ISC2とCISSPは何
ISC2(International Information Systems Security Certification Consortium)は、世界最大のサイバーセキュリティ非営利団体であり、情報セキュリティの専門家を認定する国際的な基準を設定しています。
また、ISC2は情報セキュリティ業界の専門家とともに、CBK(Common Body of Knowledge)という情報セキュリティのプロフェッショナルが持つべき核心的な知識とスキルの知識体系を独自開発しております。CBKが定期的に更新されることによって、最新脅威、技術、ベストプラクティスを反映しています。
ISC2は世界中に160以上の支部があり、50か国以上をカバーしています。現在、26万以上のメンバー(会員と準会員)を抱えています。
CISSP(Certified Information Systems Security Professional)資格は、情報セキュリティの分野での専門知識と経験の証明として広く認知されているため、世界中の多くの組織や政府機関で高い評価を受けています。
2024年12月31日時点、全世界のCISSPホルダーは187,000+人、日本においてCISSPのホルダーは6600+人です。
CISSPの資格は、下記8つのCBKのドメインから出題されます。
- セキュリティとリスクマネジメント(Security and Risk Management)
- 資産のセキュリティ(Asset Security)
- セキュリティアーキテクチャとエンジニアリング(Security Architecture and Engineering)
- 通信とネットワークのセキュリティ(Communication and Network Security)
- アイデンティティおよびアクセス管理(IAM: Identity and Access Management)
- セキュリティの評価とテスト(Security Assessment and Testing)
- セキュリティの運用(Security Operations)
- ソフトウェア開発セキュリティ(Software Development Security)
タイムライン
2021年10月頃、自分はメーカーの品質保証(QA)からサイバーセキュリティ業界に転身する際、キャリアの目標の1つとしてCISSPの取得することを決めました。
2021年11月からの約2年半で、前職(監査法人)の情報セキュリティ部にて、日本国内のグループ会社および海外メンバーファームとの連携で、下記の点を含むセキュリティの全体像を理解しました。
- グローバル会社視点からのセキュリティ統制・ガバナンス
- SOCとインシデントレスポンス
- システムの運用管理と社内教育
- 内部審査・外部審査など
- ISMSの遵守
- クラウドサービスのリスク評価と管理
- 外部委託先の管理
また、前職の学習支援制度を活用して、クラウドとサイバーセキュリティ関連の資格を取得しました。
1)Microsoft ESIプログラム ⇒ 全てMicrosoftクラウド資格を無料受験できます。
2)Udemy for Business ⇒ Udemyのすべてコースを自由に学習できます。
2024年1月頃、SNSでISC2のエントリー資格CC (Certified in Cybersecurity)のOneMillionプログラムを見て、参加しました。直接難関資格のCISSPでなく、エントリーの資格CCを取得しようと考えていた。公式のCCコースを完成したら、受験バウチャー(受験料199USDを100%免除)1つをゲットしました。
2024年7月、前職の有給を消化して、CC資格を一発合格できました。その後、ISC2のメンバーになり(会員費50USD)、ISC2日本支部にも参加しました(会員費なし)
同時に、CC資格のCPE(Continuing Professional Education:継続的専門研修)を獲得しながら、CISSPのUdemyコースを学習しています。
2024年8月から、現職に入社して、情シスが管理している各システムの管理者権限をもらって、システムマネジメントとセキュリティ管理という2つ視点から課題を洗い出して、改善策を検討してまいります。
2024年12月末、年末年始の休暇前、Excalidrawを使って、各CISSPのドメインのマインドマップを作りました。
- マインドマップの様子
2025年2月、現職の学習支援制度を使って、CISSPのOSG(Office Study Guide)と公式問題集を購入しました。
これから、本格的な受験準備を開始しました。
試験の申込
早めに試験日を決めた方がよいです。理由は2つがあります。
1)〆切(デッドライン)があるので、受験準備に専念できます。
2)Microsoftのクラウド資格などは受験日の24時間前、リスケジュールできます(無料)。CISSP は試験日の変更は 50 USD、キャンセルは 150 USDが必要です。
また、毎年CISSPには「Peace-of-mind」というキャンペーンがあります。通常の受験料749USDに199USDを追加すると、不合格の場合に無料で再受験できるというものです。参考リンク:
Peace of Mind April promo terms and conditions
私は一発合格を目指し、全力で挑戦する決意をしたため、「Peace-of-mind」オプションは利用しないことにしました。受験日は、約5ヶ月先の6月12日で申し込みました。
準備すべき参考書
CISSP の試験範囲と形式は 2024 年 4 月に更新されましたので、最新の OSG(第 10 版)と 公式問題集(第 4 版)で復習することをお勧めします。私はCISSPの英語試験を予約したので、Amazon で英語版書籍を購入しました。
Amazon.co.jp: ISC2 CISSP Certified Information Systems Security Professional Official Study Guide & Practice Tests Bundle (Sybex Study Guide) : Chapple, Mike, Stewart, James Michael, Gibson, Darril, Seidl, David: Foreign Language Books
学習期間
自分周りの人は、CISSP資格ホルダーはいませんので、独学はなかなか難しいです。OSG 著者のMike Chapple氏はCISSP学習メーリングリストを提供しています。それを登録すると毎週学習計画と練習問題をもらえます。
OSGの本は1,000ページ以上ですので、先に通読しなければならない。私は平日2時間、土日7〜8 時間を確保します。
受験日まで、下記ポイントを認識すべきだと思います。
1)CISSP は難しいですが、準備時間が長いほど、合格可能性が高いほどではありません。奨励やボーナスもありません。多くの人は「まだ準備が足りない」と感じがちですが、すべての知識点を覚えるのは不可能です。公式問題集の模試で正答率が 80% 前後なら十分だと思います。
2)CISSPの練習問題は、OSG(960問)と公式問題集(1300問)以外、インターネットとUdemy上にも多いです。自分が収集している問題に限り、4000問程度です。まずOSG と公式問題集の問題を使って、CISSP の知識フレームワークの全体像と各ドメインの正解率を把握します。不正解の問題を整理して、OSGで関連ページを再確認します。
私は4000問ではなく、2300 問強を解いた、このくらいで十分でした。
3)複数講師のコースを勉強します。講師ごとにスタイルがあり、スライドも分かりやすいので、複数の視点からCISSPの基本概念を理解できます。
私のおすすめ:
a. Thor のCISSPコース。写真付きの講義が理解しやすいです。
b. Mike Chapple の LinkedIn 講座
LinkedIn Learning
私は LinkedIn の有料会員ではありませんが、1 か月のトライアルを活用してコースの受講を完了しました。残念ながらMike先生はスライドを配布しません。
c. YouTube の各種解説
まずはPete Zerger氏のCISSP シリーズ。8 時間で8 ドメインを説明して、また2024年新試験シラバス範囲の解説動画もあります(2 時間38分)
CISSP Exam Prep 2025 LIVE - 10 Key Topics & Strategies
スライドもダウンロード可能で、とても親切です。
OSG が長すぎると感じるなら、Pete Zerger 著の「CISSP Last Mile」を購入すると、読書の苦痛が半減します。
CISSP: The Last Mile by Pete Zerger [Leanpub PDF/iPad/Kindle]
Andrew Ramdayal 氏の「CISSP MindSet」は 50 問の演習付き(本試験に近い)。マネージャー思考を身につけるのに有効で、定期的な復習を推奨。
50 CISSP Practice Questions. Master the CISSP Mindset
『How to think like a Manager』の著者による解説動画。この本はネットで無料ダウンロードも可能。早めに読むことをおすすめします。動画の最後の言葉が深夜学習中の私を大いに励ましてくれました。
How To Think Like A Manager for the CISSP Exam - Director's Cut
The CISSP exam is tough, it may take more than one attempt, it will push you to the limit, it will cost you money, time, and effort, but you will find a way to pass it, You will do it.
4)AI 技術を活用する
CISSP は「幅は1キロ、深さは1インチ」と言われる試験です。紙で原文を探すのは非常に手間。理解しづらい概念や、英語原著で語彙が足りない時は、素直にAIに質問しましょう。私は ChatGPT、Gemini、Copilot を使い分けました。章の要点復習では音声チャットで一問一答することもあります。
その他の学習リソース
上記以外、私は有料の補助ソースを購入しました:
1)CISSP 公式アプリ。CISSP、CCSP、SSCP に対応。有料会員は追加問題やフラッシュカードを解放できます。おそらく OSG と OPT の TestBank と同等の内容で、スマホで復習しやすいのが利点。
「CISSP-CCSP-SSCP ISC2 Official」をApp Storeで
2)Mike Chapple氏の「CISSP Last Minute Review Guide」 と「CISSP Practice Test and Live Review」
単体でもセットでも購入可。セットで約 30 米ドルと少しお得の感じ。
Last Minute Review は試験直前の総ざらいに最適。Practice Test は 100 問で詳細解説付き。さらに Mike 本人との 30 分Zoomオンラインミーティングも可能。ただし時差の関係で日本時間では深夜 1 時開始。私が参加した回は 3 人だけで、細かいところまで話せませんでした。皆が関心を持つのは CAT 形式の出題傾向やタイプなど。作者本人に会えたのは単純にうれしかったです。購入するなら試験の 1 か月半前かそれより前。月次のミーティング日程をミスと翌月まで待ちになり、試験日より遅くなると意味がありません。また、Zoom 開催で録画の配信もありません。
3)Pete Zerger の CISSP Last Mile
前述の通り。作者が継続的にアップデートしています。
その後、私はマインドマップの 第2版を作りました。Pete Zerger の動画を参考にしました。表裏で十数ページ。手書きは電子版マインドマップにより記憶が鮮明になるかもしれません。
最後に、どの程度で「準備完了」と言えるか。自分で基準を定めて達成し、「もう準備できた」と心から納得することだと思います。学習期間中は「必ず合格する」という強い確信を持つ。落ちるイメージは一切持たない。脳は現実と想像の区別が苦手で、強い「自己暗示」で目標を現実になります。
OSG によると四択一問題以外に多選択、ドラッグ&ドロップのような問題形式もあるかもしれないと書かれていますが、合格者の経験談により現状は四択一問題のみのようです。私は演習で多選択の正解率が低いです。