セキュリティ資格の難易度比較

更新履歴

2024年9月12日

GDSA合格に伴い追記しました。

2024年5月4日

GX-CS、GX-IA合格に伴い追記しました。

2024年4月25日

GXPN合格に伴い追記しました。

2023年6月5日

GCFE合格に伴い追記しました。

2021年9月26日

CompTIA CASP+合格に伴い追記しました。

2021年5月27日更新

Twitterでいただいたコメントを参考に見直しました。

2021年4月28日追記

Twitterにてコメントをいただき、なるほど確かにと思ったので少し補足しておきます。

• CompTIAに関しては教材がそろっているので、事前学習のハードルは3じゃなくて2くらいでも良いかもと思いました。
  （私が受験した時点ではそこまで教材がそろっていなかったので3にしましたが、今なら2くらいかもしれません）
• 情報処理安全確保支援士はこの数字よりは難しい試験だと思います。合計点でいえば、15くらいで、CySA+やPentest+と同じくらいの難易度のように思います。
• 数字化したものの、ご指摘いただいたとおり個人差は大きいです。試験時間の長さは気にならないという人もいるでしょうし、合格に必要な時間もその人の知識の広さ、深さによって大きく変わります。なのでこれが参考になるかどうかは人それぞれかもしれません。

はじめに

私がこれまでに取得した以下の資格について、個人的な難易度比較をしてみようと思います

• CISSP
• SSCP
• CompTIA CASP+
• CompTIA CySA+
• CompTIA Pentest+
• CompTIA Security+
• GX-IA
• GX-CS
• GCFA
• GREM
• GNFA
• GPEN
• GWAPT
• GCIH
• GCFE
• GBFA
• GSEC
• GXPN
• GDSA
• 情報処理安全確保支援士
• 徳丸基礎試験

難易度比較

難易度の比較は以下の観点で行いました。厳密に数値化するのは難しいので、私の主観で相対的に１～５の間で数値化しています。
なお、維持難易度は取得後の話なので、合計点には含めていません。
・試験範囲の広さ（幅広い知識が必要とされるかどうか）
・試験範囲の専門性の高さ（詳しい内容まで理解する必要があるかどうか）
・試験時間の長さ（試験が長いとその分集中力が必要になり、難易度が上がる。また、試験時間に余裕があるかどうかも含む）
・合格に必要な時間（合格までに必要と思われる時間）
・事前学習のハードル（勉強するための教材の入手難易度、事前学習のハードルの高さ、事前学習にかかるコスト。GIACはトレーニングが高額であることを考慮しますが、難易度が低い試験はトレーニングなしでも合格可能であることを考慮）
・試験難易度（試験がどの程度難しいかどうかを相対的に表した数字。GIACは英語であることも考慮。かなり主観強め）
・維持難易度（取得後の維持費用および維持にかかる労力）

	試験範囲の広さ	専門性の高さ	試験時間の長さ	合格に必要な時間	事前学習のハードル	試験難易度	維持難易度	合計
CISSP	5	4	5	5	4	5	3	28
SSCP	4	3	4	3	4	4	2	22
CompTIA CASP+	5	4	2	3	5	4	3	23
CompTIA CySA+	4	3	2	3	3	3	3	18
CompTIA Pentest+	3	4	2	3	3	3	3	18
CompTIA Security+	3	2	2	2	3	2	3	14
GX-IA	5	5	5	4	5	5	5	29
GX-CS	5	5	5	4	5	5	5	29
GCFA	4	5	4	4	5	4	5	26
GREM	4	5	4	4	5	4	5	26
GNFA	4	5	4	4	5	4	5	26
GPEN	4	5	4	4	5	4	5	26
GWAPT	3	4	3	3	5	4	5	22
GCIH	5	3	3	3	4	3	5	21
GCFE	3	5	4	4	5	4	5	25
GBFA	4	3	3	3	4	3	5	20
GSEC	5	2	3	3	4	3	5	20
GXPN	4	5	4	5	5	5	5	28
GDSA	4	5	5	5	5	5	5	29
情報処理安全確保支援士	4	3	3	3	2	3	4	18
徳丸基礎試験	1	2	1	2	4	1	0	11

※維持難易度は合計点に含めていません。

補足

• 支援士試験の難易度はそれほど低くはありませんが、対策本が多い、過去問から出題される傾向が強いなど、難易度を下げる要素が多い
• GX-IA、GX-CSは事前準備が困難、試験は極めて難しく、ハンズオンのため暗記問題はゼロ、試験時間は25問を4時間で解答ですが、1問あたり10分未満で解答するのは非常に難しく、最高点をつけました。たまたま私はどちらも1回で合格しているため、合格に必要な時間は4としましたが、どちらかというと経験がモノをいう試験であり、あまり事前準備が意味をなさないという方が正しいかもしれません。なお、CISSPやGXPNと1点しか違いませんが、試験全体の合格難易度は桁違いに高いと思います。
• CISSP、GCFA、GREM、GNFA、GPENは合計点はほぼ同じですが、難しさの方向性はかなり異なります。CISSPは広い試験範囲と回答を絞り込むの難しいことにより難易度があがっており、GCFA、GREM、GNFA、GPENは、専門性の高さと全編英語である点が難易度を上げています。ただし、専門性は高いものの、ある程度経験があれば問われる問題自体は比較的易しいです。
• 一方で、GWAPTやGCIHは専門性の高さが他のGIACと比べてやや低いと思いましたので点数を下げています。GCIHについては範囲の広さ（ペネトレ全般に加えてフォレンジックやインシデントハンドリングの分野に関わる）を考慮しています。また、GCIHは範囲こそ広いですが、難易度は他のGIACに比べて易しい点を考慮し、さらに難易度が低い分、比較的事前学習のしやすいことを考慮しました。
• CompTIAはCASP+を除き、いずれも対策本、模擬試験があり、事前学習は容易です。試験は若干専門性が高いものの、基本的には十分対策可能です。
• CompTIA CASP+は模擬試験なし、対策本はあるけどあまり役に立たない、実務経験がないと解答が難しいといった理由から、事前学習のハードルは最高値としました。GCFAやGREMと同様、トレーニングを受講できればこのハードルは下がるのかもしれません。一方で、十分な実務経験がある人（目安としてCISSP取得済み、セキュリティの経験10年以上）であれば、新たに覚えることはそれほどないので、勉強時間はそれほどいらないように思いました。
• GCFEはGCFAと似た資格ですが、GCFAに比べて範囲が狭いと感じるため、範囲を3点にしました。
• GBFAはGCFE等のフォレンジック資格と比べて保全に特化している分範囲が狭く、問題も簡単です。難易度はGCIH相当と思いますので、このあたりを考慮した点数にしています。
• GSECは試験範囲こそ広いものの、難易度は支援士未満と思いました。また試験時間は4時間ですが、かなり余裕がありますので試験時間の長さは3としました。
• GXPNはGIAC最難関の1つと言われるほど難しいです。GPENと同じ分野ですがGPENよりもさらに専門性が高く、内容も難しいため合格に必要な時間も増えています。
• GDSAは防御分野ほぼ全般から出題されるので範囲はかなり広いです。その上問題そのものが難しく、合格ラインが63%と低く設定されているのはこの難しさを反映しているのでしょう。時間が足りないと感じる試験です。

結論

私個人の経験を加味した結論としては以下になるかと思います。
情報処理安全確保支援士自体はとりやすいと思いますが、年に2回しかチャンスがないため、実質的には普通くらいに分類されるかもしれません。
CompTIA CASP+は、事前学習のハードルの高さと、問題の傾向から勉強の有無以上に実務経験の方が重要と考え、一番上の難易度としています。
CISSPは、勉強+ある程度の実務経験が必要な印象です。
※あくまで私の主観ですのでご参考までに。

難易度	資格
攻略法が見えない	GX-CS、GX-IA
かなり勉強しても落ちるかも	CISSP、CompTIA CASP+、GXPN、GDSA
かなり勉強すれば合格できる	SSCP、GCFA、GREM、GNFA
勉強すれば合格できる	CompTIA CySA+、Pentest+、情報処理安全確保支援士試験、GPEN、GWAPT、GCIH、GCFE
経験者なら少し勉強すれば合格できる	CompTIA Security＋
簡単	徳丸基礎試験