CISSPってどんな資格？ 難易度や勉強方法、資格の特徴なども解説

CISSP（セキュリティ プロフェッショナル認定資格制度）
※Certified Information Systems Security Professionalの略

CISSPは、(ISC)² （International Information Systems Security Certification Consortium）が認定を行っている国際的に認められた権威のある情報セキュリティ・プロフェッショナル認定資格です。主にITガバナンスやリスク管理、情報制セキュリティに関する包括的な知識が身に付けられ、キャリアアップに役立つ国際的な資格です。戦略的かつ公平な判断のできるベンダーフリーの認定資格で、セキュリティ専門家としてのスキルの裏付けを提供します。CISOやシステム監査人、上級コンサルタントを目指す人には取得が推奨される資格です。情報セキュリティの主要10分野という広大な範囲における、実践的な知識体系の有無が問われる試験内容で、現在、世界で152,000名以上（2022年1月現在）が認定資格を保持し、日本でもCISSP資格保有者は3,300名を超え、認知度と共に保有者数も増加しています。 CISSP以外に、CISA（公認情報システム監査人）という資格もありますが、いずれも米国の非営利団体が運営する専門資格で、国際的に認定された資格です。特に、外資系企業や監査法人、金融機関などで、監査やセキュリティやリスク管理などの内部統制の仕事をするためには、これらの資格を所有していることが必須条件であることが多く、所有しているとキャリアアップに大変有利になると言われています。

CISSP資格の有効期間は3年間であり、以下の要件を満たして更新する必要があります。
　①「(ISC)² 倫理規約」を遵守すること
　②必要な継続教育単位（CPEクレジット）を取得し、申請すること
　③毎年の請求書の受領時に年会費を支払うこと
※(ISC)2（International Information System Security Certification Consortium：
　国際情報システムセキュリティ認証コンソーシアム）は、米国のNPO（非営利団体）です。
　詳細はこちらを参照ください。

●試験形式：Computer Based Testing(CBT方式)
　　　　　→詳細はこちらを参照ください。
●出題形式：250問（日本語・英語併記）四者択一マークシート
●試験時間 :6時間　※時間内で休憩を取ることが可能　
●合格基準：1000点満点中700点以上（70%以上）の正解率
※受験要綱:2021年5月1日よりCISSPドメインの内容が変更されました。受験要綱（Exam Outline）はこちらからダウンロードできます。FAQを参照ください。
●試験の申込：ピアソンVUE →詳しい内容はこちらを参照ください。

●CISSP認定要件
  CISSPに認定されるには、下記要件をすべて満たすことが必要です。
　　・CISSP 認定試験に合格すること(1000 点中 700 点以上で合格)
　　・CISSP CBK 8 ドメインのうち2 ドメインに関連した5 年以上の業務経験があること
　　　下記どちらかに該当する方は、1 年分の経験が免除され、4 年の業務経験で認定可能です。(免除は最長で1 年分)
　　・大学卒業学位取得者
　　・(ISC)² が認める資格の取得者　※資格の種類についてはこちらを参照下さい。
　　・実務経験が事実であることを証明すること
　　・「(ISC)² 倫理規約(Code of Ethics)」に合意すること
　　・(ISC)² 認定資格保持者から推薦されること
　　・無作為に行われる業務経験に関する監査に合格すること
　　・犯罪歴等に関する4 つの質問事項に該当する場合は、認定を受けることができない場合があります

※業務経験の年数を満たしていない方も受験は可能です。その場合、試験合格後、(ISC)² 準会員（アソシエイト）として登録されます。経験年数を満たした後に、ご自身で申請いただき、認定登録手続きが完了すると、 正式にCISSPとして認定されます。詳しくは、(ISC)² 準会員（アソシエイト）ページをご覧ください。

2018年4月にCBKが改定され、試験範囲が10ドメインから8ドメインに再編されました。
●出題：CBK（Common Body of Knowledge)と呼ばれる以下の8つのドメイン（知識領域）から出題されます。
(1)セキュリティとリスクマネジメント
　セキュリティのCIA、リスク、コンプライアンス、法、規制、事業継続計画など、セキュリティの基本とリスクマネジメントの知識を問う。
(2)セキュリティの運用
　運用のための概念、デジタルフォレンジック、インシデント管理、ディザスタリカバリ、物理的セキュリティなど。CSIRTの実務に近い実践的な知識を問う。
(3)アイデンティティとアクセスの管理
　アカウント情報の管理と運用、アクセス制御に関する知識。ID管理、多要素認証、説明責任（アカウンタビリティ）、セッション管理の他、クラウドベースのID管理、ID統合についての知識。アクセス制御や認証システムへの攻撃メカニズム、防止・軽減策の知識も問われる。
(4)資産のセキュリティ
　情報資産のライフサイクルにおいて、情報の収集から分類、保管、管理、廃棄までの要件。プライバシー保護、個人情報保護・管理はこのドメインに含まれる。
(5)セキュリティアーキテクチャとエンジニアリング
　悪意のある行為（サイバー攻撃など）、事故、自然災害、ハードウェアエラー、人的エラーなど障害対策に必要なシステムおよびシステムアーキテクチャの知識が問われる。セキュリティシステムの設計・構築に必要な知識とスキル、暗号化技術、公開鍵暗号インフラ、デジタル署名、デジタル著作権管理といった技術も含まれる。
(6)通信とネットワークのセキュリティ
　ネットワークアーキテクチャ、トポロジー、インターネットプロトコル全般、関連ネットワーク機器（スイッチ、ルーター、Wi-Fi）に関する知識。エンドポイント保護、CDNといった概念も含まれる。イントラネット、インターネット双方での攻撃と防御に関する知識も問われる。
(7)ソフトウェア開発セキュリティ
　ソフトウェアの開発ライフサイクルにおけるセキュリティ確保のため、セキュアなコード設計、レポジトリ管理など、開発にセキュリティ品質を導入するための知識とスキルが問われる。
(8)セキュリティの評価とテスト
　ソフトウェアの脆弱性、エラー、設計上のセキュリティホールなどのリスクの特定と軽減を行うため、脆弱性評価、ペネトレーションテスト、代理トランザクション、コードレビューとテストに関する知識が問われる。また、結果の評価分析、報告、監査を実施できるスキルも必要である。

・年間10回程度開催（1～3月、6～12月）第3又は第4日曜日　　　
※年間スケジュールで公開されます。

・受験はComputer Based Testing(CBT)で試験運営はピアソンVUEになります。ピアソンVUEにて予約を行い、受験者が予約した日時で受験します。
※再受験は初回不合格の場合30日間を空けてからの受験、2回目に不合格の場合は60日以内に再受験することができ、3回目に不合格の場合は90日以内に再受験することができます。これらの再受験は12ヶ月間に4回までの受験制限があります。

●申し込み方法
1.ピアソンVUEサイトhttp://www.pearsonvue.com/japan/ 
TOPページの左側メニュー「Quick links」→「試験予約・変更・手続き　Login」をクリックしてください。
2.「各試験のご案内ページ選択（試験の詳細・ご予約・変更・キャンセル）」下の「IT系」をクリックし、 表示された資格一覧から「(ISC)² 認定試験」をクリックしてください。
3.「(ISC)² 認定試験一覧」から試験予約をしてください。
※詳細のお申込方法やご不明な点はピアソンVUEコールセンターにお問い合わせください。

・会場
　　東京・大阪 (選択できます)

・749米ドル

●難易度　
　　「Ａ」　 難関

【資格の難易度レベル】
CISSPやCISAの難易度を考える時、よく情報処理推進機構（IPA）主催の情報セキュリティ管理者向けの「情報セキュリティスペシャリスト」や、システム監査として「システム監査技術者」が比較されますが、試験の内容や難易度面ではそれほど変わりはないと考えていいでしょう。試験の違いは論述問題があるかないかの違いくらいで、CISSPの場合は250問の4択問題を6時間で解くだけです。日本の国家資格では、応用情報技術者より難易度は低いレベルになります。
ただ、試験はかなり実戦的な内容が問われる試験であるため、知識だけの試験である日本のIPA情報処理関係資格とは少々毛色が異なり、単純な難易度比較は難しい気がします。また、試験に英和辞典を持ち込むことはできますが、辞書を引かなければ分からないようでは合格は無理だと思った方がよいでしょう。少なくてもある程度得意分野がないと突破するのは難しい試験であることは間違いなさそうです。

--------------------------------------------
・合格率
　　　非公開（60～70%くらいと予想）

CISSPは米国の(ISC)²が認定する権威のある資格で、日本では「セキュリティ プロフェッショナル認定資格制度」と呼ばれます。1995年にアメリカでスタートした認定資格で、国やベンダーに依存しない資格である上に、情報セキュリティに関する高度な専門知識が実証されることから、グローバルな資格として全世界の企業とユーザー に重視されています。また業種に関係なく、情報セキュリティにかかわる人材（コンサルタント、管理職、技術職、監査員など）が最低限持つべき基本資格としても評価されています。米国においては政府のゴールドスタンダードとして認定され、セキュリティを主業務とするDOD(国防省)やNSA(国家安全保障局)では、CISSPの取得が義務付けされています。また、英国では、CISSP有資格者は、政府の情報セキュリティ要員のためのトレーニングプログラムに自動認定されます。他には、スコットランドヤード(ロンドン警視庁)やインターポール(国際警察機構)でもCISSP取得が進められています。

この資格の特徴は、情報リスク管理に試験範囲を特化していることです。ITセキュリティの知識や防御技術、暗号などについてはCISAより深く踏み込んだ内容が出題されていますが、出題される問題は、知識があれば解けるというものではなく、特定の状況下で最適な判断を問うものが中心です。たとえば「その技術はどういうもので」「どんな状況の時に」「なぜ必要になり」「それによって、どのようなリスクを回避できるか」などを総合的に考えることを課すような問題です。資格の取得には、定められたCBK8ドメインのすべてをカバーする知識と見識が必要となります。また、合格ラインの700点以上(1000点満点中)は、試験レベルとしてはかなり高いと言えます。 ネットワークエンジニアやサー バエンジニアのようにセキュリティ技術に携わるITエンジニアにとっては、次のステップとして狙いやすい資格だと思います。

勉強の方法は、主催者団体から出されているテキストブックや問題集を購入して自習したり、また団体主催の有料セミナーを受講することなどが効果的です。ただ、セミナーはかなり費用がかかりますので、自己投資するかどうかは十分検討する必要があります。合格率から見た数字では、セミナー受講生の合格率は 2/3 程度、独学の方の合格率は 1/2 程度ということです。いづれにしても、試験の出題範囲がとても広いので、まずは「CISSP CBKオンラインセルフアセスメント」（100問/7000円)で自分の実力を試すことがいいでしょう。このアセスメントの結果を分析することで、自分の強みや弱みを確認できますし、その上で、セミナーの受講を受けるかどうかを決めてもいいと思います。ある程度ITガバナンスの経験があって考え方などが分かっている人は問題集を集中的に繰り返して何回も解き、足りない知識や苦手な分野をカバーする学習をすることで試験に対応できると思います。問題集を集中的に何度も解き、足りない知識や苦手な分野を繰り返し学習する方法は、どの試験にでも通じる方法だと思いますが、試験時間が6時間で250問の４択マークシートを解答するのはさすがに厳しいものがあります。

CISSP認定資格はグローバルな資格ですが、それゆえに日本の情報セキュリティ事情に100％最適化しているとは言えない部分があります。そこで、日本特有の社会背景やICT(Information and Communication Technology )環境などを考慮した「CISSP-行政情報セキュリティ」認定資格が設けられています。CISSP認定保持者でなければCISSP-行政情報セキュリティ認定試験を受験することはできませんが、ガイドブックやセミナーは、日本の情報セキュリティ要件に精通する手段として、CISSP認定保持者でない人にも活用できます。この試験により、行政機関で情報セキュリティに関わる人材の教育や首都圏と地方間の情報セキュリティ意識の格差是正など、情報セキュリティ人材の底上げと育成に役立てられています。

-

(ISC)² （国際情報システムセキュリティ認証コンソーシアム）NPO

CISSP公式問題集kindle版(電子書籍)

・CISSP試験対策教材一覧
・CISSP CBK公式ガイドブック
・CISSP公式問題集
・CISSP 8ドメインガイドブック

【資格の難易度情報】
・資格の難易度とランキング
・ジャンル別資格の難易度ランキング

●関連資格
　ITコーディネータ

(ISC)² Japan
〒163-0532
東京都新宿区西新宿1-26-2　新宿野村ビル32階
TEL：03-5322-2837
Mail：infoisc2-j@isc2.org