CISSPについて- 国内のセキュリティ資格との難易度比較や勉強法など解説

CISSP（セキュリティ プロフェッショナル認定資格制度）
※Certified Information Systems Security Professionalの略

CISSPは、(ISC)²（International Information Systems Security Certification Consortium）が認定する、情報セキュリティ・プロフェッショナルの国際認定資格です。情報セキュリティに関する広範な知識とスキルを証明するものであり、CISOやシステム監査人、セキュリティコンサルタントなど、セキュリティ分野のトップレベルの職種を目指す人にとって必須の資格とされています。
情報セキュリティの主要10分野という広大な範囲における、実践的な知識体系の有無が問われる試験内容で、2023年1月現在、世界で152,000名以上のCISSP認定者がいるが認定資格を保持し、日本でもCISSP資格保有者は3,300名を超え、認知度と共に保有者数も増加しています。 CISSP以外に、CISA（公認情報システム監査人）という資格もありますが、いずれも米国の非営利団体が運営する専門資格で、国際的に認定された資格です。特に、外資系企業や監査法人、金融機関などで、監査やセキュリティやリスク管理などの内部統制の仕事をするためには、これらの資格を所有していることが必須条件であることが多く、所有しているとキャリアアップに大変有利になると言われています。

CISSP資格の有効期間は3年間であり、以下の要件を満たして更新する必要があります。
　①「(ISC)² 倫理規約」を遵守すること
　②必要な継続教育単位（CPEクレジット）を取得し、申請すること
　③毎年の請求書の受領時に年会費を支払うこと
※(ISC)2（International Information System Security Certification Consortium：
　国際情報システムセキュリティ認証コンソーシアム）は、米国のNPO（非営利団体）です。
　詳細はこちらを参照ください。

●難易度　
　　「Ａ」　 難関

・CISSPの資格難易度ランキング

【資格の難易度レベル】
CISSPやCISAの難易度を評価するとき、情報セキュリティスペシャリストやシステム監査としてシステム監査技術者が比較されますが、試験の内容や難易度面ではそれほど変わりはないと考えていいでしょう。CISSPはセキュリティ関連の情報を網羅的に学ぶ必要があり、決して簡単に取得できる資格でありません。これらの試験の違いは論述問題があるかないかの違いくらいで、CISSPの場合は250問の4択問題を6時間で解くだけです。日本の国家資格との比較では、同じ情報セキュリティ資格試験である「情報処理安全確保支援士試験」よりも、少し難易度が高いと言われています。ただ、CISSP試験はかなり実戦的な内容が問われる試験であるため、知識だけの試験である日本のIPA情報処理関係資格とは少々毛色が異なり、単純な難易度比較は難しい気がします。また、試験に英和辞典を持ち込むことはできますが、辞書を引かなければ分からないようでは合格は無理だと思った方がよいでしょう。少なくてもある程度得意分野がないと突破するのは難しい試験であることは間違いなさそうです。

--------------------------------------------
・合格率
　　　非公開（20～30%くらいと予想）

CISSPは米国の非営利会員団体(ISC)²が認定する権威のある資格で、日本では「セキュリティ・プロフェッショナル認定資格制度」と呼ばれます。1995年にアメリカでスタートした認定資格で、国やベンダーに依存しない資格である上に、情報セキュリティに関する高度な専門知識が実証されることから、グローバルな資格として全世界の企業とユーザー に重視されています。米国やヨーロッパでは広く知られており、日本においてもセキュリティ技術者をはじめ、システム開発に携わる人々を中心に少しずつ認知度を高めています。

この資格の特徴は、情報リスク管理に試験範囲を特化していることです。ITセキュリティの知識や防御技術、暗号などについてはCISAより深く踏み込んだ内容が出題されていますが、出題される問題は、知識があれば解けるというものではなく、特定の状況下で最適な判断を問うものが中心です。資格の取得には、定められたCBK8ドメインのすべてをカバーする知識と見識が必要となります。また、合格ラインの700点以上(1000点満点中)は、試験レベルとしてはかなり高いと言えます。 ネットワークエンジニアやサー バエンジニアのようにセキュリティ技術に携わるITエンジニアにとっては、次のステップとして狙いやすい資格だと思います。

勉強の方法は、主催者団体から出されている公式テキストブックや問題集を購入して自習したり、また主催者団体CISSPのオンライントレーニングを受講することなどが効果的です。ただ、セミナーはかなり費用がかかりますので、自己投資するかどうかは十分検討する必要があります。合格率から見た数字では、セミナー受講生の合格率は 2/3 程度、独学の方の合格率は 1/2 程度ということです。いづれにしても、試験の出題範囲がとても広いので、まずは「CISSP CBKオンラインセルフアセスメント」（100問/7000円)で自分の実力を試すことがいいでしょう。このアセスメントの結果を分析することで、自分の強みや弱みを確認できますし、その上で、セミナーの受講を受けるかどうかを決めてもいいと思います。ある程度ITガバナンスの経験があって考え方などが分かっている人は問題集を集中的に繰り返して何回も解き、足りない知識や苦手な分野をカバーする学習をすることで試験に対応できると思います。問題集を集中的に何度も解き、足りない知識や苦手な分野を繰り返し学習する方法は、どの試験にでも通じる方法だと思います。

・年間10回程度開催（1～3月、6～12月）第3又は第4日曜日　　　
※年間スケジュールで公開されます。

・受験はComputer Based Testing(CBT)で試験運営はピアソンVUEになります。ピアソンVUEにて予約を行い、受験者が予約した日時で受験します。
※再受験は初回不合格の場合30日間を空けてからの受験、2回目に不合格の場合は60日以内に再受験することができ、3回目に不合格の場合は90日以内に再受験することができます。これらの再受験は12ヶ月間に4回までの受験制限があります。

●申し込み方法
1.ピアソンVUEサイトhttp://www.pearsonvue.com/japan/ 
TOPページの左側メニュー「Quick links」→「試験予約・変更・手続き　Login」をクリックしてください。
2.「各試験のご案内ページ選択（試験の詳細・ご予約・変更・キャンセル）」下の「IT系」をクリックし、 表示された資格一覧から「(ISC)² 認定試験」をクリックしてください。
3.「(ISC)² 認定試験一覧」から試験予約をしてください。
※詳細のお申込方法やご不明な点はピアソンVUEコールセンターにお問い合わせください。

●CISSP認定要件
  CISSPに認定されるには、下記要件をすべて満たすことが必要です。
　　・CISSP 認定試験に合格すること(1000 点中 700 点以上で合格)
　　・CISSP CBK 8 ドメインのうち2 ドメインに関連した5 年以上の業務経験があること
　　　下記どちらかに該当する方は、1 年分の経験が免除され、4 年の業務経験で認定可能です。(免除は最長で1 年分)
　　・大学卒業学位取得者
　　・(ISC)² が認める資格の取得者　※資格の種類についてはこちらを参照下さい。
　　・実務経験が事実であることを証明すること
　　・「(ISC)² 倫理規約(Code of Ethics)」に合意すること
　　・(ISC)² 認定資格保持者から推薦されること
　　・無作為に行われる業務経験に関する監査に合格すること
　　・犯罪歴等に関する4 つの質問事項に該当する場合は、認定を受けることができない場合があります

※業務経験の年数を満たしていない方も受験は可能です。その場合、試験合格後、(ISC)² 準会員（アソシエイト）として登録されます。経験年数を満たした後に、ご自身で申請いただき、認定登録手続きが完了すると、 正式にCISSPとして認定されます。詳しくは、(ISC)² 準会員（アソシエイト）ページをご覧ください。

・会場
　　東京・大阪 (選択できます)

・749米ドル

●試験形式：Computer Based Testing(CBT方式)
　　　　　→詳細はこちらを参照ください。
●出題形式：250問（日本語・英語併記）四者択一マークシート
●試験時間 :6時間　※時間内で休憩を取ることが可能　
●合格基準：1000点満点中700点以上（70%以上）の正解率
※受験要綱:2021年5月1日よりCISSPドメインの内容が変更されました。受験要綱（Exam Outline）はこちらからダウンロードできます。FAQを参照ください。
●試験の申込：ピアソンVUE →詳しい内容はこちらを参照ください。

2018年4月にCBKが改定され、試験範囲が10ドメインから8ドメインに再編されました。
●出題：CBK（Common Body of Knowledge)と呼ばれる以下の8つのドメイン（知識領域）から出題されます。
(1)セキュリティとリスクマネジメント
　セキュリティのCIA、リスク、コンプライアンス、法、規制、事業継続計画など、セキュリティの基本とリスクマネジメントの知識を問う。
(2)セキュリティの運用
　運用のための概念、デジタルフォレンジック、インシデント管理、ディザスタリカバリ、物理的セキュリティなど。CSIRTの実務に近い実践的な知識を問う。
(3)アイデンティティとアクセスの管理
　アカウント情報の管理と運用、アクセス制御に関する知識。ID管理、多要素認証、説明責任（アカウンタビリティ）、セッション管理の他、クラウドベースのID管理、ID統合についての知識。アクセス制御や認証システムへの攻撃メカニズム、防止・軽減策の知識も問われる。
(4)資産のセキュリティ
　情報資産のライフサイクルにおいて、情報の収集から分類、保管、管理、廃棄までの要件。プライバシー保護、個人情報保護・管理はこのドメインに含まれる。
(5)セキュリティアーキテクチャとエンジニアリング
　悪意のある行為（サイバー攻撃など）、事故、自然災害、ハードウェアエラー、人的エラーなど障害対策に必要なシステムおよびシステムアーキテクチャの知識が問われる。セキュリティシステムの設計・構築に必要な知識とスキル、暗号化技術、公開鍵暗号インフラ、デジタル署名、デジタル著作権管理といった技術も含まれる。
(6)通信とネットワークのセキュリティ
　ネットワークアーキテクチャ、トポロジー、インターネットプロトコル全般、関連ネットワーク機器（スイッチ、ルーター、Wi-Fi）に関する知識。エンドポイント保護、CDNといった概念も含まれる。イントラネット、インターネット双方での攻撃と防御に関する知識も問われる。
(7)ソフトウェア開発セキュリティ
　ソフトウェアの開発ライフサイクルにおけるセキュリティ確保のため、セキュアなコード設計、レポジトリ管理など、開発にセキュリティ品質を導入するための知識とスキルが問われる。
(8)セキュリティの評価とテスト
　ソフトウェアの脆弱性、エラー、設計上のセキュリティホールなどのリスクの特定と軽減を行うため、脆弱性評価、ペネトレーションテスト、代理トランザクション、コードレビューとテストに関する知識が問われる。また、結果の評価分析、報告、監査を実施できるスキルも必要である。

【資格の難易度情報】
・資格の難易度とランキング

●関連資格
　ITコーディネータ

(ISC)² Japan
〒163-0532
東京都新宿区西新宿1-26-2　新宿野村ビル32階
TEL：03-5322-2837
Mail：infoisc2-j@isc2.org

・CISSP試験対策教材一覧
・CISSP CBK公式ガイドブック
・CISSP公式問題集
・CISSP 8ドメインガイドブック

CISSP公式問題集kindle版(電子書籍)