CREX|Security

CREX|Security

CISSPとは?試験の難易度や年収 合格するための勉強方法を解説

更新日:

CISSPとは?、合格するための勉強方法を解説

現代のデジタル社会において、サイバーセキュリティは企業活動や社会インフラを支える上で極めて重要な要素となっています。日々巧妙化・複雑化するサイバー攻撃から組織の重要な情報資産を守るためには、高度な専門知識とスキルを持つセキュリティ人材の存在が不可欠です。

このような背景から、情報セキュリティ分野の専門家としての能力を客観的に証明する資格への注目が高まっています。その中でも、世界的に最も権威があり、広く認知されている国際認定資格の一つが「CISSP(Certified Information Systems Security Professional)」です。

CISSPは、特定の製品や技術に依存しないベンダーニュートラルな資格であり、技術的な知識だけでなく、組織のセキュリティポリシー策定、リスクマネジメント、コンプライアンス遵守といった経営的な視点までを網羅する包括的な知識体系(CBK)に基づいています。そのため、取得者は単なる技術者ではなく、組織全体のセキュリティを統括できるプロフェッショナルとして高く評価されます。

この記事では、情報セキュリティ分野でのキャリアアップを目指す方々に向けて、CISSPとはどのような資格なのか、その価値や取得するメリット、想定される年収、そして最難関とも言われる試験の難易度や合格に向けた具体的な勉強方法まで、網羅的に詳しく解説します。これからCISSPの取得を検討している方はもちろん、情報セキュリティのキャリアパスに関心のある方も、ぜひ本記事を参考に、自身のキャリアプランニングにお役立てください。

CISSPとは

CISSPとは

CISSP(Certified Information Systems Security Professional)は、情報セキュリティ専門家のための国際的な認定資格であり、その分野における「ゴールドスタンダード(最高水準)」と広く認識されています。単なる技術的な知識を問うだけでなく、組織のセキュリティを包括的に設計、実装、管理するための能力を証明するものです。

世界的に認められた情報セキュリティの国際認定資格

CISSPは、非営利団体である(ISC)²(International Information System Security Certification Consortium)が認定を行う、情報セキュリティプロフェッショナルのための国際的な資格です。1994年に創設されて以来、世界中の政府機関、金融機関、グローバル企業などで高く評価されており、情報セキュリティ分野における専門性と信頼性の証として通用します。

この資格の最大の特徴は、ベンダーニュートラルである点です。特定のハードウェアやソフトウェア製品に依存することなく、情報セキュリティに関する普遍的な概念、原則、ベストプラクティスを体系化した「CBK(Common Body of Knowledge)」に基づいて知識が問われます。これにより、取得者はどのような環境や組織においても応用可能な、本質的なセキュリティスキルを保有していることを証明できます。

また、CISSPはISO/IEC 17024(適合性評価-要員の認証を実施する機関に対する一般要求事項)に準拠しており、資格認定プロセスの公平性と客観性が国際的に保証されています。この厳格な基準に準拠していることが、CISSPの信頼性と権威性をさらに高めています。

企業にとっては、CISSP取得者を確保することが、組織のセキュリティ体制の成熟度を示す指標の一つとなります。顧客や取引先に対して、情報資産を適切に管理・保護していることをアピールする材料となり、事業上の信頼獲得にも繋がります。求人市場においても、多くの企業がセキュリティ関連の上級職や管理職の応募要件としてCISSPを挙げており、グローバルに通用するキャリアを築く上で非常に強力な武器となる資格です。

CISSPの対象となる人物像

CISSPが対象とするのは、情報セキュリティの実務経験が豊富で、組織のセキュリティプログラムにおいて指導的な役割を担う、あるいは目指しているプロフェッショナルです。単に技術的な作業を行うだけでなく、より広い視野でセキュリティ戦略を考え、実行していく人材が求められます。

具体的には、以下のような職種や役割の人物がCISSPの主な対象者となります。

  • セキュリティコンサルタント: 顧客企業の情報セキュリティに関する課題を分析し、対策や戦略を提案する専門家。
  • セキュリティ管理者・マネージャー: 組織のセキュリティポリシーの策定・運用、インシデント対応、セキュリティ教育などを統括する責任者。
  • ITディレクター/マネージャー: IT部門全体の責任者として、セキュリティを経営課題の一つとして捉え、戦略的な意思決定を行う。
  • セキュリティ監査人: 組織のセキュリティ対策が、規定やポリシーに準拠しているかを客観的に評価する専門家。
  • セキュリティアーキテクト: 堅牢な情報システムを設計・構築するためのセキュリティ基盤をデザインする技術者。
  • セキュリティアナリスト: ログ分析や脅威インテリジェンスの活用を通じて、セキュリティインシデントの検知や分析、対応を行う専門家。
  • ネットワークアーキテクト: 企業ネットワーク全体の設計において、セキュリティを考慮したアーキテクチャを策定する専門家。
  • 最高情報セキュリティ責任者(CISO): 経営層の一員として、企業全体の情報セキュリティ戦略に責任を持つ最高責任者。
  • 最高情報責任者(CIO): 企業全体の情報戦略に責任を持つ立場として、セキュリティガバナンスを確立する。

これらの役割に共通するのは、技術的な知識とマネジメントの視点の両方が要求される点です。例えば、新しいセキュリティ製品を導入する際には、その技術的な仕様を理解するだけでなく、導入によるビジネスへの影響、コスト、運用体制、関連法規への準拠といった多角的な観点から評価し、経営層に説明する能力が求められます。CISSPは、このような複合的なスキルセットを持つ人材であることを証明するための資格と言えます。

上位・下位資格について

(ISC)²は、キャリアの段階や専門分野に応じて、CISSP以外にも複数の認定資格を提供しています。CISSPはこれらの中で中核的な位置づけにあり、その上位・下位(またはエントリーレベル)に位置する資格が存在します。

【CISSPの上位資格(Concentrations)】

CISSPの上位資格は「CISSP Concentrations」と呼ばれ、CISSP取得者が特定の専門分野でさらに高度な知識とスキルを証明するためのものです。これらはCISSPに合格し、良好な状態を維持していることが受験の前提条件となります。

  • CISSP-ISSAP (Information Systems Security Architecture Professional): セキュリティアーキテクチャの専門家向け。企業のビジネス目標に沿った、包括的でセキュアなプログラムを開発・設計する能力を認定します。セキュリティアーキテクトやシニアセキュリティエンジニアを目指す方に適しています。
  • CISSP-ISSEP (Information Systems Security Engineering Professional): セキュリティエンジニアリングの専門家向け。システム開発のライフサイクル全体にわたって、セキュリティ要件を組み込み、実装、検証する能力を認定します。特に政府機関や防衛関連のプロジェクトで高く評価される傾向があります。
  • CISSP-ISSMP (Information Systems Security Management Professional): セキュリティマネジメントの専門家向け。組織のセキュリティプログラムを確立し、管理・監督する能力を認定します。CISOやセキュリティマネージャーなど、管理職としてのキャリアを追求する方に最適です。

【CISSPの下位・エントリーレベル資格】

CISSPの受験には5年以上の実務経験が必要となるため、経験が浅い方やこれから情報セキュリティ分野でのキャリアを始める方向けの資格も用意されています。これらはCISSPへのステップアップとして非常に有効です。

  • SSCP (Systems Security Certified Practitioner): 実務者レベルのセキュリティ専門家向けの資格です。ネットワークやシステムの運用・管理において、セキュリティポリシーや手順を実装・監視する技術的なスキルを証明します。CISSPが「何を」「なぜ」行うかという戦略・設計面に重きを置くのに対し、SSCPは「どのように」行うかという実践的な運用面に焦点を当てています。
  • CC (Certified in Cybersecurity): これからサイバーセキュリティ分野のキャリアを始めるエントリーレベルの個人を対象とした資格です。サイバーセキュリティの基本的な概念、原則、ベストプラクティスに関する foundational な知識を証明します。実務経験は不要で、IT分野でのキャリアチェンジを考えている方や学生にも門戸が開かれています。
  • CCSP (Certified Cloud Security Professional): クラウドセキュリティに特化した専門資格です。(ISC)²とCSA(Cloud Security Alliance)が共同で開発しました。クラウド環境の設計、管理、保護に関する包括的な知識が問われ、現代のITインフラに不可欠なクラウドセキュリティの専門家であることを証明します。CISSPと並び、非常に需要の高い資格です。

これらの資格体系を理解することで、自身の現在のスキルレベルやキャリア目標に応じて、最適な資格を選択し、段階的にキャリアを構築していくための明確な道筋を描くことができます。

CISSPを取得する4つのメリット

情報セキュリティの専門知識とスキルを証明できる、昇進や転職などキャリアアップに繋がりやすい、企業から資格手当や報奨金が支給される場合がある、(ISC)²のメンバーシップ特典を得られる

CISSPは取得までのハードルが高い分、得られるメリットも非常に大きい資格です。ここでは、CISSPを取得することで得られる主な4つのメリットについて、具体的に解説します。

① 情報セキュリティの専門知識とスキルを証明できる

CISSPを取得する最大のメリットは、情報セキュリティに関する広範かつ体系的な専門知識とスキルを保有していることを、国際的な基準で客観的に証明できる点です。

CISSPの試験範囲であるCBK(Common Body of Knowledge)は、以下の8つのドメインから構成されています。

  1. セキュリティとリスクマネジメント
  2. 資産のセキュリティ
  3. セキュリティアーキテクチャとエンジニアリング
  4. 通信とネットワークセキュリティ
  5. IDおよびアクセス管理
  6. セキュリティの評価とテスト
  7. セキュリティの運用
  8. ソフトウェア開発セキュリティ

この8つのドメインが示す通り、CISSPは暗号技術やネットワークセキュリティといった技術的な領域だけでなく、セキュリティガバナンス、リスクマネジメント、法規制への準拠、事業継続計画(BCP)といったマネジメント領域までを網羅しています。

これにより、取得者は以下のような能力を持つプロフェッショナルであると見なされます。

  • 俯瞰的な視点: 個別の技術的な問題だけでなく、組織全体のビジネス目標やリスクと関連付けて、セキュリティ課題を捉えることができる。
  • 戦略立案能力: 経営層に対して、セキュリティ投資の必要性やリスクを論理的に説明し、組織全体のセキュリティ戦略を立案・推進できる。
  • 実践的な管理能力: セキュリティポリシーの策定から、インシデント発生時の対応、従業員へのセキュリティ教育まで、セキュリティプログラムを効果的に管理・運用できる。

このような包括的な知識体系を習得している証明は、単に「セキュリティに詳しい」というレベルを遥かに超え、「組織の情報資産を預けるに足る、信頼できる専門家」であることの証となります。この信頼性が、後述するキャリアアップや待遇向上に直結するのです。

② 昇進や転職などキャリアアップに繋がりやすい

CISSPは、情報セキュリティ分野におけるキャリアアップ、特にリーダーやマネージャーといった上位職への昇進や、より良い条件での転職を目指す上で、非常に強力な武器となります。

多くの企業、特にグローバルに事業を展開する大企業や外資系企業では、セキュリティ関連職の採用においてCISSPを必須要件または推奨要件として挙げています。これは、CISSP取得者が一定レベル以上の知識と経験(5年以上の実務経験)を持つことが保証されているため、採用におけるスクリーニングの指標として非常に有効だからです。

具体的なキャリアパスとしては、以下のような道筋が考えられます。

  • 社内での昇進: セキュリティエンジニアやアナリストから、チームリーダー、セキュリティマネージャー、さらにはCISO(最高情報セキュリティ責任者)へとステップアップする際に、CISSPの知識と資格が大きなアドバンテージとなります。経営的な視点を含むCISSPの知識は、上位の役職で求められる能力と合致しています。
  • 好条件での転職: CISSPを保有していることで、より専門性が高く、責任の大きいポジションへの転職機会が広がります。例えば、一般的なIT部門から専門のセキュリティコンサルティングファームへ、あるいは事業会社のセキュリティ担当から金融機関や重要インフラ企業のセキュリティ部門へと、キャリアの選択肢が格段に増えます。
  • グローバルな活躍: CISSPは国際的に認知されている資格であるため、海外での就職や、外資系企業の日本法人で働く際にも高く評価されます。英語力と組み合わせることで、グローバルな舞台で活躍する道も開けます。

サイバーセキュリティ人材は世界的に不足しており、特にCISSPが対象とするような経験豊富な専門家への需要は非常に高い状態が続いています。このような市場環境において、CISSPは自身の市場価値を明確に示し、有利な交渉を行うための強力な交渉材料となるのです。

③ 企業から資格手当や報奨金が支給される場合がある

多くの企業は、従業員のスキルアップと専門性の向上を奨励するために、資格取得支援制度を設けています。中でも、CISSPのような取得難易度が高く、業務への貢献度も大きい資格に対しては、手厚いインセンティブが用意されているケースが少なくありません。

具体的には、以下のような形で報奨がなされることが一般的です。

  • 資格手当: 毎月の給与に一定額が上乗せされる制度です。金額は企業によって様々ですが、数万円単位で支給されることもあり、年収ベースで考えると大きなプラスになります。
  • 報奨金(一時金): 資格に合格した際に、一時金としてまとまった金額が支給される制度です。数十万円に上る報奨金が支払われる企業もあり、高額な受験料や教材費を補って余りあるリターンが期待できます。
  • 受験料・研修費の補助: 試験の受験料や、合格に向けた公式トレーニングの受講費用を企業が負担してくれる制度です。金銭的な負担を気にすることなく、学習に集中できる環境は大きなメリットです。

企業がこうしたインセンティブを用意する背景には、高度なセキュリティ人材を自社で育成・確保したいという強いニーズがあります。外部から経験豊富なCISSP取得者を採用するには高いコストがかかるため、既存の従業員に投資して資格を取得してもらう方が、結果的にコスト効率が良く、組織全体のセキュリティレベル向上にも繋がると考えているのです。

もし現在所属している企業にこのような制度がある場合は、積極的に活用することをおすすめします。制度がない場合でも、CISSP取得の意義と業務への貢献度を上司や人事に説明し、支援を交渉してみる価値は十分にあるでしょう。

④ (ISC)²のメンバーシップ特典を得られる

CISSPに合格し、認定されると、自動的に(ISC)²のメンバーとなります。このメンバーシップには、単なる資格保有者という地位以上の、多くの価値ある特典が付随しています。

  • 最新情報へのアクセス: (ISC)²は、メンバー向けに最新のサイバーセキュリティに関する調査レポート、ホワイトペーパー、業界動向などを定期的に提供しています。また、メンバー限定のWebセミナー(ウェビナー)も頻繁に開催されており、世界中の専門家から最新の知見を学ぶことができます。
  • グローバルなネットワーキング: (ISC)²は世界中に支部(チャプター)があり、地域のメンバーとの交流イベントや勉強会が開催されています。これにより、同じ分野で働く他のプロフェッショナルと繋がり、情報交換やキャリア相談ができる貴重な機会が得られます。この人脈は、将来のキャリアにおいて大きな財産となり得ます。
  • キャリアリソースの活用: (ISC)²のウェブサイトでは、メンバー向けの求人情報が掲載されており、キャリアアップに繋がる機会を探すことができます。また、キャリアパスに関するガイダンスやツールも提供されています。
  • 継続的な専門能力開発(CPE)の機会: CISSP資格を維持するためには、継続的に学習し、CPE(Continuing Professional Education)クレジットを取得する必要があります。(ISC)²は、CPEを取得するための様々な機会(前述のウェビナーやイベント参加、雑誌購読、ボランティア活動など)を提供しており、メンバーは効率的に資格を維持し、常に知識を最新の状態に保つことができます。
  • 割引特典: (ISC)²が主催するカンファレンスや公式トレーニング、教材などについて、メンバー割引価格が適用されます。

これらの特典は、資格取得後も継続的に自身の専門性を高め、業界の最前線で活躍し続けるための強力なサポートとなります。CISSPは一度取得して終わりではなく、(ISC)²というグローバルなコミュニティの一員として、生涯にわたって学び続けるためのパスポートなのです。

CISSP取得者の年収目安

高い需要と希少性、責任の大きさ、経営への貢献

CISSP資格は、その取得難易度の高さと専門性の証明力から、取得者の年収向上に大きく寄与することが期待されます。具体的な年収額は、個人の経験年数、役職、勤務先の企業規模、業種、さらには勤務地など、様々な要因によって変動しますが、一般的な傾向として高い水準にあると言えます。

(ISC)²がグローバルに実施している調査「(ISC)² Cybersecurity Workforce Study」は、サイバーセキュリティ専門家の給与に関する信頼性の高い情報源の一つです。この調査によると、CISSP認定資格を保有している回答者の平均年収は、保有していない回答者と比較して有意に高いことが示されています。例えば、2023年の同調査では、北米におけるCISSP保有者の平均年収は約140,000米ドルに達しており、資格が給与に与えるインパクトの大きさを物語っています。(参照:(ISC)² Cybersecurity Workforce Study)

日本の市場においても、この傾向は同様です。国内の大手転職サイトや人材紹介会社の求人情報を見ると、CISSPを応募要件または歓迎要件とするポジションは、セキュリティアナリスト、セキュリティコンサルタント、セキュリティマネージャーといった専門職や管理職が多く、年収レンジとしては800万円から1,500万円以上といった高待遇の求人が数多く見られます。特に、CISO(最高情報セキュリティ責任者)やそれに準ずる役職では、2,000万円を超えるケースも珍しくありません。

なぜCISSP取得者は高年収を得やすいのでしょうか。その理由は主に以下の3点に集約されます。

  1. 高い需要と希少性: デジタルトランスフォーメーション(DX)の進展に伴い、あらゆる企業でサイバーセキュリティのリスクが増大しています。しかし、そのリスクに対応できる高度なスキルを持つ人材は慢性的に不足しています。特に、技術とマネジメントの両面を理解し、組織全体のセキュリティを統括できるCISSP取得者のような人材は希少価値が高く、需要と供給のアンバランスが給与水準を押し上げています。
  2. 責任の大きさ: CISSP取得者が担う役割は、企業の重要資産や顧客情報をサイバー攻撃から守り、事業継続性を確保するという、非常に大きな責任を伴います。インシデントが発生すれば、企業は金銭的な損害だけでなく、ブランドイメージの失墜や顧客からの信頼喪失といった計り知れないダメージを受ける可能性があります。この責任の重さが、高い報酬という形で反映されるのです。
  3. 経営への貢献: CISSP取得者は、単に技術的な対策を講じるだけでなく、セキュリティリスクを経営課題として捉え、事業戦略と整合性のとれたセキュリティ投資を提案する能力が求められます。適切なセキュリティガバナンスを構築し、コンプライアンスを遵守することは、企業の持続的な成長に不可欠です。このような経営への直接的な貢献が、高い評価と年収に繋がります

ただし、注意点として、資格を取得しただけで自動的に年収が上がるわけではありません。CISSPで得た知識を実務でどのように活かし、組織に貢献していくかが最も重要です。資格はあくまで能力を証明する手段であり、その能力を最大限に発揮して成果を出すことで、初めて高い評価と報酬が伴ってくるということを理解しておく必要があります。

CISSP試験の難易度

広範すぎる出題範囲、マネジメント視点の要求、独特な日本語訳、CAT(Computerized Adaptive Testing)形式のプレッシャー

CISSP試験は、情報セキュリティ分野の資格の中でも最難関の一つとして知られています。その難易度の高さは、単に暗記量が多いためではなく、試験の形式、問われる思考力、そして出題範囲の広さに起因します。

合格率は非公開だが難易度は高い

主催団体である(ISC)²は、CISSP試験の合格率を公式に公表していません。これは、試験の公平性や機密性を保つための方針と考えられます。しかし、受験者の体験談や各種フォーラムの情報などから、その合格率が決して高くはなく、十分な準備なしに合格することは極めて困難であると推測されています。

CISSP試験の難易度が高いとされる主な理由は、以下の通りです。

  1. 広範すぎる出題範囲: 前述の通り、試験は8つのドメイン(CBK)から出題されます。それぞれのドメインが一つの資格として成立するほど広範かつ深い内容を含んでおり、これらすべてをマスターするには膨大な学習時間が必要です。例えば、ネットワークの専門家であっても、ソフトウェア開発セキュリティや法規制に関する知識も同等に求められるため、自身の専門外の分野をいかにキャッチアップするかが課題となります。
  2. マネジメント視点の要求: CISSP試験の問題は、単なる技術的な知識を問うものではありません。「ある状況において、マネージャーとして、あるいはコンサルタントとして最も適切な判断は何か?」という形式で、受験者の思考プロセスや判断基準を問う問題が多く出題されます。多くの場合、複数の選択肢が技術的には正しく見える中で、「最も」適切な一つを選ばなければなりません。この「マネージャーの視点」を身につけることが、合格の鍵となります。
  3. 独特な日本語訳: 日本語で受験する場合、問題文の翻訳に癖があると感じる受験者が少なくありません。原文の英語のニュアンスが完全に伝わっていなかったり、不自然な日本語表現になっていたりすることがあり、問題の意図を正確に読み解くのに苦労する場合があります。そのため、英語の原文と併記して確認する、あるいは英語の学習教材も併用するといった対策が有効となることがあります。
  4. CAT(Computerized Adaptive Testing)形式のプレッシャー: 後述するCAT形式は、受験者の能力に合わせて問題の難易度が変動します。正解を続けると問題が難しくなり、不正解だと簡単になります。このため、常に自分の能力の限界に近いレベルの問題に挑戦し続けることになり、精神的なプレッシャーが非常に大きい試験です。

これらの要因が複合的に絡み合い、CISSP試験を単なる知識テストではなく、セキュリティプロフェッショナルとしての総合的な資質を問う、非常に難易度の高いものにしています。

合格に必要な勉強時間の目安

CISSPの合格に必要な勉強時間は、個人の実務経験や前提知識によって大きく異なりますが、一般的には 250時間から500時間程度が目安とされています。しかし、これはあくまで一つの目安であり、人によっては1000時間以上を要する場合もあります。

自身の状況に応じた勉強時間を考える上で、以下の点を考慮すると良いでしょう。

  • 実務経験が豊富な場合(5年以上、複数のドメインに跨る経験):
    • 目安時間: 200〜300時間
    • 学習の焦点: 自身の経験が豊富なドメインは知識の再確認や体系化に留め、経験の薄いドメインの学習に重点を置きます。例えば、インフラ運用が長い人は、ソフトウェア開発セキュリティや法規制、ガバナンスといった分野の学習に多くの時間を割く必要があります。公式問題集を解き、知識の穴を特定することから始めるのが効率的です。
  • 実務経験が比較的少ない場合(5年前後、特定のドメインに特化した経験):
    • 目安時間: 300〜500時間以上
    • 学習の焦点: まずは公式ガイドブックを通読し、8ドメイン全体の基礎知識を固めることから始めます。用語の定義や基本的な概念を一つひとつ確実に理解することが重要です。全体像を掴んだ後で、問題演習に移り、知識の定着を図ります。
  • 関連資格(情報処理安全確保支援士など)を保有している場合:
    • 一部の知識領域(特に技術的なドメイン)で重複があるため、学習時間を短縮できる可能性があります。しかし、CISSP特有のマネジメント視点やグローバルなベストプラクティスに関する部分は、新たにていねいに学習する必要があります。過信せず、模擬試験などで実力を客観的に測ることが重要です。

いずれの場合も、重要なのは学習の総時間数よりも、学習の質と継続性です。毎日少しずつでも学習を続ける習慣をつけ、インプット(参考書を読む)とアウトプット(問題を解く)をバランス良く繰り返すことが、合格への最も確実な道筋となります。

他の主要セキュリティ資格との違い

情報セキュリティ分野には、CISSP以外にも多くの有用な資格が存在します。特に、日本の国家資格である「情報処理安全確保支援士(SC)」や、同じく国際的な資格である「CISM(公認情報セキュリティマネージャー)」は、CISSPと比較されることが多い資格です。それぞれの違いを理解し、自身のキャリア目標に合った資格を選択することが重要です。

比較項目 CISSP (Certified Information Systems Security Professional) 情報処理安全確保支援士 (SC) CISM (Certified Information Security Manager)
主催団体 (ISC)² (国際的な非営利団体) IPA (情報処理推進機構) (日本の独立行政法人) ISACA (国際的な非営利団体)
資格種別 国際認定資格 国家資格 国際認定資格
主な対象者 技術者から経営層まで幅広いセキュリティ専門家 セキュリティ技術者、開発者、コンサルタント 情報セキュリティ管理者、マネージャー、監査人
知識の焦点 技術とマネジメントのバランス。広範なベストプラクティス。 技術的な側面に重点。日本の法律やガイドラインも含む。 マネジメントとガバナンスに特化。戦略・管理中心。
視点 マネージャー、コンサルタントとしての視点 技術者、設計者としての視点 経営層、事業責任者としての視点
維持要件 3年ごとに120 CPE + 年会費 3年ごとの講習受講義務 (費用約14万円) 3年ごとに120 CPE + 年会費

情報処理安全確保支援士(SC)との違い

情報処理安全確保支援士(Registered Information Security Specialist、通称SC)は、IPA(情報処理推進機構)が実施する国家試験であり、日本国内で非常に認知度の高い資格です。

最大の違いは、CISSPが国際的なベストプラクティスに基づくグローバル標準の資格であるのに対し、SCは日本の法律(サイバーセキュリティ基本法など)や国内のガイドラインを強く意識した国家資格である点です。そのため、SCの試験では、日本特有の状況を想定した問題や、国内法に関する知識が問われることがあります。

また、知識の焦点にも違いがあります。CISSPは技術とマネジメントの両面をバランス良く網羅し、特に「なぜその対策が必要なのか」という戦略的・管理的視点を重視します。一方、SCはネットワーク、データベース、OS、暗号化といった技術的な要素に深く踏み込んだ問題が多く、セキュアなシステムを「どのように設計・実装・運用するか」という技術者としての能力がより強く問われる傾向にあります。

キャリアの観点では、CISSPは外資系企業やグローバルに展開する日本企業で特に評価が高く、SCは官公庁や国内の大手企業、ITベンダーで強みを発揮します。両者は排他的な関係ではなく、両方を取得することで、技術とマネジメント、グローバルとローカルの両方の視点を備えた、市場価値の非常に高い人材となることができます。

CISM(公認情報セキュリティマネージャー)との違い

CISM(Certified Information Security Manager)は、ISACA(情報システムコントロール協会)が認定する国際資格で、CISSPと同様にセキュリティ管理者を対象としています。

CISSPとの最も大きな違いは、その焦点が「情報セキュリティマネジメント」に完全に特化している点です。CISMの知識体系は、以下の4つのドメインで構成されています。

  1. 情報セキュリティガバナンス
  2. 情報リスクの管理
  3. 情報セキュリティプログラムの開発と管理
  4. 情報セキュリティインシデントの管理

これを見てわかるように、CISMは技術的な実装の詳細よりも、セキュリティ戦略の策定、リスク評価、プログラム管理、インシデント対応体制の構築といった、純粋なマネジメント業務に焦点を当てています

一方、CISSPはセキュリティアーキテクチャ、ネットワークセキュリティ、ソフトウェア開発セキュリティなど、技術的なドメインも深くカバーしており、より広範な知識が求められます。

キャリアパスで考えると、CISMはCISOやセキュリティ部門の部長など、情報セキュリティの管理・監督に責任を持つ純粋なマネジメント職を目指す方に最適です。一方、CISSPは、技術的なバックグラウンドを持ちながらマネジメント層へステップアップしたい方や、セキュリティアーキテクト、シニアコンサルタントなど、技術とマネジメントの両方が求められる役割で活躍したい方により適していると言えるでしょう。

どちらも非常に価値の高い資格ですが、CISMは「スペシャリスト(マネジメント特化型)」、CISSPは「ジェネラリスト(広範囲対応型)」と特徴づけることができます。

CISSP試験の概要

(ISC)²アカウントの作成、ピアソンVUEでの試験予約、試験と試験言語の選択、試験センターと日時の選択、受験料の支払い、予約内容の確認

CISSP試験の受験を具体的に検討する際には、受験資格や試験形式、費用といった詳細な情報を正確に把握しておくことが不可欠です。ここでは、(ISC)²公式サイトの情報を基に、試験の概要を解説します。

受験資格

CISSPの正規認定を受けるためには、CBK(Common Body of Knowledge)8ドメインのうち、2つ以上のドメインに関連する業務で、フルタイムで5年以上の実務経験があることが必要です。この実務経験は、有給またはそれに相当するものである必要があります。

ただし、この実務経験要件には以下の免除規定があります。

  • 学士号の取得: 4年制大学の学士号、またはそれに相当する学位を取得している場合、5年間のうち1年間の実務経験が免除されます。
  • (ISC)²が承認する資格の保有: (ISC)²が指定する他の認定資格(例:SSCP, CompTIA Security+, CISMなど)を保有している場合も、1年間の実務経験が免除されます。

これらの免除は、最大で1年間までしか適用されません。つまり、学士号と他の資格の両方を持っていても、免除されるのは合計1年間のみです。したがって、最低でも4年間の実務経験は必須となります。

もし、現時点で実務経験が5年(または免除規定適用で4年)に満たない場合でも、試験に挑戦する道があります。それが「(ISC)²準会員(Associate of (ISC)²)」制度です。これは、先に試験に合格し、その後、実務経験要件を満たすための期間(合格後6年間)が与えられるというものです。この期間内に要件を満たし、所定の手続きを行えば、晴れて正規のCISSPとして認定されます。これは、若手のセキュリティ専門家がキャリアの早い段階で目標を設定し、計画的に資格取得を目指す上で非常に有効な制度です。

試験形式(CAT形式)と試験時間

CISSP試験は、CAT(Computerized Adaptive Testing)形式で実施されます。これは、日本の多くの資格試験で採用されているペーパーテストや、決まった問題数が出題されるCBT(Computerized Based Testing)とは大きく異なる、特徴的な試験形式です。

CATの仕組みは以下の通りです。

  1. 最初の問題は、平均的な難易度のものが出題されます。
  2. 受験者がその問題に正解すると、次の問題はより難易度の高いものが出題されます。
  3. 逆に不正解だった場合、次の問題はより難易度の低いものが出題されます。
  4. これを繰り返すことで、コンピュータは受験者の能力レベルを徐々に絞り込んでいきます。
  5. そして、95%の信頼度で、受験者の能力が合格基準点を上回っているか下回っているかが判定できた時点で、試験は自動的に終了します。

このため、試験が早く終わったからといって、不合格とは限りません。非常に優秀な受験者は、最小問題数で能力が合格ラインを大きく上回っていると判定され、早く試験を終えることがあります。

試験時間は最大4時間です。この時間内に、後述する問題数を解答する必要があります。(注:この試験時間は2024年4月15日に3時間から4時間へと変更されました。最新の情報を公式サイトで確認することをお勧めします。参照:(ISC)²公式サイト)

出題数と合格点

CAT形式のため、出題数は全受験者で一律ではありません。

  • 出題数: 125問から175問の間で変動します。
    • このうち、25問は採点対象外の調査問題です。しかし、どれが調査問題かは受験者にはわからないため、すべての問題に全力で取り組む必要があります。
    • 最小125問(うち採点対象100問)を解いた時点で、合否が判定される可能性があります。判定が難しい場合は、最大175問(うち採点対象150問)まで出題が続きます。
  • 合格点: 1000点満点中、700点以上で合格となります。

ただし、これも単純な正答率で決まるわけではありません。CAT形式では、難易度の高い問題に正解するほど、高いスコアが得られます。したがって、能力レベルが合格基準である700点を上回っているとシステムに判断されることが、合格の条件となります。

受験料

CISSPの受験料は、(ISC)²によって米ドルで定められています。2024年5月時点での標準的な受験料は以下の通りです。

  • 標準受験料: USD $749

これはあくまで標準価格であり、地域やキャンペーンによって変動する可能性があります。また、日本円での支払額は、申し込み時点での為替レートによって変動します。

試験の予約をキャンセルまたは変更する場合、手数料が発生することがあります。(ISC)²の規定では、試験日の48時間前までに手続きを行わない場合、受験料は返金されません。高額な受験料であるため、スケジュール管理には細心の注意が必要です。(参照:(ISC)²公式サイト、ピアソンVUEサイト)

試験の申し込み方法

CISSP試験の申し込みは、以下のステップで行います。

  1. (ISC)²アカウントの作成: まず、(ISC)²の公式サイトにアクセスし、自身のアカウントを作成します。
  2. ピアソンVUEでの試験予約: (ISC)²のサイトから、試験配信パートナーであるピアソンVUE(Pearson VUE)のサイトに遷移します。
  3. 試験と試験言語の選択: 受験する試験として「CISSP」を選択し、希望する試験言語(日本語または英語など)を選択します。
  4. 試験センターと日時の選択: 全国のピアソンVUEテストセンターの中から、受験に都合の良い会場と日時を選択します。
  5. 受験料の支払い: クレジットカードなどで受験料を支払います。支払いが完了すると、予約確認のメールが届きます。
  6. 予約内容の確認: 予約した日時や会場、当日の持ち物(有効な身分証明書が2点必要など)を最終確認します。

試験の申し込みは、学習計画と合わせて早めに行うことをお勧めします。試験日を確定させることで、学習のモチベーションを高め、計画的に準備を進めることができます。

CISSP試験の出題範囲(CBK8ドメイン)

セキュリティとリスクマネジメント、資産のセキュリティ、セキュリティアーキテクチャとエンジニアリング、通信とネットワークセキュリティ、IDおよびアクセス管理、セキュリティの評価とテスト、セキュリティの運用、ソフトウェア開発セキュリティ

CISSP試験の成否は、CBK(Common Body of Knowledge)と呼ばれる8つのドメインをいかに深く、かつ横断的に理解しているかにかかっています。ここでは、各ドメインでどのような知識が問われるのかを具体的に解説します。

① セキュリティとリスクマネジメント

このドメインは、CISSPの知識体系全体における土台となる最も重要な分野です。配点比率も最も高く、情報セキュリティの基本概念、原則、そして組織統治(ガバナンス)について問われます。

  • 情報セキュリティの基本概念: 機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)のCIAトライアドをはじめ、真正性、否認防止といったセキュリティの目的を理解します。
  • セキュリティガバナンス: 組織の目標と整合性のとれたセキュリティ戦略を策定し、実行するための原則とプロセスを学びます。ポリシー、標準、ベースライン、ガイドライン、手順といった文書体系の役割と階層を理解することが重要です。
  • コンプライアンス: 個人情報保護法、不正競争防止法、サイバーセキュリティ基本法といった法規制や、業界標準(PCI DSSなど)を遵守することの重要性と、そのためのアプローチを学びます。
  • リスクマネジメント: 脅威、脆弱性、リスクの関係性を理解し、リスクアセスメント(特定、分析、評価)とリスク対応(受容、回避、転嫁、低減)のプロセスを体系的に学びます。定性的リスク分析と定量的リスク分析の違いも重要なポイントです。
  • セキュリティ教育と意識向上: 従業員に対するセキュリティ教育・訓練の計画、実施、評価の方法について問われます。

② 資産のセキュリティ

このドメインでは、組織が保護すべき「資産」とは何かを定義し、それを適切に分類、管理、保護するためのライフサイクル全体にわたる手法を学びます。

  • 資産の特定と分類: 情報資産(データ、ソフトウェア)、物理資産(サーバー、PC)、人的資産(従業員)などを特定し、その重要性や機密性に応じて分類(例:極秘、秘、社外秘、公開)するプロセスを理解します。
  • 所有権の概念: データオーナー、データスチュワード、データカストディアンといった役割と責任の違いを明確に理解することが求められます。
  • プライバシーの保護: 個人情報(PII)を保護するための要件や、プライバシー影響評価(PIA)の実施方法について学びます。
  • データ保持: データのライフサイクル(作成、保存、使用、共有、破棄)に応じたセキュリティ対策と、法的要件に基づくデータ保持ポリシーの策定がテーマとなります。
  • データの安全な破棄: ハードディスクの物理的破壊やデータ消去(サニタイズ)技術など、情報漏洩を防ぐための確実なデータ破棄方法を理解します。

③ セキュリティアーキテクチャとエンジニアリング

このドメインは、セキュアなシステムやコンポーネントを設計、実装、運用するための技術的な概念と手法を扱います。暗号技術など、技術的に深い内容が含まれます。

  • セキュア設計の原則: 最小権限の原則、多層防御(Defense in Depth)、フェイルセーフ、セキュア・バイ・デフォルトといった、堅牢なシステムを構築するための基本原則を学びます。
  • セキュリティモデル: Bell-LaPadulaモデル(機密性)、Bibaモデル(完全性)といった、アクセス制御の形式的なモデルの概念を理解します。
  • 暗号技術: 共通鍵暗号、公開鍵暗号、ハッシュ関数、デジタル署名といった暗号技術の基本原理と用途を学びます。個別のアルゴリズムの詳細よりも、それぞれの技術がCIAをどのように実現するのかを理解することが重要です。
  • システムの脆弱性: バッファオーバーフロー、レースコンディションといった、システムに潜む脆弱性の種類とその対策について学びます。
  • 物理セキュリティ: データセンターの立地、入退室管理、監視カメラ、空調、電源といった、ITシステムを支える物理的な環境のセキュリティ要件が問われます。

④ 通信とネットワークセキュリティ

このドメインは、組織のネットワークインフラをサイバー攻撃から保護するためのアーキテクチャ、プロトコル、コンポーネントに関する知識を問います。

  • セキュアなネットワーク設計: OSI参照モデルとTCP/IPプロトコルスタックの各層の役割と、そこで発生する脅威を理解します。セグメンテーション、DMZ(非武装地帯)の設計などが含まれます。
  • ネットワークコンポーネント: ファイアウォール、IDS/IPS(侵入検知/防御システム)、プロキシサーバー、VPNゲートウェイといった、各種セキュリティ機器の機能と適切な配置を学びます。
  • セキュアな通信チャネル: SSL/TLS、IPsecといったプロトコルを用いて、通信を暗号化し、盗聴や改ざんから保護する技術を理解します。
  • 無線LANセキュリティ: WPA2/WPA3といった無線LANの暗号化規格や、不正アクセスポイント対策など、無線通信に特有のセキュリティ課題を扱います。

⑤ IDおよびアクセス管理

このドメインでは、正当なユーザーのみが、許可された情報資産にのみアクセスできるように制御するための仕組み全体を扱います。

  • アクセス制御の概念: 物理的アクセス制御(例:カードキー)と論理的アクセス制御(例:パスワード)の違いを理解します。
  • ID管理(アイデンティティ管理): ユーザーアカウントのライフサイクル(作成、変更、停止、削除)を管理するプロセスや、IDaaS(Identity as a Service)のようなクラウドサービスについて学びます。
  • 認証: 知識情報(パスワード)、所持情報(スマートカード)、生体情報(指紋)の3つの要素を理解し、多要素認証(MFA)の重要性を学びます。
  • 認可メカニズム: 任意アクセス制御(DAC)、強制アクセス制御(MAC)、役割ベースアクセス制御(RBAC)といった、アクセス許可を決定するためのモデルの違いと特徴を理解します。
  • シングルサインオン(SSO): SAMLやOAuth/OpenID Connectといった、複数のシステム間で認証情報を連携させる技術の仕組みを学びます。

⑥ セキュリティの評価とテスト

このドメインは、実装されたセキュリティ対策が意図通りに機能し、効果的であるかを検証・評価するための手法について問われます。

  • 評価・テスト戦略: セキュリティ評価の計画、実施、報告のプロセスを学びます。
  • 脆弱性診断: システムやアプリケーションに存在する既知の脆弱性をスキャンし、特定する手法です。
  • ペネトレーションテスト: 実際に攻撃者の視点からシステムへの侵入を試み、脆弱性の深刻度や影響を評価する手法です。ホワイトボックス、ブラックボックス、グレーボックスといったテストアプローチの違いを理解します。
  • セキュリティ監査: 組織のセキュリティポリシーや規制要件への準拠状況を、第三者の視点から客観的にチェックする活動です。
  • ログ管理とレビュー: システムやセキュリティ機器が出力するログを収集・分析し、不正アクセスの兆候やインシデントの調査に活用する手法を学びます。SIEM(Security Information and Event Management)の役割も重要です。

⑦ セキュリティの運用

このドメインは、日々のセキュリティ運用業務に焦点を当てます。インシデント対応や災害復旧など、実践的な内容が多く含まれます。

  • インシデント管理: セキュリティインシデントの検知、分析、封じ込め、根絶、復旧、そして事後対応(教訓)という一連のライフサイクルを管理するプロセスを学びます。CSIRT(Computer Security Incident Response Team)の役割も含まれます。
  • 災害復旧計画(DRP): 地震や火災などの災害発生時に、ITシステムをいかに迅速に復旧させるかの計画です。バックアップ戦略、代替サイト(ホットサイト、ウォームサイト、コールドサイト)の選定などがテーマです。
  • 事業継続計画(BCP): 災害やシステム障害が発生しても、組織の重要な事業を中断させず、継続させるための包括的な計画です。DRPはBCPの一部と位置づけられます。事業影響度分析(BIA)が計画の基礎となります。
  • 変更管理・構成管理: システムへの変更を管理し、意図しない脆弱性の発生を防ぐためのプロセスです。
  • パッチ管理: 脆弱性を修正するためのセキュリティパッチを、迅速かつ安全に適用するためのプロセスを学びます。

⑧ ソフトウェア開発セキュリティ

このドメインでは、ソフトウェア開発のライフサイクル全体にわたって、セキュリティを組み込む(シフトレフト)ための考え方と手法が問われます。DevSecOpsの概念と密接に関連します。

  • セキュアなソフトウェア開発ライフサイクル(SDLC): 要件定義、設計、実装、テスト、リリースの各段階で、どのようなセキュリティ活動を実施すべきかを学びます(例:脅威モデリング、セキュアコーディング、静的/動的コード解析)。
  • セキュアコーディングの原則: SQLインジェクション、クロスサイトスクリプティング(XSS)といった代表的なWebアプリケーションの脆弱性の原因と対策を理解し、安全なコードを書くための原則を学びます。
  • ソフトウェアのセキュリティ評価: ソースコードレビュー、静的アプリケーションセキュリティテスト(SAST)、動的アプリケーションセキュリティテスト(DAST)といった、開発したソフトウェアの脆弱性をテストする手法を学びます。
  • サプライチェーンセキュリティ: オープンソースソフトウェア(OSS)やサードパーティ製のライブラリを利用する際に、それらに含まれる脆弱性を管理する手法(ソフトウェア部品表:SBOMなど)が問われます。

CISSP合格に向けた効果的な勉強方法

(ISC)²公式の参考書・問題集で基礎を固める、オンラインの学習サイトやeラーニングを活用する、公式トレーニングやセミナーで理解を深める

最難関とされるCISSP試験に合格するためには、戦略的で効率的な学習計画が不可欠です。ここでは、多くの合格者が実践している効果的な勉強方法を3つのアプローチから紹介します。

(ISC)²公式の参考書・問題集で基礎を固める

CISSPの学習において、最も信頼性が高く、中心に据えるべき教材は(ISC)²が発行する公式の教材です。試験範囲であるCBKを最も正確に網羅しており、合格への最短ルートを示してくれます。

  • (ISC)² CISSP 公式ガイドブック (Official Study Guide):
    • 特徴: CBK8ドメインのすべてのトピックを詳細に解説した、いわば「教科書」です。CISSPの知識体系をゼロから体系的に学ぶ上で必須の教材と言えます。
    • 効果的な使い方: まずは全体を一度通読し、試験範囲の全体像を把握することから始めましょう。知らない用語や理解が難しい概念に付箋をつけながら読み進め、2周目以降でそれらを重点的に復習します。各章の終わりにある練習問題は、その章の理解度を測るのに最適です。
  • (ISC)² CISSP 公式問題集 (Official Practice Tests):
    • 特徴: 膨大な数の練習問題がドメイン別に収録されており、本番に近い形式で知識の定着度を確認できます。詳細な解説が付いているため、なぜその選択肢が正解で、他が不正解なのかを深く理解することができます。
    • 効果的な使い方: ガイドブックで一通り学習した後、この問題集を使ってアウトプットの練習を繰り返します。重要なのは、正解した問題でも「なぜ正解なのか」を自分の言葉で説明できるように、解説を熟読することです。間違えた問題は、該当するガイドブックの箇所に戻って徹底的に復習し、知識の穴を一つひとつ埋めていく地道な作業が合格に繋がります。模擬試験モードで時間を計って解くことで、本番の時間配分や集中力を養う練習にもなります。

公式教材は情報量が多く分厚いため、最初は圧倒されるかもしれませんが、ここに含まれる知識をマスターすることが合格の絶対条件です。焦らず、計画的に学習を進めましょう。

オンラインの学習サイトやeラーニングを活用する

公式教材での学習を補完し、理解を深めるために、オンラインの学習リソースの活用は非常に有効です。特に、動画での解説や模擬試験機能は、独学の効率を大きく高めてくれます。

  • 動画学習プラットフォーム:
    • Udemy、Coursera、LinkedIn Learningといったプラットフォームでは、世界中の専門家が作成したCISSP対策コースが多数提供されています。
    • メリット: 複雑な技術や概念(例:暗号技術、ネットワークプロトコル)を、図やアニメーションを使って視覚的に解説してくれるため、テキストだけでは理解しにくい内容も頭に入りやすくなります。また、通勤時間などの隙間時間にスマートフォンで学習できるのも魅力です。経験豊富な講師が「マネージャーの視点」を具体例を交えて解説してくれるコースは特に価値があります。
  • オンライン模擬試験サイト:
    • 公式問題集以外にも、CISSPに特化した模擬試験を提供するウェブサイトが国内外に存在します。
    • メリット: CAT形式をシミュレートしたエンジンを搭載しているサイトもあり、本番の試験形式に慣れるための貴重な練習機会となります。数千問規模の問題データベースを持つサイトもあり、様々な角度から知識を問われることで、記憶の定着と思考力の強化に繋がります。本番直前期には、こうしたサイトで自分の実力が合格ライン(70%〜80%以上の正答率)に達しているかを確認することが、自信を持って試験に臨むための重要なステップです。

これらのオンラインリソースは、無料のものから有料のものまで様々です。自分の学習スタイルや予算に合わせて、公式教材と組み合わせることで、より効果的な学習環境を構築できます。

公式トレーニングやセミナーで理解を深める

独学に限界を感じる場合や、短期間で集中的に学習したい場合には、(ISC)²が認定する公式のトレーニングやセミナーに参加することも有力な選択肢です。

  • (ISC)²公式 CISSP CBKトレーニング:
    • 特徴: (ISC)²認定講師が、CBK8ドメインの要点を5日間程度の集中講座で解説します。最新の試験傾向や、合格するための重要なポイントを直接学ぶことができます。
    • メリット:
      • 疑問点を即座に解消: 講義中に直接講師に質問できるため、独学では解決しにくい疑問点をその場でクリアにできます。
      • 学習のペースメイク: カリキュラムに沿って学習が進むため、独学で陥りがちな学習の遅れや中だるみを防ぐことができます。
      • 他の受講生との交流: 同じ目標を持つ他の受講生と交流することで、モチベーションを高め合ったり、情報交換をしたりすることができます。
    • 注意点: 受講費用は数十万円と高額になるため、費用対効果を慎重に検討する必要があります。会社からの補助が受けられる場合は、積極的に活用を検討しましょう。

これらの学習方法に優劣はなく、自分の知識レベル、学習スタイル、かけられる時間や費用に応じて、これらを最適に組み合わせることが合格への鍵となります。例えば、「まずは公式ガイドブックで基礎を固め、苦手なドメインは動画教材で補強し、最後に公式問題集とオンライン模試で徹底的にアウトプット練習を行う」といった計画が、バランスの取れた効果的なアプローチと言えるでしょう。

試験申し込みから資格認定までの5ステップ

受験資格を確認する、試験を予約・申し込みする、試験を受験し合格する、推薦状(エンドースメント)を提出する、認定手続きを完了する

CISSP試験は、合格するだけでは資格認定されません。合格後の推薦プロセスを経て、初めて正式な認定資格保持者となります。ここでは、試験の申し込みから最終的な認定までの一連の流れを、5つのステップに分けて解説します。

① 受験資格を確認する

最初のステップは、自分がCISSPの受験資格、特に実務経験要件を満たしているかを正確に確認することです。

  • 実務経験の棚卸し: 過去の職歴をすべて洗い出し、CBK8ドメインのうち、どのドメインに何年間関連していたかを整理します。職務経歴書や業務内容の説明資料を作成し、客観的に証明できるように準備しておきましょう。
  • 免除規定の確認: 4年制大学の卒業証明書や、(ISC)²が認める他資格の合格証など、1年間の経験免除を受けられる場合は、その証明書類が手元にあるかを確認します。
  • 準会員制度の検討: もし経験年数が不足している場合は、準会員(Associate of (ISC)²)として先に試験に合格し、後から経験を積むという選択肢を検討します。

このステップを事前に行っておくことで、合格後にスムーズに認定手続きを進めることができます。

② 試験を予約・申し込みする

受験資格の確認ができたら、次に試験の予約を行います。

  1. (ISC)²公式サイトでアカウントを作成します。
  2. サイトの指示に従い、試験配信パートナーであるピアソンVUE(Pearson VUE)のウェブサイトに移動します。
  3. 受験する試験「CISSP」と、希望する言語(日本語/英語)を選択します。
  4. 全国のテストセンターの中から、受験したい会場と日時を選択して予約します。
  5. クレジットカード等で受験料(USD $749)を支払い、申し込みを完了させます。

申し込みが完了すると、予約確認メールが届きます。試験日、会場、持ち物(特に有効期限内の身分証明書2点が必要)などの重要事項が記載されているため、必ず内容を確認し、大切に保管してください。

③ 試験を受験し合格する

試験当日は、指定された時間に余裕を持って会場に到着し、受付手続きを済ませます。試験はPC上で行われ、前述のCAT形式で進行します。

  • 時間配分: 最大4時間という長丁場ですが、CAT形式のため、問題数と試験時間は人によって異なります。一問一問に集中し、落ち着いて解答することを心がけましょう。
  • 仮合否の通知: 試験が終了すると、その場でPCの画面に仮の合否結果が表示されます。また、受付で結果が印刷されたレポートを受け取ります。「Congratulations!(おめでとうございます!)」といったメッセージが表示されていれば、仮合格です。

この時点ではまだ「仮」の状態であり、次のステップに進む必要があります。

④ 推薦状(エンドースメント)を提出する

試験に合格したら、合格日から9ヶ月以内に、オンラインで推薦(エンドースメント)手続きを完了させる必要があります。

  • 推薦者を探す: エンドースメントとは、受験者の実務経験が真実であることを、既に有効な(ISC)²認定資格(CISSPなど)を保有している第三者が証明・推薦するプロセスです。職場の同僚や上司、社外の知人などに、(ISC)²資格保持者がいないかを探し、推薦を依頼します。
  • (ISC)²による代行: もし身近に推薦者が見つからない場合でも、(ISC)²に直接エンドースメントを依頼することができます。この場合、(ISC)²が受験者の職務経歴書などを審査し、推薦の代行を行います。

オンラインのエンドースメントフォームに、自分の実務経験の詳細と、推薦者の情報(氏名、認定番号など)を入力して申請します。推薦者には(ISC)²から確認の連絡が行き、承認されると手続きが進みます。

⑤ 認定手続きを完了する

エンドースメント申請が(ISC)²によって審査・承認されると、いよいよ最終ステップです。

  1. (ISC)²から認定承認の通知メールが届きます。
  2. メールの指示に従い、オンラインで初年度の年会費(AMF: Annual Maintenance Fee)を支払います
  3. (ISC)²の倫理規約(Code of Ethics)に同意します。

これらの手続きがすべて完了すると、晴れて正式にCISSPとして認定されます。後日、(ISC)²から認定証(デジタル証明書および物理的な証明書)が送付され、あなたはグローバルに認められた情報セキュリティプロフェッショナルの一員となります。

CISSP資格の維持と更新方法

3年ごとの更新が必要、CPEクレジットを取得する、年会費(AMF)を支払う

CISSPは一度取得すれば永続的に有効な資格ではありません。情報セキュリティの世界は常に変化し続けるため、資格保持者にも継続的な学習と専門性の維持が求められます。ここでは、CISSP資格を維持・更新するための要件について解説します。

3年ごとの更新が必要

CISSPの認定は、3年間のサイクルで更新する必要があります。この3年間の認定期間中に、後述する2つの要件(CPEクレジットの取得と年会費の支払い)を満たすことで、資格を次の3年間も有効に保つことができます。

この更新制度は、CISSP資格保持者が常に最新の知識とスキルを維持し、その価値と信頼性を担保するための重要な仕組みです。更新を怠ると、資格は「停止(Suspended)」状態となり、最終的には「失効(Revoked)」してしまうため、計画的な管理が不可欠です。

CPEクレジットを取得する

CPE(Continuing Professional Education)は、資格維持のための継続的な専門能力開発活動をポイント化したものです。CISSP資格を維持するためには、以下のCPEクレジットを取得する必要があります。

  • 3年間の合計: 120 CPEクレジット
  • 毎年の推奨: 最低40 CPEクレジット

3年間で合計120 CPEを取得する必要がありますが、(ISC)²は毎年コンスタントに40 CPEを取得することを推奨しています。これにより、最終年になって慌ててクレジットを取得するといった事態を避けることができます。

CPEクレジットは、以下の2つのグループに分けられます。

  • グループA: CBK8ドメインに直接関連する活動。
    • 例:セキュリティ関連のカンファレンスやセミナーへの参加、(ISC)²が主催するWebセミナーの視聴、セキュリティ関連書籍の執筆や読書、大学のコース履修、(ISC)²支部でのボランティア活動など。
  • グループB: 専門能力開発に寄与する活動(必ずしもCBKドメインに直接関連しなくてもよい)。
    • 例:プロジェクトマネジメント、コミュニケーション、リーダーシップに関する研修の受講など。

取得したCPEは、(ISC)²のメンバーポータルサイトから自己申告で登録します。3年間で120 CPEのうち、少なくとも90 CPEはグループAの活動から取得する必要があります。

CPEを取得する方法は多岐にわたるため、自身の興味やキャリア目標に合わせて、計画的に活動を選ぶことが可能です。日々の業務や学習活動が、そのまま資格維持に繋がる仕組みになっています。

年会費(AMF)を支払う

CPE要件に加えて、毎年、年会費(AMF: Annual Maintenance Fee)を支払う必要があります。この年会費は、(ISC)²のメンバーシップを維持し、前述の各種メンバー特典(最新情報へのアクセス、ネットワーキング機会など)を受けるための費用です。

  • 年会費: USD $135 (2024年5月時点。金額は変更される可能性があります。)

年会費は、認定日を基準として、毎年同じ時期に支払い期日が設定されます。(ISC)²のメンバーポータルサイトからクレジットカードなどで支払うことができます。

CPEクレジットの取得と年会費の支払いの両方を毎年欠かさず行うこと。これが、国際的に認められたCISSPとしてのステータスを維持し、情報セキュリティのプロフェッショナルとしてキャリアを継続していくための重要な責務です。