CISSPの難易度はかなり高い?資格取得のメリットと勉強方法を紹介
人手不足が深刻化し、IT化が進む昨今、情報セキュリティ人材には特に高い需要があります。
セキュリティ関連の資格で特に合格が難しいとされる「CISSP」を取得したいと考えている方に向けて、CISSPの試験概要や資格取得のメリット、勉強法を解説します。押さえるべきポイントを把握し、CISSP取得までの流れをつかみましょう。
目次
CISSPとはどんな資格?
「CISSP(Certified Information Systems Security Professional)」は、アメリカの非営利団体「ISC2(International Information System Security Certification Consortium, Inc.)」が実施する世界最高峰の情報セキュリティ試験です。
2004年に米国規格協会ANSI(American National Standards Institute)よりISO/IEC17024の認証を受けたことに伴い、全世界でより信頼性の高い資格となりました。
体系的なセキュリティに関する知識を持ち、リスク管理ができるCISSPの資格取得者が組織内にいることが、社内資産の保護や外部に対する信頼性の向上につながると注目されています。
NovellやDeloitte Touche Tohmatsu、大手ヘルスケアサービス企業をはじめとして、情報セキュリティ関連の従事者に対してCISSPの取得を必須としている大手グローバル企業などもあります。
CISSPの資格取得者数は、全世界で約16万人、日本国内で4,000人程度と推定されています。CISSPは世界的に見ると知名度が高い試験ですが、日本においてはそこまで資格取得者が多くないのが現状です。
CISSPの出題範囲
CISSPの出題範囲は、非常に広範で、それがCISSPの取得は難しいといわれる要因の一つです。
CISSP®認定試験の公式サイトによると、CISSPの出題範囲は以下のとおり8つのドメインに分かれています。
▼出題範囲
- セキュリティとリスクマネジメント
- 資産のセキュリティ
- セキュリティアーキテクチャとエンジニアリング
- 通信とネットワークセキュリティ
- アイデンティティおよびアクセス管理
- セキュリティの評価とテスト
- セキュリティの運用
- ソフトウェア開発セキュリティ
CISSPの試験内容
CISSPの試験概要と、押さえるべきポイントは以下のとおりです。
- 出題形式:100~150問(日本語・英語併記)、四者択一
- 受験方法:CAT(Computerized Adaptive Testing)
- 試験時間:3時間
- 受験費用:749米ドル
試験は四者択一で合格ラインは70%以上です。試験は可変長で、各受験者には100問~150問が出題されます。
合否判定には最低75問の採点問題に回答する必要がありますが、採点問題は最大で125問しかありません。全150問のうち、25問は予備試験問題か採点されない問題です。
しかし、受験者はどの問題が予備問題なのか、あるいは採点されない問題なのかが区別できないようになっているため、それぞれの設問に慎重に回答する必要があります。
CISSPの難易度を合格率・勉強時間の目安とともに解説
CISSPの受験を検討している方に向け、この試験の合格率や、どのくらい勉強すれば合格できるのかなどCISSPの難易度を詳しく解説します。
合格率
試験を受験するにあたり多くの方が気になるであろう合格率ですが、CISSPの場合、正式には公表されていません。
しかし、日本国内の情報セキュリティ関連資格で最も難易度が高い「情報処理安全確保支援士」と同等か、それ以上の難易度とされています。このことからも、CISSPは非常に難易度の高い試験であることが読み取れます。
ちなみに、「情報処理安全確保支援士」の合格率については公表されており、例年20%前後で推移しているのが現状です。
勉強時間の目安
合格するために必要な勉強時間の目安は、事前知識の有無などによって異なります。例えば、セキュリティエンジニアに従事している方の場合、100~200時間の勉強時間を確保する必要があるという声が多く聞かれているようです。
関連記事:セキュリティエンジニアはきつい?仕事内容や必要なスキル、向いている人の特徴を解説
出典:情報処理技術者試験・情報処理安全確保支援士試験 推移表(平成21年度春期以降)|IPA
CISSPの難易度が高いとされている理由
CISSPの資格取得がなぜこれほどまで難しいといわれているのか、疑問に感じている方もいらっしゃるかもしれません。
以下では、CISSPの難易度が高いとされている、以下4つの理由についてそれぞれ解説します。
- 実務経験が求められるため
- 認定条件が厳しいため
- 出題範囲が広いため
- エンジニア以外の視点も必要なため
実務経験が求められるため
CISSP認定を受けるには、当該分野でフルタイムでの実務経験が5年以上ないと認定要件を満たせません。
具体的には、CISSPの出題範囲の8つのドメインのうち、2つ以上のドメインに関連した内容で5年以上の実務経験が必要です。
しかし、コンピュータサイエンスや情報技術(IT)などに関連する大学の卒業学位の取得者や、ISC2が認める資格の取得者など、特定の条件を満たしている方は、1年分の実務経験が免除され、期間が4年に短縮されることもあります。
なお、複数の条件を満たしていても、免除は最長で1年分です。
認定条件が厳しいため
CISSPの認定には、試験の合格に加えて、いくつかの比較的厳しい条件が設定されています。認定条件は、受験者が情報セキュリティの分野において高度なレベルの専門知識や実務経験があることを保証する目的で設定されています。認定条件は以下のとおりです。
- 実務経験が事実であることの証明
- CISSP取得者(認定保持者)からの推薦状
- ISC2の倫理コードへの合意
- 無作為に行われる業務経験に関する監査に合格すること
※犯罪歴等に関する4 つの質問事項に該当する場合は、認定を受けることができない場合もある
なお、実務経験の年数を満たしていない場合にも受験することは可能です。ただしその場合は、試験に合格後、まずISC2準会員(アソシエイト)として登録されることになります。実務経験の年数を満たした後に自身で申請し、認定登録手続きが完了することで正式にCISSPの資格取得が可能です。
出題範囲が広いため
CISSPの試験に合格するには、サイバーセキュリティ全般の高度な知識とスキルが必要です。また、セキュリティの専門分野だけでなく幅広いIT知識も求められます。出題比率は、各ドメインで10~15%程度とバラつきがあるのが特徴です。
エンジニア以外の視点も必要なため
CISSPの試験内容には、エンジニア視点だけでなく、経営者視点やマネジメント分野の考え方なども求められます。
エンジニア目線に立つと適切な選択肢が、経営者目線でも同様に適しているとは限りません。
現場エンジニア(スペシャリスト)であることはもちろん、マネジメント層などの経営判断についても答えられるようなスキルも求められます。
CISSPを取得するメリット
難易度が高く、取得のハードルが高いとされるCISSPですが、国際資格でもあるCISSPを取得することは高いスキルを保持しているという証明となり、今後の仕事に役立つメリットが生まれます。資格取得のメリットは以下のとおりです。
- キャリアアップに役立つ
- 外資系・グローバル企業など活躍の場が広がる
キャリアアップに役立つ
CISSPの取得を、セキュリティコンサルタント、セキュリティエンジニアとしてのキャリアアップに役立てることが可能です。
近年、情報セキュリティの人手不足が深刻化しており、人材の需要自体が高い傾向にあります。特にIT化が進む昨今は、情報セキュリティ人材には高い需要があります。
セキュリティ関連の資格のなかでも最高峰のCISSPを取得することで、転職や年収アップなどにも有利に働く可能性があります。
関連記事:セキュリティエンジニアの年収相場や年収1,000万円以上稼ぐ方法を解説
外資系・グローバル企業など活躍の場が広がる
CISSPは国際的な「ISC2」という組織が運営していることもあり、世界的な認知度が高い資格です。2004年に米国規格協会ANSIからISO/IEC17024の認証を受けたことによって、全世界でより信頼性の高い資格とであるといわれるようになりました。
そのため、外資系企業を中心にこの資格を持った人材への需要が高くなっており、一部の大手グローバル企業は、従事者要件としてCISSPを必須化しています。
この資格を取得することで、国内にとどまらず、外資系・グローバル企業などでの活躍ができる可能性が高くなります。
CISSPを取得するための勉強方法
CISSPの取得に向けた具体的な勉強方法について解説します。
CISSP公式ガイド・問題集で勉強する
ISC2が公式で発行している、CISSP公式ガイドや問題集を購入し、試験に向けた対策を行うことが可能です。アメリカの組織が実施している試験ですが、対策本には日本版もあります。
自己学習リソースの日本語版では、「新版CISSP CBK 公式ガイド日本語版」と「CISSP公式問題集日本語版」が発売されており、オンラインなどで購入が可能です。
「新版CISSP CBK 公式ガイド日本語版」は、 情報セキュリティの知識を体系化したものです。技術に関する知識だけでなく、経営や法律の知識まで網羅しています。一方、「CISSP公式問題集日本語版」には1,000問を超える問題が掲載されており、主にCISSPを受験する前の腕試しに適しています。
CISSP公式トレーニングを受講する
ISC2が公式でリリースしている「オンライン自習型トレーニング」の受講も、試験対策に有効です。仕事の合間にコツコツ勉強したい方や、自分のペースで好きな時間に学習を進めたい方はこちらのトレーニングの受講もおすすめです。
また、短期間で集中的に試験対策を行いたい方向けに、公式CISSP CBKトレーニングも用意されています。こちらのトレーニングは、CISSPの試験内容を構成する8つのドメインについて、5日間のトレーニングが実施されます。受講することで、情報セキュリティを推進するために必要となるコンセプトを理解でき、実践するための技術的な知識を網羅的かつ体系的に身に付けることが可能です。
ISC2に認定された日本人の講師により、日本語で講義が行われます。講師の実務経験に基づく日本市場での実例が講義の中で用いられることも多く、受講者の実際の業務にも役立てられる点が魅力です。講義はオンラインライブ配信で開催され、開催後も180日間は録画配信にアクセスできるので、どこにいても比較的受講しやすく、復習もしやすいトレーニングです。
実際のセキュリティ案件に参画する
CISSPの認定を受けるためには、試験へ合格するだけでなく、さまざまな条件を満たす必要があります。セキュリティ案件に参画することで、その認定要件の一つである実務の経験を積み、実際の現場で学びを得たいと考える方もいらっしゃるでしょう。
そのような案件を探す手段としてさまざまなサービスが存在していますが、セキュリティエンジニアの案件でも業界屈指の幅広さを誇る「FLEXY(フレキシー)」をぜひご利用ください。
「FLEXY」はフリーランスエンジニア向けのハイスキルなプロ人材サービスです。大企業からスタートアップベンチャーまで幅広い企業規模のセキュリティ案件が掲載されているため、自身の希望にあった条件で挑戦できます。
実務経験を積みながらCISSPの取得を目指そう
CISSPは認定条件が厳しい上、出題範囲が広くエンジニア以外の視点で解答することを求められることもあることなどから、非常に難易度が高い試験であるとされています。
大手グローバル企業を中心に、CISSPの取得を重要視している企業もあり、キャリアアップにも役立てられるといったこの資格のメリットがあります。
認定条件でもある実務経験を積みつつ、CISSPの公式本やトレーニングなどで学習し、CISSPの取得を目指しましょう。
実務経験を積みたい方は、「FLEXY(フレキシー)」を利用して案件を探してみてください。
