こんにちは、電通総研 XI本部 サイバーセキュリティテクノロジーセンターの櫻井です。
本記事ではISC2 CISSP認定を少し変わった観点から紹介します。
なお、本記事でご紹介する資格の情報は2025年12月時点のものとなります。

• ISC2 CISSP認定とは？
• セキュリティ資格（認定）の中での立ち位置
• 筆者の受験体験
• CISSP認定の特色
• なぜ難しいのか？その１（出題範囲）
  • CISSP認定で必要とされる知識
  • どこまで知識を深めるべきか？
• なぜ難しいのか？その２（認定者の立場）
  • 優先事項はなにか？
  • 誰目線の判断か？
• なぜ難しいのか？その３（試験形式）
• 筆者の利用したコンテンツ
  • 書籍
  • Webコンテンツ
  • Udemyコンテンツ
• 最後に

ISC2 CISSP認定とは？

CISSPは正式名称 Certified Information Systems Security Professionalであり、ISC2（アイエスシーツー）が認定しているセキュリティ関係のプロフェッショナル認定です。（※1）
技術的な分野だけでなく、セキュリティ戦略を考案するマネジメント・経営者的な視点も含まれる広範囲の知識を必要とされる認定試験です。

※1 CISSP®とは

セキュリティ資格（認定）の中での立ち位置

CISSP認定の難易度はほぼすべてのサイトにおいて最高レベルの資格群にランクされます。
セキュリティ資格の中でも傾向が異なり、主にマネジメント層向けの認定とされています。（IPA 情報処理安全確保支援士は比較的近しいものだと思います）
問題の傾向としても現れていますが、技術的に完結した正解を問う問題に加えて、現状の組織の立ち位置を踏まえどういった判断が最適かを問う問題が多いです。

筆者の受験体験

筆者は昨年2025年12月にCISSP認定試験を受験し、無事合格することができました。
CISSPはCAT方式で実施されますが、実際の試験については100問で問題が終了し、延長されることもありませんでした。

学習期間は1か月程度で、確かに難しいが一般的に認知されている難易度レベルまで難しいか？と感じたため本記事の執筆に至っています。

CISSP認定の特色

筆者の考えるCISSP認定はなぜ難しいのか？の特色は以下の3点に分けられると思います。

• 出題範囲
• 認定者の立場
• 試験形式

先に簡潔に述べるとテックブログをご覧の皆さんは、クラウドの設計ややアプリ開発の業務に従事されている方が多いかと思いますが、そういった方々から見るとちょっと変わった試験であるということです。 以降で、3点について紹介したいと思います。

なぜ難しいのか？その１（出題範囲）

CISSP認定の出題範囲はプラットフォームや技術領域カットでは表現が難しいです。
この点は他の多くのベンダー資格試験（AWS、Microsoft Azure）やIPAの高度情報処理技術者試験と異なります。

CISSP認定で必要とされる知識

広く認識いただいている代表的な試験で具体例を挙げるとAWS認定の代表 AWS Certified Solutions Architect – Professional(SAP)であればAWS全般の知識がほぼすべて出題範囲ですし、IPAデータベーススペシャリスト試験であればデータベースに関わるインフラ、アプリの理解、設計、運用（クエリオペレーション含む）までが出題範囲です。
逆に言うと、SAPであればソフトウェア開発やオンプレミスインフラに関わる範囲はほぼ含まれませんし、IPAデータベーススペシャリスト試験であればソフトウェア開発やネットワークに関わる範囲はほぼ含まれないということです。

では、CISSP認定はどうでしょうか？
出題範囲とされるCISSP CBKドメイン概要 の8項目を見てみましょう。

１．セキュリティとリスクマネジメント
２．資産のセキュリティ
３．セキュリティアーキテクチャとエンジニアリング
４．通信とネットワークのセキュリティ
５．アイデンティティとアクセスの管理(IAM)
６．セキュリティの評価とテスト
７．セキュリティの運用
８．ソフトウェア開発セキュリティ

ざっと一覧を眺めてみて、どこまでが出題範囲か理解できたでしょうか。（なんとなくセキュリティ全般？でしょうか）
解としては、セキュリティの課題を解決するために必要となる領域はクラウド、オンプレ、インフラ、ソフトウェア問わずすべて出題範囲ということであり、ほぼ同じことがCISSP8ドメインガイドブック（日本語版）の一文として含まれています。

CISSP CBK を理解しようとした時に、最初に驚かれるのはその範囲の広さです。
リスクマネジメントや暗号、ネットワークセキュリティだけではなく、ソフトウェア開発やコンピュータシステムのアーキテクチャなどもその範囲に入っているためです。また、これらは独立した知識として身につければ良いわけではなく、関連性をもって体系的に理解する必要があるということです。

この点に高難易度たる理由があります。範囲が広すぎるためベース知識の学習に時間がかかるため主に未経験者が受験するにはハードルが高いということです。
逆にセキュリティ領域の知見が薄い方でもクラウド、オンプレ、インフラ、ソフトウェアのバックボーンを持ち、かつ実務経験がある方であれば、セキュリティ領域のキャッチアップをするだけで比較的容易に認定を突破することが可能だと思います。（筆者もその類です。）

どこまで知識を深めるべきか？

技術的な正解を問う問題も出題されますので、プロトコルや設計、実装といった細かい内容を理解するのもよいですが、まずは大枠から理解するのが望ましいです。
その為にはCISSP認定のガイドブックを学習するだけでは難しく、自分がなじみがない技術領域の学習を進めることが良いと思います。

例えばクラウド環境から学習される方も多いと思うのでオンプレに関する知識は必須になると思います。IPAネットワークスペシャリスト試験くらいのレベルを満たしてあればこのあたりは基本的に十分です。CISSP対策の問題集を解いている最中に出てきた突飛な用語や技術は個別に調べましょう。

100点を取らないと合格できない試験ではありませんので、俗にいう捨て分野を作るのも選択肢に入りますが、ご自身の財布と相談の上で検討いただくのが良いかと思います。（CISSPの受験費用は1回あたり749＄）

なぜ難しいのか？その２（認定者の立場）

CISSPの出題形式は一般的な4択ですが、技術的な正解（○○を満たすプロトコルは何？）を問う問題だけでなく、選択肢を絞り切れず完全にマッチした回答が存在しない問題があります。
「優先事項はなにか？」、「誰目線の判断か？」の要素を元に条件に合うような回答から絞るにはどうすればよいかに関して、筆者の考えを紹介します。

優先事項はなにか？

CISSP認定で問われる点の多くはシステムに求められるセキュリティをどのレベルまで高める必要があるかです。
筆者は4要素で分類し、以下のような優先度で考えながら問題を解いていました。

実害、ダメージへの対応（具体例：社会的影響、自組織以外への影響、人命の損失）
＞　規制・制度への対応（具体例：GDPRやCCPAへの対応）
＞　コスト問題への対応（具体例：必要以上の対応コストを避ける、経営コストの最適化）
＞　技術的付加価値の提供（具体例：最新のテクノロジーの適用、過度な利便性の向上）

例を挙げると次のようなものです。

• 最新のテクノロジーやセキュリティソリューションを追加コストを払って実装することは、既に要件を満たしているのであれば不要である。
• システムを提供する地域がGDPRの忘れられる権利への対応が必要の場合、コスト度外視でも対応しなければならない。（この場合はリスク回避という選択も検討）

実装すべきセキュリティレベルは「下限は規制・制度を満たす」、「上限は組織（企業）の経済合理性を考えたうえでマネジメント層、経営者層が判断」というロジックに集約されると思います。（人命や社会的影響への対応は言わずもがな）
ITエンジニアリング界隈のコンサルタントや技術者だとより「良い付加価値を提供」という視点になってしまいますが、売る側の視点ではなく買う側の視点に切り替えましょう。この場合は「ヒト、モノ、カネ」ではなく「ヒト、（セイド）、カネ、モノ」なんですね。

誰目線の判断か？

組織としてどうするかを考えるかの目線、つまり管理者、経営者目線での判断を優先するということです。

CISSP CBKドメイン概要 の記載を引用しますが、統制すべきはシステムであり、そのシステムを運営管理する組織です。

8ドメインの共通的な考え方は組織のガバナンスにあります。ガバナンスとは、組織全体の把握をし、適宜修正を行いながら、組織の目的や目標を効率に達成するためのプロセスです。ベストプラクティスを理解し、それを実践するだけではなく、そのベストプラクティスが自らの組織に合ったものであるかどうかを判断し、もしも適切なものでないとした時に組織に合わせた形に修正(テーラリング)できるようにしなければなりません。

回答の中にも技術的な解決と組織的な解決が入り混じってくることがありますが、この場合は組織的にどのように対応するかを考慮した選択肢が正解となる可能性が高いです。

ここまでの総論としては、CISSP8ドメインガイドブック（日本語版）やCISSP CBKドメイン概要 をとにかく隅々まで読みましょうとなります。試験に関わる様々なエッセンスが含まれていますので必ず目を通すようにしてください。

なぜ難しいのか？その３（試験形式）

ISC2のCAT方式については受験者にかなりのプレッシャーがかかると思います。（筆者体験）
筆者は既にCCSPの認定を取得していますが、CCSP認定受験時はCAT方式ではなかったので、今回初めてのCAT方式受験でした。

既に紹介していますが、CAT方式の要点を挙げると以下2点です。

• 問題数は最小100問、それ以降は回答状況に応じて最大150問まで問題数が変動する。
• 一度回答した問題に関して戻って回答、見直しは行うことができない。

筆者は100問解いた段階で開始後90分経過のペースでしたが、150問出題される想定だとどのようなペースで解けばよいのか全くイメージがわきませんでした。
大前提は基本的な考え方や出題範囲の基本的な知識をきちんと理解し、余裕をもって回答するという点に尽きると思います。

筆者の利用したコンテンツ

CISSP認定に関する筆者の考えは以上ですが、参考までに筆者が利用したコンテンツ（書籍、Web、Udemy）について簡単に紹介します。

書籍

CISSP認定に関する書籍はガイドブックと問題集がそれぞれ出版されています。

• 新版 CISSP CBK公式ガイドブック

• The Official (ISC)2 Guide to the CISSP CBK Reference
  日本語版と英語版です。発行日が違うので最新は英語版になります。ガイド及びガイドブックについては、辞書代わりの様な使い方になるのかなと思います。
  全部読むのに膨大な時間が必要となりますし、一人で黙々と読んでいるだけでは頭に入るイメージがないです。（日本語Kindle版で1700ページのようです。）

• CISSP 公式問題集
  筆者は公式問題集は利用しました。ただし、事前情報とCCSP認定試験を受験したときの経験で同じ問題は出ないという認識でしたので、参考問題レベルの感覚でなぞった程度です。今保有している知識、観点が正しいかを確認しました。

Webコンテンツ

CISSPは企業のWebサイト、学習用Webコンテンツ、個人のブログのそれぞれでかなりの種類が存在します。
筆者が利用したものは主に二つです。

• piedpin.com
  CISSPをターゲットに様々な情報を整理しているサイトです。有料のものと無料のものが存在しますが、ここでは無料のものを対象としています。
  ※有料のものは後述するUdemyのものと同様かもしれません。（筆者は未利用）
  CISSPの出題範囲を対象に図やリンクを用いて整理されています。○○という技術について調べたいとなったら非常に有用だと思います。

• 晴耕雨読さん CISSP 勉強ノート
  筆者がCISSPの存在を知ったWebサイトです。（特定のセキュリティ用語を調べようと思ったら検索に引っ掛かりました）
  CISSPで出題される技術領域を把握するのにわかりやすく整理されていると思います。
  ※要約（まとめノート）であって特定の用語に関してすべての内容を網羅することは難しいと思います。

Udemyコンテンツ

所属している企業でUdemy Bussinessをサブスクライブしている場合、以下のコンテンツが利用できると思います。

• 【日本語】初心者から学べるCISSP講座
  先ほどの「piedpin.com」の作者が公開しているUdemyコンテンツだと思われます。
  CISSPのCBKごと、8つのコンテンツに分かれています。
  技術的な内容に関してもそれなりの分量がありますが、CISSPにおける回答の考え方について注意して学ぶと最も効率が良いです。
  日本語音声付きですので、コンテンツ名の通り、初心者でも抵抗なく利用できると思います。

最後に

読了いただきありがとうございました。
CISSPは今後も注目が集まる認定であり、クラウドだけでなく物理のレイヤを含めた統合的な情報セキュリティの認定として普及していってほしいと思います。

また、新しい取り組みとしてISC2 JapanのWG（ワーキンググループ）で AIセキュリティWGも発足しました。
ISC2としてどのようなポリシー策定や研究結果をアウトプットしていくのか、とりわけ経営判断としてどのようにセキュリティリスクや導入を判断していくかについて筆者も注目していきたいと思います。

(※My credly)

執筆：@sakurai.ryo
レビュー：@azeta.takuya
（Shodoで執筆されました）