資格名

CISSP(公認情報システム監査人
※Certified Information Systems Security Professionalの略

資格の種類国際資格
主催米国の非営利団体 The International Information Systems Security Certification Consortium(ISC)
資格の概要

IT技術者のキャリアアップの手段として注目が高まっている、米国のセキュリティプロフェッショナル認定制度。戦略的かつ公平な判断のできるベンダーフリーの認定資格で、セキュリティ専門家としてのスキルの裏付けを提供します。CISOやシステム監査人、上級コンサルタントを目指すなら取得が推奨される資格です。
主にITガバナンスやリスク管理、情報制セキュリティに関する包括的な知識が身に付けられ、キャリアアップに役立つ国際的な資格です。情報セキュリティの主要10分野という広大な範囲における、実践的な知識体系の有無が問われる試験内容で、現在、世界で69,000名以上が認定資格を保持しています。
CISSP(公認情報システム監査人)以外に、CISA(公認情報システム監査人)という資格もあります。いずれも米国の非営利団体が運営する専門資格で、国際的に認定された資格です。
特に、外資系企業や監査法人、金融機関などで、監査やセキュリティやリスク管理などの内部統制の仕事をするためには、これらの資格を所有していることが必須条件であることが多く、所有しているとキャリアアップに大変有利になることが多いようです。
尚、CISSP資格には、上位資格として日本国内の行政や文化、慣習などに特化した「CISSP-行政情報セキュリティ」や、セキュリティエンジニア向けの「ISSEP」、セキュリティアーキテクト向けの「ISSAP」、セキュリティ管理者向けの「ISSMP」などのバリエーションがあります。

CISSP認定資格は資格継続のために、情報セキュリティ関連のトレーニングコースに参加するなどして、3年間ごとに120ポイント以上のCPEクレジット(継続教育単位)を取得しなければなりません。この制度があることで、取得者は常に新しい知識やスキルを身に付けることになります。そして、だからこそユーザー自身のスキルアップに有効な資格と目され、また世界中の企業が評価する資格となりつつあります。

試験方式

●試験形式:Computer Based Testing(CBT方式)
●出題形式:250問(日本語・英語併記)四者択一マークシート/試験時間 6時間  
●合格基準:1000点満点中700点以上(70%以上)の正解率

受験資格

●受験要件
・「プロフェッショナルとしての」業務経験 
※CBK10ドメインのうち、2つ以上の分野において5年以上の業務経験が必要。なお、大卒者や一定の資格の取得者は、1年分の経験が免除されます。
・「倫理規約(Code of Ethics)」への合意
・犯罪の履歴がないこと
●CISSP認定要件
・認定試験において1,000点中700点以上のスコアで認定試験に合格していること
・正しく記述されたエンドースメント(推薦状)を提出すること
・無作為に行われる業務経験に関する監査に合格すること

試験科目

●出題:CBK(Common Body of Knowledge)と呼ばれる以下の8つのドメイン(知識領域)から出題されます。
(1)セキュリティとリスクマネジメント
 セキュリティのCIA、リスク、コンプライアンス、法、規制、事業継続計画など、セキュリティの基本とリスクマネジメントの知識を問う。
(2)セキュリティの運用
 運用のための概念、デジタルフォレンジック、インシデント管理、ディザスタリカバリ、物理的セキュリティなど。CSIRTの実務に近い実践的な知識を問う。
(3)アイデンティティとアクセスの管理
 アカウント情報の管理と運用、アクセス制御に関する知識。ID管理、多要素認証、説明責任(アカウンタビリティ)、セッション管理の他、クラウドベースのID管理、ID統合についての知識。アクセス制御や認証システムへの攻撃メカニズム、防止・軽減策の知識も問われる。
(4)資産のセキュリティ
 情報資産のライフサイクルにおいて、情報の収集から分類、保管、管理、廃棄までの要件。プライバシー保護、個人情報保護・管理はこのドメインに含まれる。
(5)セキュリティアーキテクチャエンジニアリング
 悪意のある行為(サイバー攻撃など)、事故、自然災害、ハードウェアエラー、人的エラーなど障害対策に必要なシステムおよびシステムアーキテクチャの知識が問われる。セキュリティシステムの設計・構築に必要な知識とスキル、暗号化技術、公開鍵暗号インフラ、デジタル署名、デジタル著作権管理といった技術も含まれる。
(6)通信とネットワークセキュリティ
 ネットワークアーキテクチャ、トポロジー、インターネットプロトコル全般、関連ネットワーク機器(スイッチ、ルーター、Wi-Fi)に関する知識。エンドポイント保護、CDNといった概念も含まれる。イントラネット、インターネット双方での攻撃と防御に関する知識も問われる。
(7)ソフトウェア開発セキュリティ
 ソフトウェアの開発ライフサイクルにおけるセキュリティ確保のため、セキュアなコード設計、レポジトリ管理など、開発にセキュリティ品質を導入するための知識とスキルが問われる。
(8)セキュリティの評価とテスト
 ソフトウェアの脆弱性、エラー、設計上のセキュリティホールなどのリスクの特定と軽減を行うため、脆弱性評価、ペネトレーションテスト、代理トランザクション、コードレビューとテストに関する知識が問われる。また、結果の評価分析、報告、監査を実施できるスキルも必要である。

スケジュール

年間10回程度開催(1~3月、6~12月)第3又は第4日曜日   
※年間スケジュールで公開されます。

※試験はComputer Based Testing(CBT)で試験運営はピアソンVUEになります。

試験会場

東京

受験料

68,250円(消費税別)

資格難易度

・難易度 「A」難関   
・合格率  非公開(60~70%くらい?)

【資格の難易度レベル】
CISSPやCISAの難易度を考える時、よく情報処理推進機構(IPA)主催の情報セキュリティ管理者向けの「情報セキュリティスペシャリスト」やシステム監査として「システム監査技術者」が比較されますが、試験の内容や難易度面ではそれほど変わりはないと考えていいでしょう。試験の違いは論述問題があるかないかの違いくらいで、CISSPの場合は250問の4択問題を6時間で解くだけです。日本の国家資格では、応用情報技術者より難易度は低いレベルに感じます。
ただ、試験はかなり実戦的な内容が問われる試験であるため、知識だけの試験である日本のIPA情報処理関係資格とは少々毛色が異なり、単純な難易度比較は難しい気がします。

受験対策&
資格の将来性

米国の(ISC)2が認定する権威のある資格で、日本では「公認情報システム監査人」と呼ばれます。1995年にアメリカでスタートした認定資格で、現在は世界133カ国で6万9000人以上、日本では1000人以上が取得するまでになっている。国やベンダーに依存しない資格である上に、情報セキュリティに関する高度な専門知識が実証されることから、グローバルな資格として全世界の企業とユーザー に重視されています。
そして、業種に関係なく、情報セキュリティにかかわる人材(コンサルタント、管理職、技術職、監査員など)が最低限持つべき基本資格としても評価されています。
米国においては政府のゴールドスタンダードとして認定され、セキュリティを主業務とするDOD(国防省)やNSA(国家安全保障局)では、CISSPの取得が義務付けされています。また、英国では、CISSP有資格者は、政府の情報セキュリティ要員のためのトレーニングプログラムに自動認定されます。他には、スコットランドヤード(ロンドン警視庁)やインターポール(国際警察機構)でもCISSP取得が進められています。

この資格の特徴は、情報リスク管理に試験範囲を特化していることです。ITセキュリティの知識や防御技術、暗号などについてはCISAより深く踏み込んだ内容が出題されていますが、出題される問題は、知識があれば解けるというものではなく、特定の状況下で最適な判断を問うものが中心です。たとえば、「その技術はどういうもので」「どんな状況の時に」「なぜ必要になり」「それによって、どのようなリスクを回避できるか」をなど総合的に考えることを課すような問題です。資格の取得には、定められたCBK10ドメインのすべてをカバーする知識と見識が必要となります。また、合格ラインの700点以上(1000点満点中)は、試験レベルとしてはかなり高いと言えます。 ネットワークエンジニアやサー バエンジニアのようにセキュリティ技術に携わるITエンジニアにとっては、次のステップとして狙いやすい資格だと思います。

勉強の方法は、主催者団体から出されているテキストブックや問題集を購入して自習したり、また団体主催の有料セミナーを受講することなどが効果的です。ただ、セミナーはかなり費用がかかりますので、自己投資するかどうかは十分検討する必要があります。合格率から見た数字では、セミナー受講生の合格率は 2/3 程度、独学の方の合格率は 1/2 程度ということです。
いづれにしても、試験の出題範囲がとても広いので、まずは「CISSP CBKオンラインセルフアセスメント」(100問/7000円)で自分の実力を試すことがいいでしょう。このアセスメントの結果を分析することで、自分の強みや弱みを確認できますし、その上で、セミナーの受講を受けるかどうかを決めてもいいと思います。ある程度ITガバナンスの経験があって考え方などが分かっている人は問題集を集中的に繰り返して何回も解き、足りない知識や苦手な分野をカバーする学習をすることで試験に対応できると思います。
問題集を集中的に何度も解き、足りない知識や苦手な分野を繰り返し学習する方j法は、どの試験でも同じだと思いますが、試験時間が6時間で 250問の4択マークシートを解答するのはさすがにきついものがあります。
試験に英和辞典を持ち込むことはできますが、辞書を引かなければ分からないようでは無理だと思った方がよいだろう。また、少なくてもある程度得意分野がないと合格は難しいかと思います。
※CISSP認定資格はグローバルな資格ですが、それゆえに日本の情報セキュリティ事情に100%最適化しているとは言えない部分があります。そこで、日本特有の社会背景やICT(Information and Communication Technology )環境などを考慮した「CISSP-行政情報セキュリティ」認定資格が設けられています。
CISSP認定保持者でなければCISSP-行政情報セキュリティ認定試験を受験することはできませんが、ガイドブックやセミナーは、日本の情報セキュリティ要件に精通する手段として、CISSP認定保持者でない人にも活用できます。この試験により、行政機関で情報セキュリティに関わる人材の教育、首都圏―地方間の情報セキュリティ意識の格差是正、情報セキュリティ人材の底上げと育成に役立てられています。

通信講座

-

スクール

(ISC)² (国際情報システムセキュリティ認証コンソーシアム)NPO

オンライン学習

-

教材

CISSP

売れ筋教材

-

問い合わせ先

(ISC)2 CISSP 公式サイト

スポンサーリンク