セキュリティ | 約10% | セキュアSDLC・コードレビュー・DevSecOps |
試験形式
| 項目 | 内容 |
|---|---|
| 形式 | CAT(Computer Adaptive Testing)方式 |
| 問題数 | 125〜175問(適応型) |
| 試験時間 | 4時間 |
| 言語 | 英語(日本語オプションあり) |
| 合格基準 | 700点以上(1,000点満点換算) |
CAT(適応型)方式が特徴的で、回答に応じて難易度が動的に変化する。125問で早期終了することも175問まで続くこともある。
CISSPの問題は「最も正しい答え」ではなく「最もCISSPらしい答え」を選ぶ必要がある。技術屋の視点ではなく、マネジメントの視点(「ビジネスリスクを最適に管理する選択肢」)で考える習慣が要求される。
合格のための学習プラン
ISC²は公式の合格率を公開していないが、業界推定では20〜30%程度とされている。約500時間の学習が目安だ。
| 時期 | 内容 |
|---|---|
| 試験6〜4ヶ月前 | 「ISC² CISSP公式教材(CBKガイド)」精読。8ドメインを章ごとに |
| 3〜2ヶ月前 | 模擬問題演習(各ドメイン500〜1000問) |
| 1ヶ月前〜 | 「Think Like a Manager」型の問題に慣れる |
| 直前2週間 | 弱点ドメインの集中復習・本番形式の模擬試験 |
合格への鍵
「なぜその選択肢が正しいのか」を説明できるまで理解すること。CISSPは暗記でなく概念理解を問う試験だ。特に重要なのはドメイン①(セキュリティとリスク管理)とドメイン③(セキュリティアーキテクチャと工学)だ。
おすすめ教材:
- 「CISSP All-in-One Exam Guide」(Mike Chapple, David Seidl)— 世界標準の定番テキスト(英語)
- 「ISC² CISSPオフィシャルスタディガイド」(翻訳版)— 日本語テキストとして
- 「CISSP Official Practice Tests」— ISC²公式の模擬問題集(英語)
取得後に広がるキャリアの選択肢
CISSPは情報セキュリティ分野で最も年収への影響が大きい資格の一つとされている。
| キャリア | 平均年収(日本・参考) |
|---|---|
| セキュリティアナリスト | 600〜800万円 |
| CISSP取得者(セキュリティ担当管理職) | 900〜1,500万円 |
| CISO(大手企業) | 1,200〜2,000万円以上 |
取得後に組み合わせると評価が上がる資格:
| 資格/スキル | 位置づけ |
|---|---|
| CISM(ISACA) | セキュリティ管理の国際資格。CISSPとの組み合わせで管理職向け最強 |
| ISO 27001 Lead Implementer/Auditor | ISMS構築・審査の国際資格。コンサルタント向け |
| AWS Security Specialty | クラウドセキュリティとCISSPの組み合わせはクラウド時代の鉄板 |
| 情報処理安全確保支援士 | 国内法規対応のための補完資格として有効 |
CISSPは「セキュリティのプロ」として国際市場に通用する証明書だ。技術的スキルを土台に持ちながら、リスク管理・ガバナンス・ビジネス視点を兼ね備えたセキュリティのリーダーを目指す人への資格といえる。