サイバーセキュリティの分野で専門性を深めていきたいと志向されている方であれば、CISSPなどの(ISC)² の主宰する資格試験に関心を持ち、受験を検討されるかも知れませんね。

今回は、そのような方向けに、CISSPについて私が受験したときの体験談も含め、情報を整理してお伝えしたいと思います。

以下の情報は、特に注記のない限り2022年2月時点の情報となります。

SSCPについてはこちらをご覧ください

➡️日本語版SSCPの難易度、CISSPとの比較など

動画でご覧になりたい方向けに、You Tube版をご用意しております。

CISSPとは

CISSPの概要

まず、概要について公式サイトから引用いたします。

CISSP(Certified Information Systems Security Professional)とは、(ISC)² (International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。

https://japan.isc2.org/cissp_about.html

上記の通り、CISSPは情報セキュリティの分野におけるグローバルな試験の一つであり、特定のベンダーの機器やサービスに関する知識ではなく、サイバーセキュリティ全般について問われる試験となっています。

名称CISSP
試験分類民間資格
認定団体(ISC)²
受験資格とくになし
出題形式CBT
試験日程テストセンターで予約。比較的日程は少なく、早めのスケジュールが必要な印象
学習期間の目安3ヶ月
受験料749米ドル
参考URLhttps://japan.isc2.org/cissp_about.html

認定プロセス

CISSPとして認定を受けるには、試験に合格することに加え、サイバーセキュリティに関する5年以上(最大1年の免除制度あり)の実務経験が必要となっていることから、知識だけでなく実践的な経験も保有していることも証明することができる資格試験であると言えます。

英語だけでなく日本語でも受験することができるため、英語が苦手な方でも問題なく認定を受けることができます。

➡️英語学習の新定番!スタディサプリ ENGLISH

しかし、他の国際資格と同様に、日本語での問題文は原文の英語を直訳しただけと思えるような文章となっていることが多いため、その独特な表現に慣れる必要があります。

日本の認定者数

2022年1月1日現在、公式サイトによると日本の認定者数は3,339人となっています。これは、受験申し込みの際に入力した国に基づいて集計されていると思われます。

他の関連資格と比較しても少ない人数にとどまっており、取得者の希少性は際立っていると言えると考えられます。

試験の方式

日本国内に何箇所かあるテストセンターへ行き、コンピューターを利用して回答します。試験の日程は、予めいくつか候補が用意されており、その中から都合の良い日程を選び、予約をします。

受験費用は749ドルとなかなか高額であることから、しっかりとした準備をしてから受験をしたいところです。

CISSPの難易度について

CISSPの難易度について、他の類似資格試験と比較してみようと思います。

SSCP/CCSPとの比較

(ISC)² の主宰するサイバーセキュリティ関連の資格試験のうち日本語で受験できるものは、CISSPのほかにSSCPとCCSPがあります。このうち、筆者自身はCISSPとSSCPに合格しており、CCSPは未受験です。

SSCPと比較すると、出題範囲がさらに広がることや、より上位レイヤーの立場で回答することが求められる設問となっていることなどから、難易度は高くなっていると思われます。

認定にに求められる実務経験が、CISSPの5年に対してSSCPが1年であることから、SSCPよりもキャリアを多く積んだ段階で認定を受されるように設計されています。

一方、認定する人材タイプの違いから、SSCPの「上位資格」としてCISSPが用意されている訳ではなく、(例えば漢検2級と1級のような上下関係であるということではなく)各個人のキャリアプランに応じて使い分けるべきだとも言えそうです。

CCSPは未受験のため、公式サイトなどの情報から想定される一般論を述べます。

公式サイトによると、CCSPは「クラウドサービスを安全に利用するために必要な知識を体系化した資格」とされていることから、セキュリティの中でもクラウド関連を重視した試験であると言えます。

そのため、クラウド関連に関する実務経験が豊富な方であれば、CCSPで問われる内容は比較的スムーズに回答できるようになっているのではないかと思われます。

認定要件は、「ITに関する業務に従事した経験が5年以上あり、そのうち情報セキュリティに関する業務が3年、CCSPの6ドメインのいずれかに関する業務経験が1年以上」となっていることから、CISSPと同程度の経験年数が求められています。

CISSPとCCSPを比較すると、各個人がこれまでにITに関してどのようなキャリアを歩んできたかによって、難易度の高低の感じ方が変わってくるのではないかと思われます。

CompTIAとの比較

(ISC)² と同様にグローバルにIT関連の資格試験を主宰している団体のCompTIAにも、サイバーセキュリティ関連の試験は用意されています。

セキュリティ関連業務の2年程度の実務スキルを評価するCompTIA Security+をはじめとし、セキュリティ実務者としての3~4年の実務スキルを評価するCompTIA CySA+、ペネトレーションテストの手法、脆弱性評価、また攻撃があった際のネットワークを回復するために必要となるスキルを評価するCompTIA PenTest+、そしてIT全般の管理者として10年、そのうちセキュリティ管理者として5年以上の実務スキルを評価するCASP+がCompTIAのセキュリティ関連の試験となっています。

筆者自身はこれらのうちSecurity+、CySA+、PenTest+は合格しておりますが、CASP+は2回受験したものの合格に至っておりません。

これらのCompTIA試験と比較すると、Security+、CySA+、PenTest+あたりの出題範囲を合計したものがCISSPに相当しそうな印象です。

セキュリティーの各分野に特化したのがCompTIA試験だとすると、CISSPは総合力が問われていると言えます。

CISSPをダイレクトに目指すと挫折してしまいそうな方は、まずはこれらCompTIAで足場を固めつつ、最終的なゴールを狙うのが良いかと思います。

情報処理安全確保支援士との比較

日本の国家試験である情報処理安全確保支援士(SC)と比較すると、どちらが難しいということではなく、「難しさのベクトル」が違う、と言った印象です。

長文を読解し、問われている内容を正確に把握する能力が問われるSCに対して、幅広い分野の出題をテキパキと回答していくCISSPは、合格に必要な知識とスキルに違いがあります。

どちらを難しく感じるかは、各個人の適性によって変わってくると考えられます。

CISSPの勉強方法

CISSP関連の学習においては、マイクロラーニングとして利用できるツールが非常に充実していると感じています。隙間時間を活用することで少しずつ勉強を進めることができますので、育児中のパパやママでも合格に近づきやすい試験であると考えております。

○育児中の時間創出についてはこちらもご覧ください

育児中の勉強の両立ができない!時間を作るにはどうすればいい?

公式テキスト

まずはやはり公式のガイドブックを紹介いたします。

新版 CISSP CBK 公式ガイド

新品価格
¥24,200から
(2022/5/13 18:24時点)

紙の書籍版とKindle版のどちらも提供されていますのでお好きな方で良いと思います。

ただ、個人的には書籍版がおすすめです。4分冊になっているため、CISSPのカバーしている範囲の広大さが物理的な大きさで感じ取ることができ、セキュリティプロフェッショナルに求められる知識量を味わうことができます。

公式のガイドブックは受験を検討されている方は全員購入した方が良いかと思いますが、これをメインに学習を進めようとすると挫折するかもしれません。

こちらは、他の書籍の補助として辞書的に用語や理念を確認する用途に使うのが良いかと思います。

Sybex社テキスト

もう一つお勧めしたいテキストは、私がメインで利用していた(ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide (English Edition)です。 

(ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide (English Edition)

新品価格
¥4,839から
(2022/5/13 18:25時点)

公式テキストと比較するとコンパクトで読みやすくなっていることから、こちらのテキストをメインで読み、CISSPの概要をつかみました。

また、各章ごとに練習問題が多く用意されているのが重要で、後述するWiley Efficient Learningを活用できるサービスがついてくることから、受験者は必携のテキストかと思っております。

Wiley Efficient Learning

John Wiley & Sons社が提供しているWebラーニングのプラットフォームです。

https://www.efficientlearning.com/

先述のOfficial Study Guideに掲載されているアクセスコードを、指定されたURLで表示されるフォームに入力することで利用ができるようになります。

PCやスマホでアクセスでき、Official Study Guideに掲載されている問題が全て閲覧、回答することができます。

自分の学習履歴が残り、苦手な分野や学習が不十分な分野が明らかになることから、効率的に学習を進めることができます。

また、スマホからのアクセスが可能なことから、育児や家事の合間のスキマ時間に利用することができ、子育ての忙しい時期であっても学習を進めることができました。

Pocket Prep

Pocket Prep社が提供しているWebラーニングのプラットフォームです。

https://www.pocketprep.com/

フリープランでも利用できますが、回答できる問題の数に制限があるため、私は3ヶ月で5000円ほどの料金の有料プランに加入し、無制限に利用できるようにしていました。

こちらもPCやスマホでアクセスができ、学習履歴も残ります。Official Study Guideの問題だけでは不足を感じる場合に、こちらも併用するのが良いと思います。

スマホアプリ”Official Study App”

iOSとAndroidの両方で提供されている学習アプリです。アプリストアで「CISSP」で検索すれば上位に表示されると思います。

スマホで練習問題を解くことができ、学習履歴も残ります。

関連の用語を調べることができる辞書機能が便利なので、その機能を使うためだけにダウンロードするのも良いかと思います。

CISSPの維持費・更新料について

CISSPは、認定後も継続的な学習や年会費が求められます。これは、継続的な知識の習得を通じ、サイバーセキュリティ分野のプロフェッショナルとして自己研鑽してもらうことが目的であると考えられます。

維持費や更新料については、別途詳細な記事にまとめてあります。

➡️CISSPの維持費・更新料はどれくらい?他の試験との比較は?

維持に求められるCPEクレジット

CISSPの維持には、「CPEクレジット」(Continuing Professional Educations credits)を3年で120単位取得することが求められます。

CPEは、公式サイトで提供されている動画の視聴や関連書籍の読書などのような知識のインプットだけでなく、セミナー講師や書籍の執筆などのアウトプットによっても取得することができます。

また、ペネトレーションテストの分野に関心のある方にはお馴染みのHack The Boxの課題をクリアすることでも所定のCPEを獲得することも可能です。

ほかにも、セキュリティとは直接関係ない、ビジネスマン一般のマネジメントスキル学習などのプロフェッショナルとしてのスキルを高める学習など、幅広い学習でも獲得が可能です。

詳細は公式サイトをご確認ください。

➡️スマホで学べるスタディングのコンサルタント養成講座
コンサルタント養成

年会費

CISSPの認定を維持するためには、CPEの取得に加え、(ISC)² の会員として125米ドル (複数認定を持っている場合でも125米ドルのみ)の年会費が必要となります。

詳細は公式サイトをご覧ください。

情報処理安全確保支援士との比較

国内のIPAが主催する情報処理技術者試験のなかに、セキュリティ分野のプロフェッショナルを認定するための情報処理安全確保支援士試験があります。

試験自体は誰でも受験することはできますが、認定を受け、「情報処理安全確保支援士」を名乗るためには所定の手続きが必要となります。

また、認定は3年ごとに更新が必要で、一つのサイクルで10万円以上の費用が必要となります。

詳細は公式サイトをご覧ください。

CISSPのエンドースメントプロセス

エンドースメントプロセスについては、詳細をこちらにまとめました

➡️CISSPのエンドースメントプロセスについて(職務経歴書の書き方・推薦者がいない場合など)

CISSPとして認定されるには、試験に合格することに加え、「エンドースメントプロセス」を経る必要があります。

すでにCISSPの認定を受けている方からの「推薦状」を提出することが求められますが、そのような紹介者がいる場合といない場合でプロセスが分かれています。

どちらの場合も、一定の割合で「審査」を受けることになり、より詳細な説明や追加の資料提出などを求められるとされています。

紹介者がいる場合

すでにCISSP認定を受けている紹介者が身近にいて、推薦状を書いてもらえる場合は、それを提出することで完了します。

また、合わせて自身のこれまでの実務経験がCISSPのドメインのどれに該当するか、職務経歴書を英語で記述する必要があります。

紹介者がいない場合

紹介者が見つからなかった場合は、(ISC)² 自体に紹介者になってもらうことになります。

この場合、エンドースメント入力フォームに紹介者のIDを入力する代わりに(ISC)² に紹介者になってもらいたい旨のチェックボックスにチェックすることになります。

また、紹介者がいる場合と同様に、自身のこれまでの実務経験がCISSPのドメインのどれに該当するか、職務経歴書を英語で記述する必要があります。

CISSP取得後のキャリアは?

CISSPの認定者はセキュリティのスペシャリストとして、良い評価を得ることができると考えられます。

現在所属している組織で引き続きキャリアアップするのも良いですし、新たな環境を求めて転職を検討するのも良いかと思われます。

CISSPをプロフィールに追加した途端、より高待遇のスカウトが来るようになったとの声もよく聞きますので、転職サービスに登録し、ご自身がどのような評価を受けるのかを確かめてみるのも良いかもしれませんね。

➡️IT/Webエンジニアの市場価値診断なら【転職ドラフト】

➡️転職エージェントのパソナキャリア
パソナキャリア

おわりに

CISSPは、サイバーセキュリティ関連の資格試験の中でも難易度の高いとされていることから、受験にあたってはしっかりとした準備が必要です。

記事中で紹介したテキストやツールをうまく利用して、効率的に知識を習得し、合格点を取得できるようになれば幸いです。

スタディングであれば、中小企業診断士、司法書士、税理士、社会保険労務士、ITパスポート、基本情報技術者、FP、ビジネス実務法務検定、日商簿記、登録販売者など全30講座スマホを利用したスキマ時間での勉強ができますので、育児や仕事で忙しいパパやママにぴったりです!簡単な登録で無料でお試しできますので、気になった方は以下のバナーからご覧ください

学び






               

By shoya_arakaki

パパママキャリア編集長/育児や仕事と勉強の両立を頑張る1歳息子と3歳娘のパパ/資格試験やプログラミングなどお勉強中の方、一緒に頑張りましょう!株式会社メタレピュテーション代表取締役 CISSP/SSCP/Comp TIA Pentest+,CySA+/E資格/応用情報技術処理者/IoTシステム技術検定(上級)など Twitter /合格資格一覧