はじめに
CISSP(Certified Information Systems Security Professional)は国際的にも権威ある資格で、資格認定者は情報セキュリティに対する深い知識を有していることを証明することが出来ます。CISSPはISC2(アイエスシースクエア)が主催する資格です。
近年はセキュリティの重要性が叫ばれていることもあり、徐々に日本国内でのCISSPの認知度も上がってきている状況です。実際に転職する際の募集要件に含む企業も増えています。
そんなCISSPに関して、
- ISC2とは
- CISSPとは
- CISSPの試験詳細
- CISSP取得のメリット・デメリット
- CISSP試験の対策方法
- 資格認定後のキャリア
について語っていきたいと思います。
ISC2とは
ISC2(International Information System Security Certification Consortium, Inc.)とは、情報セキュリティのプロフェッショナル集団でアメリカの非営利団体です。情報セキュリティの共通知識としてISC CBK(Common Based Knowledge)をまとめています。
ISC2はCISSPの他にもCC、SSCP、CCSP、CSSLPなど多くの資格を主催しています。
出典:https://japan.isc2.org/intro_index.html(公式)
CISSPとは
CISSPは特定の企業に属さないベンダーフリーな資格で、製品やサービスに縛られない汎用的なセキュリティ資格となっています。
CISSPの取得にはISC2が提供するCBKの8ドメインを深く理解しておく必要があるため、学習することで幅広く専門的な知識を獲得することができます。
資格保有者は全世界で15万人、日本国内では3000人程(2022年7月時点)となっているため、希少性の高い資格です。
上記で述べた通り、幅広く専門的な知識を求められる一方で保有者が少ないため、保有することで自身の市場価値を上げることができます。実際にCIOやCISOなどの管理職レベルではCISSPの保持が必須とされているケースが多いです。
CISSPの試験詳細
受験資格:特になし ※認定要件は厳しい
試験日程:希望の日時を選択
受験会場:全国ピアソンVUEの試験センター
試験方法:CBT(Computer Based Testing)
出題数:250問
試験時間:6時間
回答方法:四者択一
受験言語:日本語(英語切り替え可)
試験範囲:CBKの8ドメイン
- セキュリティとリスクマネジメント(15%)
- 資産のセキュリティ(10%)
- セキュリティアーキテクチャとエンジニアリング(13%)
- 通信とネットワークセキュリティ(13%)
- アイデンティティおよびアクセス管理(13%)
- セキュリティの評価とテスト(25%)
- セキュリティの運用(13%)
- ソフトウェア開発セキュリティ(11%)
合格点:700点(1000満点)
受験料:$749
結果:受験後すぐに確認可能
認定方法:CBKのいずれかドメインにおいて5年以上の業務経験、かつCISSP保有者からの推薦(エンドースメント)
※2024年4月15日からCBTではなく、CATの試験形式となり、試験範囲、問題数、試験時間などが変更されます。
出典:https://japan.isc2.org/cissp-exam-refresh-faq.html(公式)
試験難易度
CISSPの試験はセキュリティ関連の資格の中でも高難易度として知られています。試験範囲は広く、深い知識を要求されるので、巷ではIPAの情報処理安全確保支援士よりも難しいと言われています。
得点正解率の合格ラインが70%となっていて、他のセキュリティ資格(情報処理安全確保支援士、CISM・CISAなどは大体60%)と比較しても高いことが分かります。実際に学習を始めると分かりますが、この10%の差は非常に大きいです。また、問題数と試験時間もそれぞれ250問・6時間となっていてかなりタフな試験です。
実践的な問題が多く単語を暗記するだけでは合格は難しく、与えられた状況に応じて適切な対応策や行動を正解することが必要で、セキュリティの経験や深い知識を総動員する必要があります。過去問がそのまま出題されるということもないため、合格のためには100~200時間の学習時間が必要と言われています。
CISSP取得のメリット・デメリット
メリット
情報セキュリティの知識を体系的に学ぶことができる
試験合格のためにはISC2が提供するCBKを網羅的に学習しなければなりません。単語の暗記だけでなくフレームワークやCBKが求める考え方を理解することで、状況に応じて適切な行動を選択できるようになります。またセキュリティだけでなく、ネットワークやOSなどの知識が無いと理解できない内容もあるため、合わせてインフラ周りの学習をすることも出来ます。
情報セキュリティの知識の証明となる
CISSPは全世界的に権威のある資格であるため、保有することでセキュリティスキルを客観的に証明することが出来ます。また、資格の維持をするためには、継続的に学習を続けてCPEを獲得することが求められるため、CISSPを保有しているということは自己研鑽を続けているという証明となるのです。
また、会社の名刺やメールの署名欄にCISSPと記載することで、それを見た相手から一目置かれることもあるでしょう。
転職・キャリアアップに有利
現在日本だけでなく全世界的にハイスキルなセキュリティエンジニアは不足しており、東洋経済によると日本ではセキュリティ人材が11万人不足しているとのことです。そのため、CISSPを保有することで転職やキャリアアップに有利に働く可能性が高いです。
出典:https://toyokeizai.net/articles/-/727210?display=b(東洋経済)
年収アップの可能性がある
CISSPは高度な資格であるため、CISSP保有者に資格手当や報奨金を設定する企業も少なくありません。実際に現職の企業ではCISSPに合格すると40万円の一次祝金が設定されています。企業内での価値だけでなく、転職をすることで給与を大幅にアップすることも不可能ではないとされています。
CISSP保有者の平均年収は海外では1500万円、日本国内では700万円程度とされています。
国際的に活躍できる可能性がある
CISSPはベンダーフリーかつカントリーフリーな資格であるため、日本国内だけでなく世界的にも有名です。ITの進歩に伴いセキュリティの重要性が増している情勢でもあるため、外資系企業や外資監査法人などでCISSP保有者を採用するケースが増えています。
デメリット
高額な受験料
CISSPの受験料は$749であり、日本円に換算すると11万円程(2024年3月時点)です。合格すればいいですが、落ちた場合は痛い出費となります。
企業によっては受験費用を負担してくれる福利厚生などもあるのでうまく活用しましょう。
厳しい認定条件
CISSPの認定には試験の合格と実務経験が必要です。実務経験はCBKの関連ドメインの中で2分野以上で合計5年以上のフルタイムでの業務経験が必要です。ただし、4年制大学の学士号やセキュリティ関連の資格を保有していると1年間の業務経験免除があるので、4年間の経験でも認定を受けることが可能です。もしそれでも経験が足りなければ、アソシエイト(準会員)として認定を受けることが可能です。
また、試験合格後の認定申請の際はCISSP保有者の推薦(エンドースメント)が必要です。
※周りにCISSP保有者がいない場合はISC2がエンドーサーとなってくれます。
出典:https://japan.isc2.org/cissp_regist.html(公式)
日本ではメジャーではない
日本国内での認知度が上がってきているものの、まだそこまで高くはありません。情報処理安全確保支援士の方が人気があります。そのため、企業や上司によってはCISSPを評価してくれないケースもあるそうです。個人的にはそのような企業は時代に遅れているので辞めた方がいいと思っています。
資格の維持が大変
CISSPの資格の維持には勉強時間がかかります。3年間で120CPE(Continuing Professional Education)を稼ぐ必要があり、時間に換算すると120時間の学習が必要です。セミナーは研修への参加、講演などで稼ぐことが可能です。
出典:https://japan.isc2.org/member_cpecredit.html(公式)
年会費がかかる
認定更新のためには毎年年会費を支払う必要があります。年会費は$135となっていて中々に高額です。会社が負担してくれるケースもありますが、そうではない場合は痛い出費となります。
出典:https://japan.isc2.org/member_annualfee.html(公式)
CISSP試験の対策方法
公式トレーニングの受講
CISSPの公式トレーニングはISC2がトレーニングパートナーと認定した企業が提供しています。現在はNRIセキュアテクノロジーズ、グローバルセキュリティエキスパートがトレーニングを開催しています。日程はそれぞれの会社が個別に出しているものに参加することになります。
全8ドメインを5日間に渡って講義してくれるため、CISSPのベースとなる知識を獲得することが出来ますし、質問や疑問があればその場解決することも出来ます。知識だけでなく、CISSP的な考え方も教えてくれるため試験の感覚をつかむことも出来るかと思います。またトレーニングで独自の教材も使用されるため対策としては申し分ないでしょう。
その一方で、参加費用がとても高く45万円前後なっていて、個人での参加は難しい金額設定となっているので、あなたの企業が負担をしてくれないかどうか福利厚生を確認しましょう。
出典:https://japan.isc2.org/training_index.html(公式)
出典:https://www.nri-secure.co.jp/service/learning/cissp_training(NRIセキュア)
出典:https://www.gsx.co.jp/services/securitylearning/cissp.html(GSX)
独学
公式トレーニングに参加できないということであれば独学で合格を目指すしかないでしょう。私自身も独学でCISSPに合格しました。
CISSPは他の資格試験と異なり、日本語版での公式ガイドブックと問題集を公式が出版しています。
公式ガイドは膨大な量のページで構成されているので、辞書としてうまく活用しましょう。
公式問題集はドメイン毎に100問程度、別途125問の模擬試験問題が4回分収録されており、1000問以上の問題数となっております。
問題を解きつつ分からない問題を公式ガイドで参照する、もしくは自分で調べるなどすることで深い理解をすることができるはずです。
出典:https://japan.isc2.org/cissp_examination.html(公式)
出典:Amazon ※公式ガイド
出典:Amazon ※公式問題集
オンラインプラットフォームを活用する
Udemyで日本語でのCISSP対策講座をアップロードしている方がいますので、その講座を活用するのも効率的です。また、CISSPではセキュリティだけでなくインフラ部分の知識も求められます。
ネットワークインフラのお勧めの勉強はYoutubeのまさるの勉強部屋です。とても分かりやすく説明してくださっています。私はいつも出勤時に聞き流しています。
出典:Udemy
出典:まさるの勉強部屋
資格認定後のキャリア
CISO(Chief Information Security Officer)
企業における情報セキュリティの最高責任者です。経営層として各部署との折衝や意思決定が求められる責任のある仕事です。高度なITスキルや専門知識だけでなくマネジメント能力も求められる重要ポジションです。
セキュリティコンサルタント
セキュリティの専門家としてこれまで培った経験や知識を活用し、顧客の課題や悩みを解決する仕事です。ITの知識だけでなく事業のマネジメント知識など高度なスキルが求められます。情報セキュリティの企画・設計、方針策定、CSIRTの構築などが業務となるでしょう。
まとめ
CISSPは専門知識を求められる大変難易度の高い資格のため、取得すれば情報セキュリティに関する広く深い知識を有することを対外的に証明することができます。実際に社内でCISSPの保有者が必要だからと案件に声をかけられたり、転職時に年収が100万円上がるといったこともあるそうです。CISSPは意味ないなどと言われていますが決してそんなことはなく、CISSPの取得はメリットばかりです。
是非あなたもCISSPへチャレンジしてみてください。そして、もし難しいと感じたのなら是非サポートさせてください。一緒に頑張りましょう。
