CISSP認定資格：要件、トレーニング、試験、費用

CISSPとは？ 

Certified Information Systems Security Professional（CISSP）は、ITおよびサイバーセキュリティの専門家向けの上級認定資格であり、企業のサイバーセキュリティプログラムを設計、実装、管理する能力を証明します。

CISSPは、サイバーセキュリティ専門家の認定とトレーニングに特化した非営利団体であるInternational Information System Security Certification Consortium（ISC2）によって提供されています。ISC2が提供する中で最も広く知られている認定資格で、20年以上の歴史を持ち、CISSPは常に最も価値のあるIT認定資格の一つとされています。

この認定を取得するには、候補者は関連する業界経験を積み、技術分野だけでなくマネジメントも含めた幅広い分野で能力を証明する必要があります。

CISSPを取得すべき人は？

CISSPは「ゴールドスタンダード」のセキュリティ認定資格と呼ばれています。「採用側から見ると、CISSPは今でも私が重視する認定資格の一つです」と、Exeter FinanceのシニアセキュリティエンジニアAnkit Gupta氏は言います。「この資格は、候補者が複数の分野にわたるセキュリティ原則をしっかりと理解していること、そして何よりも、その取得に必要な経験を積んでいることを示します。履歴書にCISSPがあると、信頼性の証となり、候補者をショートリストの上位に押し上げることが多いです。」

多くのサイバーセキュリティ関連の求人では、CISSPが必須、または強く推奨されています。米国連邦政府でのキャリアを目指す場合、CISSP認定は特に有利です。CISSP認定には幅広い技術的知識が求められるため、多くの役割で役立つ上級インフォセック・ジェネラリストの証となります。

ただし、CISSPは誰にでも適しているわけではありません。必要とされる技術的深さや実務経験から、キャリア初期の専門家には向いていません。その場合はCompTIA Security+認定の方が適しているかもしれません。また、CISSP試験では技術的知識だけでなくマネジメントスキルも問われるため、ある程度の経験を積んでから挑戦するのが望ましいでしょう。 

CISSP認定のメリット

CISSP資格を取得することで、キャリアに次のような有益な影響があります：

• キャリアアップと認知度の向上： CISSP認定はサイバーセキュリティ専門家としての実力を証明し、より高い給与や責任のあるポジション、組織内での地位向上の機会を広げます。「CISSPは最近取得しやすくなったため、採用時の重みはやや減りましたが、それでもITセキュリティのリーダーシップ職（プログラムマネージャーからCISO関連職まで）における標準的な資格です」と、The Judge GroupのシニアリクルーティングマネージャーBryce Johnson氏は述べています。「そのような職を目指す候補者は、資格を持っている方が持っていない人よりも魅力的に映ります。」
• 就職活動での優位性： CISSP認定は、サイバーセキュリティ分野への熟練度と情熱を雇用主に示します。CISSPには5年の実務経験が必要なため、就職活動でも他の候補者との差別化につながります。
• 知識とスキルの向上： CISSP取得のためのトレーニングを通じて、セキュリティアーキテクチャ、リスク管理、暗号化など幅広い技術スキルを身につけることができ、セキュリティプロフェッショナルとしての知識が高まります。
• 雇用の安定性向上： ITセキュリティへのコミットメントとスキルの最新性を証明することで、CISSP認定はあなたをセキュリティチームのより価値あるメンバーと見なされ、長期的な雇用の安定にもつながります。
• ネットワーキングの機会： CISSP取得者向けの様々なコミュニティ（ISC2コミュニティなど）に参加することで、知識共有、コラボレーション、メンターシップ、就職機会などが得られます。

CISSP試験の費用

CISSPの受験料は米国では749ドルで、他の国でもほぼ同等の現地通貨で設定されています。ISC2は日程変更手数料として50ドル（または現地通貨相当）、キャンセル手数料として100ドル（または現地通貨相当）を課しています。ただし、これは試験料のみです。CISSP試験のための多くの学習ガイドやトレーニングコースは有料なので、認定取得を検討する際にはこれらの費用も考慮する必要があります。

認定を維持するためには、CISSP保持者は年間維持費として135ドルを、認定日の記念日に支払う必要があります。（複数のISC2認定を持っている場合は、すべてまとめて年1回の支払いです。）試験に合格したものの実務経験要件をまだ満たしていない場合は「ISC2アソシエイト」となり、要件を満たすまで年間50ドルのみ支払います。

CISSPは取得する価値がある？CISSPの給与 

すべての認定資格が同じ価値を持つわけではありませんが、CISSP認定にかかる少なくない費用は、より高い報酬という形で認定者に戻ってくるというのがほぼ共通した評価です。ZipRecruiterによると、CISSP保持者の平均年収は112,000ドルです。一方、SkillSoftのITスキル＆給与レポートでは、CISSP保持者の平均給与は156,669ドルとされ、IT全体の認定資格の中でもトップ15に入っています。「CISSPは世界的に認知されており、最新の知識を維持している努力の証です」とShadowDragonのマーケティング副社長Amy Mortlock氏は述べています。「この資格があれば、より良い給与や責任のある役職に就ける可能性が高まり、面接までのスピードも速くなることが多いです。」

給与面だけでなく、CISSP認定はサイバーセキュリティ求人で最も人気のある認定要件であり、CISSP保持者にはこの資格がなければ得られない雇用の道が開かれます。

また、多くのCISSP保持者は、この認定がこれまでの努力と経験を証明するものだと感じています。特に、ITの他分野からインフォセック分野への転職を目指す場合、この資格は大きな助けとなるでしょう。

CISSPとCISMの違い

CISSPにはマネジメント関連の内容も含まれているため、Certified Information Security Manager（CISM）との違いが気になるかもしれません。簡単に言うと、CISSPは幅広いセキュリティ分野にわたる深い技術知識とマネジメントの理解を証明する資格です。一方、CISMはよりマネージャー向けで、ビジネス視点からインフォセックの動機を理解することに重点が置かれています。

CISSP認定を取得するには

CISSPを取得するには、特定の実務経験要件を満たし、試験に合格する必要があります。試験に合格した後、認定申請が可能となります。このプロセスの一環として、必要な実務経験をCISSP認定を持つ現役のプロフェッショナルに推薦してもらう必要があります。該当者を知らない場合は、ISC2が代わりに推薦を行うことも可能です。

CISSPの要件 

前述の通り、CISSPはISC2の規定により、エントリーレベルのIT・サイバーセキュリティ専門家向けの認定ではありません。CISSP認定を受けるには、試験で問われる8つのCISSPドメインのうち少なくとも2つで、5年以上のフルタイム実務経験が必要です（詳細は下記参照）。インターンシップやパートタイムの経験もこの要件に充てることができ、大学の学位や他のISC2認定資格が1年分の経験として代用できます。ISC2公式サイトに詳細があります。候補者はCISSP試験にも合格する必要があります。

必要な実務経験がない場合は、ISC2アソシエイトとして申請できます。ISC2のガイドラインによれば、アソシエイトはCISSPの資格要件を満たすために最大6年間の実務経験を積むことができます。

CISSP試験

CISSP試験は、CISSP共通知識体系（Common Body of Knowledge）の8つのドメインから出題され、各ドメインの平均的な配点は以下の通りです：

• セキュリティとリスク管理（16%）
• 資産のセキュリティ（10%）
• セキュリティアーキテクチャとエンジニアリング（13%）
• 通信とネットワークセキュリティ（13%）
• アイデンティティとアクセス管理（13%）
• セキュリティ評価とテスト（12%）
• セキュリティ運用（13%）
• ソフトウェア開発セキュリティ（10%）

CISSP試験の英語版は、コンピュータ適応型テスト（CAT）方式を採用しています。この形式では、コンピュータが受験者の解答状況を追跡し、それに応じて出題内容を調整します。他言語では、すべての受験者が同じ問題に答えるリニア形式で実施されます。

• 試験時間： 3時間
• 問題数： 100～150問
• 出題形式： 選択式および高度な革新的問題
• 合格基準： 70%（1000点中700点）
• 対応言語： 中国語、英語、ドイツ語、日本語、スペイン語

注：「高度な革新的問題」には、図の要素を特定したり、画面の片側からもう一方のボックスにドラッグ＆ドロップで回答する問題が含まれます。

ISC2は、試験スケジュールの方法や出題形式、受験時の流れなど、実用的な情報をまとめたリソースページを提供しています。実際の受験体験談を知りたい場合は、Dex Yuan氏のLinkedIn投稿や、ISC2コミュニティフォーラム、Redditの匿名レポートも参考になります。試験の良い点として、会場で仮のスコアがすぐに分かるため、合否をその場で知ることができます。 

CISSPトレーニングコース 

CISSPの正式なトレーニングを希望する場合、ISC2は公式のセルフペースCISSPトレーニングコースや、認定インストラクターによるオンラインおよび対面クラスでのトレーニングを提供しています。セルフペース型ISC2コースは995ドルで、180日間教材にアクセスできます。ISC2会員は20%割引を受けられます。オンラインコースは5日間集中型と8週間型があり、いずれもCISSP保持者のインストラクターが担当します。対面クラスは6日間の集中型で、ISC2認定インストラクターが指導します。どちらのトレーニングも、実践シナリオ、インタラクティブな演習、クイズ、180問の修了後評価（フィードバック付き）が含まれます。オンライン・対面トレーニングの料金はISC2で確認できますが、セルフペース型よりも高額です。

他にも多数のサードパーティによるトレーニングコースやブートキャンプがあり、ここでは紹介しきれません。これらはオンラインMOOCから、ISC2認定トレーニングベンダーによる対面クラスまで多岐にわたります。人気のCISSPインストラクターには、UdemyでThor Pedersen、LinkedIn LearningでMike Chapple、CybraryでKelly Handerhanなどがいます。Alpine Securityは、自分に合ったCISSPトレーニングコースの選び方ガイドも提供しています。

CISSPの勉強期間はどれくらい？

インフォセックの経験豊富なプロフェッショナルであれば、CISSP試験の問題に答える際に実務経験を活かすことができます。ただし、すべての試験ドメインに同じように精通している人は少なく、ほとんどの人が本試験前に復習が必要です。

試験勉強に必要な時間は、あなた自身の準備状況や学習スタイルによって異なります。LinkedInでクラウドアーキテクトのSujith Prasad氏は、数か月間、空き時間のほとんどを勉強に充てることを推奨しています。ISC2のコミュニティフォーラムの投稿者は、試験前の数か月で合計150～160時間勉強したと述べています。QuoraでSaaz Rai氏は、1日6～7時間を約3週間続けて合格したと書いています。一方、Infosec Instituteコミュニティの投稿者は、「数回の週末の勉強」で合格したと述べています。