未分類

資格詳細やおすすめ学習法を解説 - セキュリティ資格「CISSP」とは?難易度や出題範囲など

資格詳細やおすすめ学習法を解説 - セキュリティ資格「CISSP」とは?難易度や出題範囲など

CISSPは、情報セキュリティ分野における専門家向けの国際的な認定資格です。(ISC)²が主催するこの資格は、権威ある地位を確立しており、多くの方が取得を目指しているのではないでしょうか。

本稿では、以下の内容について解説します。

  • CISSPの詳細な内容
  • 資格を手にするメリット・デメリット
  • 受験に向けたおすすめの参考書や学習方法

この資格に関心のある方はぜひ参考にしてみてください。
特に以下の方には、本稿を一読していただきたいと思います。

  • 現在CISSPの勉強中の方
  • 今後CISSPの勉強を予定している方
  • 情報セキュリティ分野での実務経験者
  • セキュリティエンジニアやセキュリティマネジメントに興味のある方

週10時間の副業案件を
会員登録した方限定で配信中!

10秒で簡単!無料登録

CISSPとは

CISSPとは

CISSPは、米国の非営利団体(ISC)²が主催する「Certified Information Systems Security Professional」の略称であり、情報セキュリティ専門家の認定資格です。
世界的な情報セキュリティ人材不足の中、国際的に権威ある資格として注目を集めています。
(ISC)²は、セキュリティの共通知識やベストプラクティスを包括した「(ISC)² CBK」を定義しており、CISSPではCBK8ドメインの幅広いセキュリティスキルが求められます。

  • 特定のベンダー製品に関するスキルではなく、サイバーセキュリティ全般の高度なスキルが必要とされます。
  • さらに、セキュリティエンジニアの知識に加えて、経営者(マネジメント)の知識も要求される点が特徴の一つです。

例えば、どの分野にどのようなセキュリティ対策を講じるべきかといったマネジメント的な判断力を問う問題が出題されます。
また、資格認定には5年以上のセキュリティ実務経験が必須であり、実践力の証明にもなります。
CISSPはセキュリティ資格として信頼性が高く、保有すれば国内外で活躍できますが、日本での知名度は低い状況にあります。
公式サイトによれば、2022年7月時点で世界の認定者数は15万人を超えているものの、日本人の認定者数は3,699人とごくわずかです。
サイバーセキュリティ人材が不足する中、資格保有者が少ないがゆえに希少価値の高い資格であると言えるでしょう。

資格の種類

(ISC)²が提供する資格認定プログラムには、CISSPの他に「SSCP」「CCSP」「CSSLP」の3種類が存在します。

  • SSCP
    「Systems Security Certified Practitioner」の略称で、ベンダーや国を問わず情報セキュリティに関する専門性を評価する資格です。組織の視点から情報セキュリティを理解し、専門家や経営陣とのコミュニケーション能力を持つ人材の育成を目指しています。実務経験1年以上が求められるため、情報セキュリティ分野での経験が浅い方にも適した資格といえます。

  • CCSP
    「Certified Cloud Security Professional」の略で、クラウドサービスを安全に活用するために必要な情報セキュリティスキルを認定する資格です。IT関連業務に従事した実務経験が5年以上必要とされます。クラウドセキュリティの基礎から実践的な対策まで幅広く学べるため、クラウド活用システムの構築や運用に携わる方に最適な資格です。

  • CSSLP
    「Certified Secure Software Lifecycle Professional」の略称で、ソフトウェア開発の全ライフサイクルにおけるセキュリティスキルを評価する資格です。ソフトウェア開発ライフサイクル(SDLC)の専門的作業に直接関与した実務経験が4年以上求められます。開発ライフサイクル全体をカバーしているため、プログラマーだけでなく、プロジェクトマネージャーやソフトウェア発注責任者など、様々な職種の方におすすめできる資格です。

CISSP試験の概要

CISSP試験の概要

CISSP試験の全体像を把握することから始めましょう。

CISSP試験は、情報セキュリティの専門家としての知識と技能を評価する国際的な資格認定試験です。この試験に合格すれば、高度な情報セキュリティ分野の専門性を証明できます。

試験範囲は以下の8つのドメインから構成されています。

  • セキュリティとリスクマネジメント
  • アセットセキュリティ
  • セキュリティアーキテクチャとエンジニアリング
  • コミュニケーションとネットワークセキュリティ
  • アイデンティティとアクセス管理
  • セキュリティアセスメントとテスト
  • セキュリティオペレーション
  • ソフトウェア開発セキュリティ

これらの幅広い分野にわたる知識が問われる試験ですので、十分な学習と経験が必要不可欠です。

CISSP試験の詳細

CISSP試験の詳細は次の通りです。
(ISC)2が認定したテストセンターで受験可能で、試験日時は予約時に選択できます。
試験時間は6時間で、CBT方式による四者択一問題250問に解答します。
合格には1000点満点中700点以上が必要です。
受験料は749米ドルで、日本語と英語の併記問題に対応しています。
受験資格は、以下の条件が必要です。

  • 16歳以上
  • CBKの8ドメインのうち2ドメインに関連する5年以上の実務経験
  • 倫理規約への同意
  • 犯罪歴がないこと

試験当日に結果が通知され、合格者は9ヶ月以内に認定手続きを行います。

実務経験が不足する場合は、準会員(アソシエイト)として活動できます。
準会員の維持には、以下の条件が必要です。

  • 年会費50米ドル
  • 年間15ポイントのCPE(継続教育の単位)取得

CPEは対象トレーニングの受講やイベント参加で付与されます。
準会員の最長期間は6年間です。

CISSP試験の認定

CISSPの認証を取得するためには、試験に合格した後9か月以内に(ISC)²のウェブサイトで登録し、認証プロセスを完了する必要があります。9か月を過ぎると、再度試験を受ける必要があるので注意が必要です。

認証には以下の条件を満たす必要があります。

  • 認定試験で1000点満点中700点以上の得点を獲得すること
  • 適切に記載された推薦書を提出すること
  • 無作為に実施される監査に合格すること

推薦書とは、実務経験を証明するために現役のCISSP資格保持者から提出される推薦状のことです。推薦書提出者の中から無作為に選ばれた人が監査対象となり、英語で記載した職務経歴書などの提出が求められます。

周囲にCISSP資格保持者がいない場合でも、(ISC)²が推薦者となってくれるので心配する必要はありません。手続きの際は、(ISC)²から指示された書類を提出するようにしましょう。

CISSP試験の出題範囲

次に、CISSP試験の出題範囲について説明します。
CISSPでは、以下の8つの領域が定められています。

  • セキュリティとリスク管理が15%
  • 資産の保護が10%
  • セキュリティアーキテクチャとエンジニアリングが13%
  • 通信とネットワークセキュリティが13%
  • IDおよびアクセス管理が13%
  • セキュリティの評価とテストが12%
  • セキュリティ運用が13%
  • ソフトウェア開発セキュリティが11%

の割合で出題されます。(参照:https://www.isc2.org/-/media/ISC2/Certifications/Exam-Outlines/CISSP-Exam-Outline-May-2021-Japanese.ashx)
これらの8つの領域は独立したものではなく、複数の領域の知識とスキルを組み合わせることで、セキュリティ計画や具体的な対策を立案できるように設計されています。CISSPの詳細な出題範囲については、リンク先をご覧ください。

CISSP試験の受験者数・合格率・難易度

CISSP試験の受験者数と合格率は公式では公表されていませんが、同レベルの試験から概算値を推測することができます。

CISSP試験は、セキュリティ分野の資格である情報処理安全確保支援士試験と比較されることが多く、この試験はITSSのレベル4に位置づけられ、過去5年間の平均合格率は約18.7%となっています。しかし、実際にはCISSP試験の方が若干難易度が高いと言われています。その理由は、

  • 問題集や過去問と全く同じ問題が出題されず、丸暗記では対応できない
  • 幅広い範囲の問題に対して、読解力を持って考えて解答する必要がある

ため、他の資格とは異なる難しさがあります。

また、

  • 英語と日本語の問題文が同時に表示されますが、翻訳の精度が低く、英文のみで解答できる英語力も求められます。

以上から、CISSP試験の合格率は情報処理安全確保支援士試験よりも低く、難易度は高いレベルであると推測されますが、これらの数値は参考程度に留めるべきでしょう。

CISSP試験申し込み手順

CISSP試験の申込みは、PearsonVueウェブサイトから行うことができます。手順は以下の通りです。

  • ピアソンのアカウントを作成する
  • 受験したい試験を選択する
  • 言語や追加情報、試験会場と日時を指定する
  • 受験チケット(バウチャー)を購入する
  • 指定された試験会場で受験する際、本人確認書類の提示、デジタル写真撮影、署名が求められる
  • 合否結果は試験当日に通知される。合格後9ヶ月以内に認定手続きが必要です。

本人確認書類として、顔写真付き証明書と直筆署名付き証明書の2点を用意しましょう。
実務経験が認定要件を満たしていない場合は、準会員(アソシエイト)として受験可能です。その際、PearsonVUEでの登録時に「準会員として受験しますか」の質問に「Yes」と回答してください。
CISSPは人気が高く、予約枠が早期に埋まることが多いため、受験の自信がついたら定期的にカレンダーをチェックすることが推奨されています。

CISSP試験の有効期限

CISSP認定には有効期限はありませんが、更新には年会費と一定のCPEクレジット取得が義務付けられています。

  • 年会費は125米ドル
  • 3年間で120ポイントのCPEクレジットが必要

CPEクレジットは各種セミナーやイベントへの参加で獲得できます。
サイバーセキュリティの環境は刻々と変化しており、資格保有者は常に最新の知識と動向を把握しておく必要があります。このような要件からも、CISSP資格の高い信頼性が窺えます。
また、試験受験回数には制限があり、年間最大4回までとなっています。

  • 2回目は30日
  • 3回目は60日
  • 4回目は90日

の間隔を開けなければなりません。

勉強時間

資格試験CISSP(情報システム セキュリティ専門家)は高度な難易度を誇ります。
単語の暗記のみでは合格は困難で、概念やフレームワークの理解が不可欠です。
前提知識の程度によりますが、概ね

  • 2〜3か月
  • 100〜200時間の学習時間

が必要とされています。
受験日や目標を設定し、着実に学習を重ねることが肝心です。

CISSPの資格取得のメリット

CISSPの資格取得のメリット

CISSPの資格取得には、さまざまな利点があります。

  • まず、情報セキュリティに関する専門的な技能と知見を習得できます。
  • また、その能力を客観的に証明する手段ともなります。
  • 加えて、転職やキャリアアップの際に有利に作用する可能性があります。
  • さらに、一部の企業では資格手当や報奨金の支給対象となる場合もあります。

それぞれの項目について、簡潔に説明しましょう。

情報セキュリティスキルや知識が身に付く

CISSPの認定を目指して学習することで、情報セキュリティに関する技能と知見を身につけることができます。
特に、CISSPでは専門用語のみならず、考え方やフレームワークの理解が求められるため、業務上で何を優先すべきかが明確になります。
これは、セキュリティ分野に限らず、あらゆる領域で活用できる力となります。
さらに、資格取得には実務経験が必須とされているため、最終的には現場での実践力も備わることでしょう。

情報セキュリティスキルの証明ができる

CISSPは国際的に評価の高い資格であり、取得することで情報セキュリティに関する専門的な能力を客観的に示すことができます。

2022年7月の時点で、CISSPの世界中での認定者数は15万人を超え、その人気は依然として高まり続けています。

CISSPを保有する人材は、高度なスキルを求める企業から強い需要があり、セキュリティ分野で活躍したい人にとって、取得すべき資格の一つと言えるでしょう。

転職やキャリアアップに有利に働く可能性がある

現状、我が国のみならず地球規模でサイバーセキュリティに長けた優秀な人材が慢性的に不足している状況にあります。
そのような環境下において、セキュリティ専門家の国際資格であるCISSPを取得していれば、以下のメリットが期待できます。

  • 転職や昇進の際に有利に作用する可能性が高まります。
  • より幅広い業務を任されることで収入が増加するケースも考えられます。

ぜひ自身のキャリアプランを見据えた上で、CISSPの取得を検討されてはいかがでしょうか。

資格手当や報奨金を貰える可能性がある

CISSPは、高度なセキュリティ能力を有することを示す、将来性豊かな認定資格です。
企業によっては、資格取得者に対して手当や報奨金を支給する場合もございます。
業務に従事しながら専門性を高め、それが収入増加にもつながる優れた制度と言えるでしょう。
資格取得を検討する前に、所属組織の福利厚生制度について確認することをお勧めします。

CISSPの資格取得のデメリット

CISSPの資格取得のデメリット

CISSPの資格取得には何ら不利益はありませんが、他の資格と同様に、
一定の学習時間を費やさなければ合格は難しいでしょう。

勉強時間を確保する必要がある

CISSPは高度な資格であり、合格に向けて2〜3か月程度、およそ100時間から200時間の学習期間が求められます。
知識を身につけるためには、持続的かつ反復的な勉強が不可欠となります。

CISSPの資格取得のための参考書を含む学習法を紹介

CISSPの資格取得のための参考書を含む学習法を紹介

参考書①:CISSPオフィシャル問題集

  • 過去問題を通して、試験の出題傾向を把握できます。
  • 問題の解説が丁寧で、理解を深めることができます。

参考書②:新版 CISSP CBK公式テキスト

  • CISSP試験の範囲をカバーする包括的な内容となっています。
  • 各分野の基礎知識から実践的な内容まで幅広く学習できます。

公式CISSP CBKトレーニングコースの受講

メリット デメリット
・講師から直接指導を受けられる ・受講料が高額
・質問しやすい環境 ・日程が限られている
・集中して学習できる ・移動が伴う場合がある

CISSP公式問題集

ここでは、CISSP試験の準備に役立つ公式の問題集について説明しています。
この問題集は、受験生の大半が活用しており、わかりやすい解説により、確実な知識の習得が可能です。

  • 間違った用語をメモし、個人用の用語集を作成することをお勧めします。
  • 少なくとも2回は問題に取り組み、各分野での正解率を高めていきましょう。

試験では日本語と英語の両方の問題文が掲載されますが、CISSPの翻訳には疑問点も多いため、英文の選択肢も併せて学習しておけば、誤訳があっても安心して解答できるでしょう。

新版 CISSP CBK 公式ガイド

この書籍は、日本語による唯一の公式参考書となります。
辞書と同等の分量があるため、この1冊から学習を始めるのは大変な作業となる可能性があります。
そのため、

  • 問題に取り組んでから理解が難しい箇所を確認する

という使い方が適切でしょう。

公式CISSP CBKトレーニングの受講

公式機関が提供するCISSP CBKコースは、以下の特徴があります。

  • 5日間の日程で8つの領域に関する知識と技術を包括的かつ体系的に学習できる対面式の講義形式
  • 各領域の知識だけでなく、事例を通してCISSPの考え方も習得できるため、試験全体の理解を深めることができる
  • 分かりやすくまとめられた資料が配布されるため、復習にも役立つ
コース料金が高額なため、会社に費用負担を依頼することをお勧めします。

CISSPを取得しても意味ない?

CISSPを取得しても意味ない?

CISSPは、検索エンジンで「CISSP 意味ない」という言葉が示唆されることがあります。この表現には、2つの解釈が考えられます。

まず、CISSPは受験料が高額であり、5年以上の実務経験が必須であるため、役立たずの場合、お金と時間を無駄にしてしまうということです。
しかし、CISSPは単なる用語の理解にとどまらず、考え方やフレームワークの理解が求められるため、

  • 様々な分野で活用できるスキルが身に付きます。

そのため、直接的な年収アップにはつながらないかもしれませんが、業務で役立つ場面は増えることでしょう。

ただし、CISSPの認定までにかかるコストと時間は無視できません。したがって、取得の目的を明確にして、勉強に取り組むことが重要です。

2つ目の解釈は、CISSPを保有していれば、資格を軽視する人からも一目置かれる存在になるということです。
CISSPは世界的に評価が高く、業界でも知名度があるため、保有者はハイレベルなスキルを持っていると見なされ、周囲の対応も変わってくるでしょう。
日本におけるCISSP保有者は未だ少数ですが、そのため希少価値は高く、取得できれば経歴に大きな付加価値となります。
グローバルにセキュリティ関連の仕事を希望する方は、CISSPの取得を検討してみてはどうでしょうか。

まとめ

まとめ

ここでは、セキュリティ専門家の国際的な認定資格であるCISSPについて、その詳細や取得のメリット・デメリット、おすすめの参考書などを解説しました。
CISSPは、サイバーセキュリティ全般に関する高度な知識とスキルを証明する権威ある資格です。
取得することで、以下のメリットが期待できます。

  • 転職やキャリアアップの機会が広がる
  • 収入増加の機会が広がる

CISSPに関心のある方は、ご紹介した参考書や学習方法を活用し、ぜひ挑戦してみてはいかがでしょうか。

また、ITフリーランス向けダイレクトスカウト「xhours」についても触れました。

この記事が皆様の助けとなれば幸いです。