CISSP認定資格：要件、トレーニング、試験、費用

CISSPとは？  

Certified Information Systems Security Professional（CISSP）は、ITおよびサイバーセキュリティの専門家向けの上級認定資格であり、エンタープライズのサイバーセキュリティプログラムを設計、実装、管理する能力を証明します。

CISSPは、サイバーセキュリティ専門家の認定とトレーニングに特化した非営利団体であるInternational Information System Security Certification Consortium（ISC2）によって提供されています。ISC2が提供する中で最も広く知られている認定資格で、20年以上の歴史があり、CISSPは常に最も価値のあるIT認定資格の一つです。

この認定を取得するには、候補者は関連する業界経験を積み、幅広い技術分野およびマネジメント分野での能力を証明する必要があります。

CISSPを取得すべき人は？

CISSPは「ゴールドスタンダード」のセキュリティ認定と呼ばれています。多くのサイバーセキュリティ関連の求人では、CISSPが必須、または強く推奨されています。米国連邦政府でのキャリアを目指す場合、CISSP認定は特に有利です。CISSP認定には幅広い技術知識が必要なため、多くの役割で役立つ上級インフォセック・ゼネラリストの証となります。

ただし、CISSPは誰にでも向いているわけではありません。必要な技術的深さや実務経験のため、キャリア初期の専門家には適しておらず、その場合はCompTIA Security+認定の方が適切かもしれません。CISSP試験は技術的な知識だけでなく、マネジメントスキルも問われるため、ある程度の経験が必要です。

CISSP認定のメリット

CISSP資格を取得することで、キャリアに以下のようなさまざまな良い影響があります：

• キャリアアップと評価： CISSP認定は、サイバーセキュリティ専門家としての力量を証明し、より高収入で責任のあるポジションや、組織内での知名度向上の機会を開きます。
• 就職活動での優位性： CISSP認定は、サイバーセキュリティへのスキルとコミットメントを雇用主に示します。CISSPには5年の実務経験が必要なため、就職活動でも目立つ存在となります。
• 知識とスキルの向上： CISSP認定取得のためのトレーニングを通じて、セキュリティアーキテクチャ、リスク管理、暗号化など、幅広い技術スキルを身につけることができます。
• 雇用の安定性向上： ITセキュリティへのコミットメントと最新スキルの証明により、CISSP認定はあなたをより価値あるセキュリティチームの一員とし、長期的な雇用の安定にも寄与します。
• ネットワーキングの機会： CISSP取得者向けのさまざまなコミュニティ（ISC2コミュニティなど）に参加することで、知識共有やコラボレーション、メンターシップ、就職の機会が得られます。

CISSP試験の費用

CISSPの受験料は米国では749ドルで、他の国でも同等または近い価格です。ISC2は日程変更手数料として50米ドル（または現地通貨相当額）、キャンセル手数料として100米ドル（または現地通貨相当額）を請求します。ただし、これは試験料のみであり、CISSP試験のための多くの学習ガイドやトレーニングコースは有料なので、認定取得を検討する際にはこれらも考慮する必要があります。

認定を維持するには、CISSP保持者は年間維持費として135米ドルを、認定日記念日に支払う必要があります。（複数のISC2認定を持っている場合は、すべて合わせて年1回のみ支払い。）試験には合格したが実務経験がまだ満たない場合は「ISC2アソシエイト」となり、要件を満たすまで年間50米ドルのみ支払います。

CISSPは取得する価値がある？CISSPの年収 

すべての認定資格が同じ価値を持つわけではありませんが、CISSP認定にかかる少なくない費用は、より高い報酬という形で認定保持者に戻ってくるというのがほぼ共通した評価です。ZipRecruiterによれば、CISSP保持者の平均年収は112,000ドルです。SkillSoftによると、CISSP保持者の平均年収はIT分野の認定資格の中でトップ15に入り、156,669ドルとされています。

給与面以外でも、CISSP認定はサイバーセキュリティ職の求人で最も人気のある認定要件であり、CISSP保持者にはこの資格がなければ得られない雇用の道が開かれます。

また、多くのCISSP保持者は、この認定が長年の努力を証明し、知識だけでなく経験も示すものだと感じています。特にITの他分野からインフォセック分野に転職を目指す場合、大きな後押しとなります。

CISSPとCISMの違い

CISSPはマネジメント関連の内容も含むため、Certified Information Security Manager（CISM）との違いが気になるかもしれません。簡単に言えば、CISSPは幅広いセキュリティ分野にわたる深い技術知識とマネジメントの理解を証明する認定です。一方、CISMはよりマネージャー志向で、ビジネス視点からインフォセックの動機を理解することに重点を置いています。

CISSP認定を取得するには

CISSPを取得するには、特定の実務経験要件を満たし、試験に合格する必要があります。試験合格後、認定申請が可能となります。このプロセスの一環として、必要な実務経験を良好な状態のCISSP認定保持者に証明してもらう必要があります。該当者を知らない場合は、ISC2が代わりに証明を行うこともできます。

CISSPの要件 

前述の通り、CISSPはISC2が定める通り、エントリーレベルのIT・サイバーセキュリティ専門家向けの認定ではありません。CISSP認定を受けるには、試験で問われる8つのドメインのうち少なくとも2つで、5年以上のフルタイム実務経験が必要です（下記参照）。インターンシップやパートタイムの経験もこの要件に加算でき、大学の学位や他のISC2認定資格があれば1年分の経験として代用可能です。ISC2公式サイトに詳細があります。さらに、CISSP試験にも合格する必要があります。

必要な実務経験がない場合は、ISC2アソシエイトとして申請できます。ISC2のガイドラインによれば、アソシエイトはCISSP資格取得に必要な実務経験を最大6年間かけて積むことができます。

CISSP試験

CISSP試験は、CISSP共通知識体系（CBK）の8つのドメインをカバーし、それぞれの平均的な出題比率は以下の通りです：

• セキュリティとリスク管理（16%）
• 資産のセキュリティ（10%）
• セキュリティアーキテクチャとエンジニアリング（13%）
• 通信とネットワークセキュリティ（13%）
• アイデンティティとアクセス管理（13%）
• セキュリティ評価とテスト（12%）
• セキュリティ運用（13%）
• ソフトウェア開発セキュリティ（10%）

CISSP試験の英語版は、コンピュータ適応型テスト（CAT）方式を採用しています。この形式では、コンピュータが受験者の解答状況を追跡し、それに応じて出題内容を調整します。他の言語では、全員が同じ問題に答えるリニアな固定形式で実施されます。

• 試験時間： 3時間
• 問題数： 100～150問
• 問題形式： 選択式および高度なイノベーティブ問題
• 合格基準： 70%（1000点中700点）
• 対応言語： 中国語、英語、ドイツ語、日本語、スペイン語

注：「高度なイノベーティブ問題」には、図の要素を特定したり、画面の片側からもう一方のボックスにドラッグ＆ドロップで答えを移動する形式が含まれます。

ISC2は試験リソースページで、試験のスケジュール方法や出題形式、受験時の流れなど実用的な情報を提供しています。受験体験の実例を知りたい場合は、Dex Yuan氏のLinkedIn投稿や、ISC2コミュニティフォーラム、Redditの匿名レポートなども参考になります。試験会場で速報スコアが分かるので、合否がすぐに分かるのも大きなメリットです。

CISSPトレーニングコース 

公式トレーニングを探している場合、ISC2は公式セルフペースCISSPトレーニングコースや、認定インストラクターによるオンラインおよび教室形式のトレーニングを提供しています。セルフペース型は995ドルで、180日間コース教材にアクセス可能。ISC2会員は20%割引です。オンラインコースは5日間集中型と8週間型があり、いずれもCISSP保持者が指導します。教室型は6日間集中で、ISC2認定インストラクターが担当。どちらも実践シナリオ、インタラクティブ演習、クイズ、180問の事後評価テスト（フィードバック付き）が含まれます。オンライン・教室型の価格はISC2で確認できますが、セルフペース型より高額です。

他にも多数のサードパーティによるトレーニングコースやブートキャンプがあり、オンラインMOOCからISC2認定トレーニングベンダーによる教室型まで多岐にわたります。人気のCISSPインストラクターには、Udemyでコースを提供するThor Pedersen、LinkedIn LearningのMike Chapple、CybraryのKelly Handerhanなどがいます。Alpine SecurityはCISSPトレーニングコースが自分に合っているかどうかを判断するガイドも提供しています。

CISSPの勉強期間はどれくらい必要？

豊富な実務経験を持つインフォセック専門家であれば、CISSP試験の質問に答える際に現場知識を活かせます。しかし、すべてのドメインで均等に経験がある人は少なく、ほとんどの人が大きな試験前には復習が必要です。

必要な勉強時間は、あなた自身の準備状況や学習スタイルによって異なります。LinkedInでクラウドアーキテクトのSujith Prasad氏は、数か月間、自由時間のほとんどを勉強に充てることを推奨しています。ISC2コミュニティフォーラムの投稿者は、試験前の数か月で合計150～160時間ほど勉強したと述べています。QuoraでSaaz Rai氏は、1日6～7時間を約3週間勉強して合格したと書いています。一方で、Infosec Instituteのコミュニティフォーラムの投稿者は「数回の週末」で合格したとも述べています。

CISSP学習ガイド    

多くの受験者は、学習を体系立てるためのガイドを求めるでしょう。ISC2は公式学習ガイドを提供していますが、他にも選択肢は豊富です。CISSP All-in-One Exam Guideは広く支持されており、練習問題集もあります。SSI Logicは1,000問の練習問題と詳細な解説を掲載した書籍を提供しています。さらに、Netwrixブログでは他の学習ガイドの選択肢も紹介されています。