投稿日:
LINE

CISSPとは|難易度や年収を解説!

フリーランスの働き方
CISSPとは|難易度や年収を解説!

CISSP(セキュリティ プロフェッショナル認定資格制度)は国際的に認められているセキュリティの資格です。資格取得のためには幅広いセキュリティの知識が求められ、CISSPを取得しておくと幅広くなおかつ高いセキュリティのスキルを有していると証明できます。

世界的なセキュリティの資格ではあるものの、日本ではまだまだ知名度が低いのが現状です。今回は国際的なセキュリティの資格である、CISSPとはどのようなものであり、取得すると年収にどのような影響があるのかについて解説します。

CISSPの概要


最初に理解してもらいたいのは、CISSPがどのような試験であるかです。まずは、CISSPの概要についてご説明します。

出題内容

セキュリティ対策は特定の分野に特化し、深い知識を持っている人が増えていますが、CISSPでは広く深い知識が求められます。単純にセキュリティについて理解できているだけではなく、「この分野ではどの観点からセキュリティ対策をするべきか」の判断が問われているのです。

具体的なCISSPの試験は「CISSP CBK 8ドメイン」として以下のとおり定義されています。

  • セキュリティとリスクマネジメント
  • 資産のセキュリティ
  • セキュリティアーキテクチャとエンジニアリング
  • 通信とネットワークのセキュリティ
  • アイデンティティおよびアクセス管理
  • セキュリティの評価とテスト
  • セキュリティの運用
  • ソフトウェア開発セキュリティ

内容としては基本的なセキュリティの観点ではありますが、ひとつの試験でこれらが網羅的に問われています。セキュリティはそれぞれの分野で多くの知識が求められるため、CISSPでは非常に多くの知識が求められるとイメージできるはずです。

特にCISSPの試験内容で注意してもらいたいのは、セキュリティ対策に必要な機能だけではなく保証についても問われていることです。万が一に備える知識についても保有していなければなりません。

また、エンジニア目線ではなく経営者目線での知識も求められています。例えば、試験には回答に該当しそうなものが複数用意されている場合があり、「経営者としてどれを選択するのが最適か」から回答を推測するものがあるのです。エンジニアの知識だけでここまでの回答を出すのは難しく、「経営者ならばどのように考えるか」を踏まえられるような対策が必要です。

他にも、現場で働くエンジニアではなくリーダー、マネジメント層に近いエンジニアの考え方も求められます。例えば「セキュリティ方針はどのように定めるか」「セキュリティ対策のメリットやデメリットを比較できるか」「セキュリティ対策にあたり費用対効果の算出はできるか」などが出題されます。セキュリティの専門家として、CISSPの取得にはエンジニアの知識を超えたものが求められるといえます。

資格概要

CISSPの受験には特別な受験資格が設けられていません。セキュリティに関する十分なスキルがあると考えるならば、誰でもCISSPを受験できます。学習範囲が広く負担があるかもしれませんが、若くとも学習して知識を持っていればCISSPの受験ができます。

CISSPの受験は「Computer Based Testing(CBT)」が採用されています。海外の団体が主催する試験はCBT方式が採用されるケースが多く、CISSPについても同様にCBTが採用されています。CBTはテストセンターなどに出向いて受験するのが基本ですが、現在は新型コロナウイルスの影響などもあり柔軟な対応が行われている場合があります。

出題形式は四者択一式で、出題数は250問です。試験時間は6時間となっていて、時間をかけて多くの問題にチャレンジしなければなりません。試験時間が長い資格であるため、CISSPの取得を目指すならばセキュリティの知識を持つのはもちろん、集中して問題に対応する精神力が必要です。

なお、試験問題は日本語と英語が併記されています。そのため、基本的には日本語を見ながら試験にチャレンジできる仕組みです。ただ、残念ながら海外の試験ということもあり、日本語訳に誤りが含まれているものがあります。そのため、必要に応じて英語の問題を見ながら問題にチャレンジすべきです。

最後に、CISSPの受験料は749米ドルと高額に設定されています。日本で実施されているセキュリティ関連の試験は数万円程度のものが多いため、CISSPは価格帯が異なっている点を抑えておくと良いでしょう。

認定条件

受験自体はセキュリティの知識が十分にあればチャレンジできます。難易度の高い資格ではありますが、そのぶん合格できると高いスキルを証明できるものです。

しかし、合格できることとCISSPとして認定されるのは状況が異なります。CISSPは合格すればすぐに認定ではなく、合格してから条件を満たして認定してもらう必要があります。

認定条件は明確に定められていて、まとめると以下のとおりです。

  • 認定試験に合格すること(1000点中700点以上で合格)
  • CISSP CBK 8ドメインのうち2ドメインに関連した5年以上の業務経験があること
  • 実務経験が事実であることを証明すること
  • 「(ISC)² 倫理規約(Code of Ethics)」に合意すること
  • (ISC)² 認定資格保持者から推薦されること
  • 無作為に行われる業務経験に関する監査に合格すること
  • 犯罪歴等の履歴がないこと

注目してもらいたいのは、CISSPの認定を受けるためには実務経験が必須であることです。しかも、5年以上の実務経験が必要となり、それらの実務経験について客観的に事実であると証明しなければなりません。そのため、セキュリティに対する十分な理解があっても、学生など実務経験が少ない状況ではCISSPの認定を受けられない仕組みなのです。

なお、CISSPの認定を受けるにあたり倫理規約に合意することや過去に犯罪歴が無いことなども求められます。基本的には問題ないと思われますが、何かしら気になる部分がある人はCISSPの受験前に確認しておくべきです。

参照:CISSPとは|(ISC)² Japan

CISSPの難易度

CISSPがどのような試験であるのかは理解してもらえたと思いますが、CISSPの難易度についてはまだイメージができていないかもしれません。続いてはCISSPの難易度についてもご説明します。

合格率は非公開

まず、難易度の指標となる合格率ですが、CISSPでは合格率が公開されていません。そのため、客観的な指標からの難易度の推測は難しくなっています。また、延べ合格者数は公開されているものの、受験者数が公開されていないため、ここから合格率を計算するのも不可能です。

なお、CISSPは多くの企業が受験対策講座を実施しています。また、CISSPの実施団体でもある(ISC)²もトレーニングを実施しています。これらの講座やトレーニングの受講者の合格率が公開されていて、講座やトレーニングにはよるものの、概ね70%程度の合格率です。十分なトレーニングを受けてこの合格率であるため、一般的な合格率は低く難易度は高いと思われます。

試験範囲は広く難易度は高め

ご説明したとおり、CISSPの試験範囲は幅広いものです。この試験範囲の広さがCISSPの難易度を高めていると考えられます。日本にもセキュリティに関する国家資格などが存在しますが、それらのシラバスとCISSPの試験範囲を比較してみると、CISSPの試験範囲のほうが広く難易度の高さを感じます。

実際にCISSPでどのような問題が出題されるのかは、「CISSPドメインガイドブック」として公開されています。各ドメインでどのような知識が求められ、重点的に学習すべきキーワードは何であるのかが解説されているのです。CISSPの受験をするならば、まずはこちらのガイドブックを参照してどのような分野から出題されるのか確認が必須です。

また、上記のガイドブックには実践的に求められるスキルの例が紹介されています。CISSPの試験問題は実践的な問題が多く難易度が高い、と感じる人が多いのですが、こちらの例を詳しく確認しておくと対策できるかもしれません。

なお、CISSPのガイドブックは定期的に内容が改定され、現在は昔の試験よりも求められる内容が厳選されています。そのため、難易度は高いものの、5年や10年前に受験したものとは状況が異なっているのです。もし、過去の情報を参照する機会があれば、ガイドブックの内容が変更されている点を踏まえるべきです。

エンジニア以外の観点が必要

試験内容でも触れたとおり、CISSPではエンジニア以外に経営者の観点が必要です。「経営者としてどう判断するべきか」を問われる問題が多く含まれているため、これらが難易度を高めています。

注意してもらいたいのは、「エンジニアの観点と経営者の観点は異なる」という部分です。エンジニア目線では最適な選択肢でも、経営者目線では最適では無い可能性があります。CISSPではエンジニアと経営者のどちらの目線からも問題が出題されるため、経営者目線で考えられるようになるべきです。

なお、経営者目線での判断は単純なセキュリティの学習だけではカバーできません。例えば資金面のリスクを考慮する必要があったり、社会的な信用力についてのリスクを踏まえる必要があったりします。これらの経営に関するリスクなどは「経営者になるための学習」が求められるため、時間を要しCISSPの難易度を高めています。

CISSPの需要や年収


続いてはCISSPを取得した場合、需要があるのかどうかや年収が高まるのかどうかについて解説します。これらの観点は資格取得にあたりモチベーションを大きく左右するため、皆さんも正しく理解しておきましょう。

需要は外資系企業で高い

外資系企業においてはCISSPの需要が高い傾向にあります。日本独自の資格ではなく、海外の団体が主催する世界的な資格であるため、外資系企業での認知度が高いのです。認知度の差があることで、日本企業よりも外資系企業での需要が高まっています。

特に日本には「情報セキュリティスペシャリスト試験」と呼ばれる資格が存在します。こちらは知名度が高く「セキュリティの資格=情報セキュリティスペシャリスト試験」とのイメージがあるため、CISSPの需要が若干下がっているのです。

CISSPの需要は日本企業と外資系企業で、雲泥の差があると言っても過言ではありません。言い換えると、CISSPの取得をしていれば、外資系企業のセキュリティ担当者として活躍できる可能性があります。

日本企業での年収はセキュリティエンジニアの標準

セキュリティの資格ではあるものの、日本企業での年収はセキュリティエンジニアの標準です。セキュリティエンジニアは全体として年収が高いですが、CISSPを取得しているからといってさらに高まるケースは少ないようです。

一般的に日本企業で働くエンジニアの平均年収は450万円程度です。それに対して、セキュリティエンジニアの平均年収は650万円から700万円程度です。CISSPを取得していても、特段年収は高まらず700万円程度での推移が多くなっています。

外資系企業での年収は高額な傾向

外資系企業ではCISSPの需要が高いため、それに伴って年収も高まっています。海外の調査ではCISSPが「稼げる資格ランキング」の上位にランクインしていて、名実ともに年収の高さが注目される資格です。

日本に進出している外資系企業に注目すると、CISSPの保有者は年収800万円から1,200万円程度で募集されています。日本企業での年収が700万円程度であることを踏まえると、外資系企業で働くだけで大きな年収アップです。

なお、海外ではCISSPの取得者に対して年収1,500万円から2,000万円程度を提示しているケースがあります。そのような状況を踏まえると、外資系企業では給与水準の統一によって一気に年収アップする可能性があります。セキュリティの専門家として日本でも働けますが、年収アップを狙うなら外資系企業が選択肢に挙がります。

まとめ

CISSPは、情報セキュリティのスキルを示す海外の資格です。日本でも実施されているものの知名度は低く、他のセキュリティ系資格と比較すると、やや需要は低い状況です。

ただ、試験で求められる知識の範囲が広く、CISSPは難易度の高い資格です。そのため、CISSPに合格して認定を受けたならば、セキュリティの専門家として高い信頼を得られます。特に外資系企業からの評価は高く、年収アップに大きくつながる可能性があります。

登録フォームボタン
登録フォームボタン

SHAREこの記事をシェアする

LINE
admin