サイバーセキュリティ資格「CISSP」とはどのようなもの？

近年、IT・デジタル化が進む中で、情報セキュリティの重要性が一層増しています。企業の財産と言える顧客情報の漏えいや、企業イメージの損失などのリスクを防ぐために、信頼できる情報セキュリティ体制の構築が求められています。

CISSPは、セキュリティを専門とする人材を対象とした、国際的な情報セキュリティ資格として知られています。取得のためには実務経験が必要とされ、広範囲なセキュリティ分野の知識が求められる、高度なセキュリティ資格です。

今回は、高い情報セキュリティスキルを目指すエンジニアの方のために、CISSPがどのような資格で難易度はどれくらいなのか、活用してどのような仕事ができるのか、そして有効な勉強方法などについて解説します。

CISSPの概要

CISSP（Certified Information Systems Security Professional）は、サイバーセキュリティの専門家のトレーニングや認定を行う非営利団体である(ISC)²が主催する、情報セキュリティプロフェッショナル試験です。ここでは、その概要について解説します。

CISSPは、特定の企業に属さないベンダーフリーの資格で、セキュリティプロフェッショナル資格制度として国際的に認定されています。世界規模でセキュリティに精通した人材が求められる中で、注目を集めている資格です。

CISSPの取得には「CBK」の8つのドメインの知識を理解していることが求められ、広範囲に及ぶ高いレベルでのセキュリティの専門知識が要求されます。

CBKとは「Common Body of Knowledge」のことで、(ISC)²が提唱する情報セキュリティの共通言語です。全世界のセキュリティ専門家のために、情報セキュリティに関する知識が以下の8ドメインの分野ごとにまとめられています。

1.セキュリティとリスクマネジメント 2.資産のセキュリティ 3.セキュリティアーキテクチャとエンジニアリング 4.通信とネットワークセキュリティ 5.アイデンティティとアクセスの管理（IAM） 6.セキュリティの評価とテスト 7.セキュリティ運用 8.ソフトウェア開発セキュリティ

【参考】：CISSP CBKドメイン概要｜(ISC)²；Japan

CISSPを取得している人材が企業に所属していることで、8ドメインにわたる広い範囲で包括的なセキュリティに考慮して社内資産を保護・管理できるとともに、外部に対してはセキュリティ管理の信頼度を向上させることができます。

全世界で152,000名を超えるCISSP資格保持者が、各国政府機関やグローバル企業で働いています。海外では外資系企業や金融機関、監査法人などでセキュリティやリスク管理の職に就くために、CISSPの取得が条件になっている場合もあります。

日本での合格者の人数も、現在3,300名を超えています。日本においてもサイバーセキュリティの専門家の需要は高まっており、CISSPを取得することで、社内評価の向上や転職・キャリアアップにおいて有利になる可能性があります。

【参考】：CISSPとは（概要・試験について）/ CISSP CBKトレーニング / 人材育成・研修 / 情報セキュリティのNRIセキュア

CISSPは、試験で点数を取れば良いだけでなく、他にも厳しい認定の要件があります。知識だけでなく豊富な実務経験があることや、受験者が倫理面で問題を抱えていないことなどが求められ、まさにセキュリティのプロフェッショナルのための試験と言えるでしょう。

・CISSP 認定試験に合格すること（1,000点中 700点以上で合格） ・CBKで定める8ドメインのうち最低2ドメイン以上に関連した実務経験が5年以上あり、実務経験が事実であることを証明すること （ただし、大学卒業学位取得者または(ISC)² が認める資格取得者は1年分の経験が免除される） ・CISSPが定める「(ISC)² 倫理規約（Code of Ethics）」に合意すること ・(ISC)² 認定資格保持者から推薦されること ・無作為に行われる業務経験に関する監査に合格すること ・犯罪歴等に関する質問事項に該当しないこと

その他、詳細については公式ページの要件を確認してください。

【参考】：受験資格｜(ISC)²； Japan

CISSPの試験概要

ここでは、CISSPの試験概要と出題範囲の比率、難易度や取得のメリットなど、試験に関する様々なことについて解説します。

CISSPの試験概要は以下の通りです。試験はCBT方式で行われます。東京または大阪のテストセンターで、受験可能日の中で受験者の都合の良い日に試験を受けることができます。

■受験方法 Computer Based Testing（CBT）形式

■出題形式 250問（日本語・英語併記）、四者択一

■試験時間 6時間

■受験料 749米ドル

■試験会場 (ISC)²が認定したテストセンター（東京、大阪）

■試験日 予約時に受験可能日の中から都合の良い日時を選択する

■合格基準 1,000点中700点（70%以上）の正解率

【参考】：(ISC)²； Japan Computer Based Testing(CBT)試験 【参考】：(ISC)²； Japan CISSP®認定試験

出題範囲はCBK8ドメインに準じ、その出題比率は以下の通りです。

1.セキュリティとリスクマネジメント    15％ 2.資産のセキュリティ   10％ 3.セキュリティアーキテクチャとエンジニアリング  13％ 4.通信とネットワークセキュリティ 13％ 5.アイデンティティとアクセスの管理（IAM）   13％ 6.セキュリティの評価とテスト   12％ 7.セキュリティ運用    13％ 8.ソフトウェア開発セキュリティ  11％

2021年5月1日にドメイン比率が変更され、上記の比率となりました。セキュリティ情勢などにより、今後も8ドメインの分野や比率が変わる場合がありますので、公式サイトの情報をチェックしましょう。

【参考】：(ISC)²； Japan CISSPドメインのリフレッシュに関するFAQ

合格率は非公開で具体的な数値を示すことができないため、難易度の推測は困難です。しかし、8ドメインにわたる試験範囲の広さや、実践的な問題が多いことから、難易度は非常に高いと見られます。

CISSPを取得することで、ハイレベルなセキュリティスキルを持つことが証明できます。国際的な資格であるため海外でも通用する、将来性がある資格と言えます。会社で資格手当や報奨金がある場合がありますので、取得を考える場合は事前に会社に確認すると良いでしょう。

また、国際的な認定を受けたセキュリティの専門家として、より活躍できる企業に転職し、キャリアアップ・年収アップを目指すことも選択肢の1つとして考えられます。

CISSPを取得して活用できる仕事

CISSPを取得すると、セキュリティの知識やスキルを必要とする様々な職種で役立てることができます。

セキュリティエンジニアは、クライアントのITシステムについて、必要なセキュリティを企画・提案するエンジニアです。セキュリティの脆弱性対策やネットワークの運用まで把握して、セキュリティを考慮したシステム設計を行います。

CISSPを取得することで、セキュリティエンジニアとしてより広範囲でハイレベルなセキュリティ構築ができる能力があることを証明できます。

セキュリティエンジニアはやめとけ？向いている人・キャリアパス・年収を解説

プロジェクトマネージャーは、ITシステム開発においてプロジェクトを取り巻く環境に柔軟に対応しながら、プロジェクトの目的の実現に導くエンジニアです。近年のセキュリティ意識の高まりにより、システム開発にも高いセキュリティ保護やリスク管理が求められています。

CISSPを取得している人材がプロジェクトマネージャーを担うことで、顧客はセキュリティやリスクマネジメントの面で一層安心感を持ってシステム開発を任せることができるでしょう。

プロジェクトマネージャーに向いてる人は？未経験者でも転職できる？

CISSPを活用できる代表的な職種であるセキュリティエンジニアの年収は「マイナビエージェント 職種図鑑」での平均年収は356万円、経済産業省2017年発表の「IT関連産業の給与等に関する実態調査結果」から近い職種のIT技術スペシャリスト（特定技術（DB・NW・セキュリティ等））を参考にすると、平均年収758万円と分かりました。

国税庁2020年発表の「民間給与実態統計調査」における民間企業平均年収は433万円なので、セキュリティエンジニアは一般平均年収よりも、やや低め から高めであることが分かります。

セキュリティエンジニアの年収は個人のスキルや経験により大きく異なります。CISSPを取得するほどの高度な専門性を持つセキュリティエンジニアであれば、平均的な年収より大幅に高収入となる可能性は高いと考えられます。

【参考】：マイナビエージェント 職種図鑑 ※【平均年収 調査対象者】2020年1月～2020年12月末までの間にマイナビエージェントサービスにご登録頂いた方 【参考】：IT関連産業における給与水準の実態① ~ 職種別（P7） 【参考】：民間給与実態統計調査-国税庁

CISSPに合格するための勉強方法とは

ここでは、広範囲な出題範囲で難易度の高いCISSPに合格するためにおすすめの勉強方法について解説します。

まずは、CISSP対策用書籍を使って勉強することが重要です。日本語訳されたCISSPの公式問題集も販売されていますので、こちらを利用して何周も勉強することをおすすめします。

問題を繰り返し解くことで重要な用語も覚えることができますし、自分の苦手なドメイン（分野）に集中して何度も解くことで更に知識を深めることができます。

(ISC)² が主催するCISSP対策の公式トレーニングも用意されています。5日間の日程で構成され、CBK8ドメインに関わる技術や概念を詳細に解説するとともに、各ドメインの関連性についても理解を深めることができます。

参加費用は高額ではありますが、試験対策に効果的なCISSPの過去問を用いた演習のほか、講義の中では日本人講師が日本市場での実例も提供しながら講義を進めるため、タイムリーで受講者の実際の業務にも役立つ内容です。

【参考】：CISSP CBKトレーニング / サービス・製品 / 情報セキュリティのNRIセキュア

CISSPを取得して国際的なセキュリティのプロフェッショナルを目指そう

ここまでCISSPについて解説し、CISSPが高度なセキュリティプロフェッショナルを認定する試験であることがお分かりいただけたと思います。CISSPを取得して業務に活かすことも、セキュリティエンジニアとしてよりステップアップするために転職することも検討できるでしょう。

しかし、CISSPを取得して転職を考える場合、試験とはまた違う大変さがあります。自分が働きたいと思える企業を探し、自分のスキルを充分アピールしなければならず、1人での就職活動は困難がつきまといます。

そこで利用を推奨するのがマイナビIT エージェントです。

マイナビIT エージェントは、IT・Webエンジニア向け、無料の転職⽀援サービスです。

IT・Webエンジニアの転職事情に詳しいキャリアアドバイザーが、あなたのご経験やスキルをお伺いし、転職活動のプランをご提案します。

アドバイザーは企業側と直接連携を取れるので、求人票に載っていない情報も確認することができます。こちらで、働き方などをしっかり確認の上、応募企業を選んでいくのが良いでしょう。

未経験からのキャリアチェンジは心身ともに本当に大変だと思います。少しでもご自身の負担を減らすべく、エージェントサービスを活用して、失敗のない転職活動に臨んでいただければ幸いです。