CISSPとは
CISSP(Certified Information Systems Security Professional)は、非営利組織 (ISC)²(International Information System Security Certification Consortium)が認定する、世界で最も権威のある情報セキュリティ資格の一つだ。1994年に創設され、現在(2025年時点)で世界180以上の国に16万人以上の認定者がいる。
セキュリティのマネジメントからアーキテクチャ、運用まで幅広い知識体系を問う試験で、「セキュリティ全般を深く理解した管理職・上級エンジニア向けの資格」という位置づけだ。取得には実務経験が必要なため、若手エンジニアが最初に目指す資格というよりは、セキュリティキャリアの集大成として取得するものと考えると適切だ。
CISSPの8つのドメイン
CISSP の出題範囲は CBK(Common Body of Knowledge)と呼ばれる知識体系に基づく8ドメインで構成される。2024年改定の最新版は以下の通りだ。
| # | ドメイン名 | 出題比率 | 主な内容 |
|---|---|---|---|
| 1 | セキュリティとリスク管理 | 16% | ガバナンス・法律・倫理・リスク評価・BCP/DR |
| 2 | 資産セキュリティ | 10% | 情報分類・所有権・プライバシー保護・データ管理 |
| 3 | セキュリティアーキテクチャとエンジニアリング | 13% | 設計原則・暗号化・物理セキュリティ・脆弱性 |
| 4 | 通信とネットワークセキュリティ | 13% | OSI/TCP-IP・プロトコル・VPN・ファイアウォール |
| 5 | IDおよびアクセス管理(IAM) | 13% | 認証・認可・アクセス制御モデル・ID管理 |
| 6 | セキュリティアセスメントとテスト | 12% | 脆弱性評価・ペネトレーションテスト・監査 |
| 7 | セキュリティ運用 | 13% | インシデント対応・フォレンジック・BCP・ログ管理 |
| 8 | ソフトウェア開発セキュリティ | 10% | セキュアコーディング・SDLCセキュリティ・APIセキュリティ |
ドメイン1「セキュリティとリスク管理」が出題比率16%と最も高く、ガバナンスやリスク管理の考え方が重視されていることがわかる。日本の技術系資格と異なり、マネジメント視点の問題が多いのがCISSPの特徴だ。
CISSPの難易度
CISSPが難しいとされる理由は複数ある。
知識の幅広さ
8ドメインにわたる幅広い知識が求められる。技術的な内容だけでなく、法律・規制・ガバナンス・倫理・事業継続など、純粋な技術エンジニアが不得意とする分野も含まれる。「一つの専門分野を深く勉強する」のではなく「セキュリティ全般を満遍なく理解する」勉強が必要だ。
思考の転換が必要
CISSPでは「マネージャー・CISO としての視点」が求められる。「最も安全な方法は何か」ではなく「ビジネスリスクと費用対効果のバランスを取った最善の方法は何か」という思考が必要だ。技術的に正しくても、ビジネス観点では誤りになる選択肢が多い。
実務経験要件
試験合格後に実務経験の審査がある。ただし試験に合格することは難しいため、まず試験合格を目指すことが優先だ。
必要な実務経験
CISSP の取得には 8ドメインのうち2つ以上の分野で通算5年以上の有給実務経験が必要だ。ただし例外がある。
| 条件 | 必要な経験年数 |
|---|---|
| 標準 | 5年(8ドメインのうち2つ以上) |
| 4年制大学の学位保有 | 4年 |
| (ISC)²認定の追加資格保有(CompTIA Security+など) | 4年 |
Associate of (ISC)² — 経験なしでも試験を受けられる
実務経験がなくても CISSP 試験を受験できる。合格後は Associate of (ISC)² として認定され、6年以内に実務経験を証明できれば正式な CISSP に昇格できる。学生や未経験者にとっては「先に試験に合格しておく」という戦略が有効だ。
勉強時間の目安
受験者のバックグラウンドによって大きく異なるが、一般的な目安は以下の通りだ。
| バックグラウンド | 目安勉強時間 |
|---|---|
| セキュリティ実務経験5年以上・幅広い知識あり | 150〜250時間 |
| IT実務経験あり・セキュリティ特化ではない | 250〜400時間 |
| IT経験が少ない・初めて体系学習する | 400〜600時間 |
毎日2時間学習するとして、150時間なら約2.5ヶ月、400時間なら約7ヶ月の計算だ。
おすすめの参考書・学習リソース
- Official (ISC)² CISSP Study Guide(英語): 公式テキスト。最も網羅的だが英語のみ。全体把握に使いつつ、苦手分野を深掘りする形で活用する。
- CISSP 公式問題集(日本語版あり): (ISC)² 公式の演習問題集。問題の「癖」に慣れるために必須。
- Mike Chapple / David Seidl 著 "CISSP Study Guide"(Sybex): 受験者に人気のサードパーティテキスト。解説がわかりやすい。
- Prabh Nair の YouTube チャンネル(英語): 無料で各ドメインを動画解説。理解の補完に効果的。
日本語試験について
CISSP は日本語でも受験できる。ただし日本語試験は英語の CAT 試験とは形式が異なる点に注意が必要だ。
| 英語試験(CAT) | 日本語試験(線形) | |
|---|---|---|
| 問題数 | 125〜175問(適応型) | 250問(固定) |
| 試験時間 | 3時間 | 6時間 |
| 形式 | CAT(Computer Adaptive Testing) | 線形(全問を順番に解く) |
| 受験料 | 同額 | 同額 |
CAT 形式は正解するほど難しい問題が出題される適応型テストで、最短125問で終了することもある。日本語試験は線形形式で問題数が多く、長時間の集中力が必要だ。英語で受験できる場合は CAT 形式の方が有利という意見もある。
CISSP・情報処理安全確保支援士・CompTIA Security+ の比較
| 観点 | CISSP | 情報処理安全確保支援士 | CompTIA Security+ |
|---|---|---|---|
| 主催 | (ISC)²(国際) | IPA(日本) | CompTIA(国際) |
| 難易度 | 高(実務経験5年必要) | 中〜高 | 低〜中(入門向け) |
| 実務経験要件 | 5年必須 | 不要 | 不要 |
| 国際通用性 | 非常に高い | 主に国内 | 高い |
| 更新 | 3年ごと(CPE 120時間・年会費) | 3年ごと(更新講習) | 3年ごと(CEU 50単位) |
| 向いている人 | CISO・上級セキュリティ管理職・グローバル展開 | 国内でのセキュリティキャリア証明 | IT技術者のセキュリティ入門 |
国内のセキュリティ担当者として働く場合は情報処理安全確保支援士が有効で、グローバル展開やコンサルタント・CISO・外資系企業を目指す場合は CISSP が強い武器になる。まず Security+ または情報処理安全確保支援士で基礎を固め、実務経験を積んでから CISSP に挑戦するキャリアパスが一般的だ。
CISSP取得後の維持管理
CISSP は取得後の維持管理も重要だ。
- 継続教育(CPE): 3年間で120時間の CPE(継続教育単位)を取得する必要がある。セキュリティカンファレンス参加・ウェビナー受講・記事執筆・教育活動などが対象。
- 年会費: 毎年$125(約2万円)の年会費が必要。
- 倫理規定: (ISC)² の倫理規定(Code of Ethics)を遵守する義務がある。
よくある質問
CISSPを取得するのに必要な実務経験はどのくらいですか?
8ドメインのうち2つ以上の分野で5年以上の有給実務経験が必要だ。4年制大学の学位または (ISC)² が認定する資格(CompTIA Security+ など)を持っている場合は4年で OK。実務経験がなくても試験に合格して Associate of (ISC)² になり、6年以内に経験を積んで昇格できる。
CISSPの試験は日本語で受けられますか?
はい、日本語試験がある。ただし日本語試験は線形形式(250問・6時間)で、英語の CAT 試験(125〜175問・3時間)より問題数が多く試験時間も長い。
CISSPの難易度と合格率はどのくらいですか?
(ISC)² は合格率を公表していない。受験者の体感では60〜70%程度と言われている。ただし受験者はすでに実務経験5年以上のプロフェッショナルが中心なので、実質的な難易度は高い。
CISSPの勉強時間はどのくらい必要ですか?
セキュリティ実務経験者で200〜300時間、広範な知識が必要な場合は300〜500時間が目安だ。8ドメインにわたる幅広い知識が問われる。
情報処理安全確保支援士とCISSPはどちらが難しいですか?
一般的に CISSP の方が難しいとされている。実務経験要件・8ドメインの幅広さ・維持コストなど、取得・維持コストが高い。国内評価では情報処理安全確保支援士、国際評価では CISSP が強みを持つ。
関連記事
- 情報処理安全確保支援士 勉強方法・合格率 — 国内資格の先行ステップとして
- OWASP Top 10 入門 — ドメイン8(ソフトウェア開発)に直結
- MFA・TOTP・FIDO2・Passkey の違い — ドメイン5(IAM)の実践知識
- セキュリティインシデント対応手順 — ドメイン7(セキュリティ運用)の実践
- HTTPセキュリティヘッダー詳解 — ドメイン3・8に関連