#CISSPとは
CISSPとは、**Certified Information Systems Security Professional**の略で、国際的なセキュリティ認定資格です。特に、米国において人気のある資格となっています。(約15万人の保有者のうち、9万人が米国籍)
一方で、日本の資格保有者は現状では3000人程度しかおらず、日本語で得られる情報がまだまだ少ない資格となっています。(参考:IPA 情報処理安全確保支援士 約2万人)
認定資格を得るには、**6時間250問のComputer Based試験で、70%のスコアをとる必要があります。試験合格後には、業務経験の申告や本人確認など"エンドースメント"**の過程を経て、ようやく認定資格を得ることができます。
また、”エンドースメント”を受けるには、CISSPが定めるドメイン(後述)のうち2ドメインに関連した業務経験が合計5年以上必要(情報系専攻出身は4年)となります。
関連ドメインで5年以上の経験、と言われると気が引けるかもしれませんが、どんな仕事でも必ずなにかしらの領域に関連してきます。実質、社会人経験が5年以上(情報系出身は4年)、という条件だと捉えて問題ないでしょう。
#資格の有用性
海外(特に米国)におけるCISSP資格保有者の平均年収は約1000万と高年収となっています。業務経験年数という前提条件があるために、資格保有者の年齢層が高いというバイアスもありそうですが、国際的な名声が高い資格であるといえます。
日本では資格保有者が少なく知名度も低いですが、下記のメリットが考えられます。
- 外資系企業に転職する際に有利 ※特に米国企業
- セキュリティベンダ担当者に一目置かれる ※個人的に、大きいと思います。
後者については感覚論ではありますが、業界で有名な国際資格(SANS GIAC等も含む)を保有していると、ベンダから一目置かれ、営業や発注後の対応がよくなる可能性が高いです。一方で、IPAの情報安全確保支援士は、比較的取得のハードルが低く、セキュリティ従事者でなくても資格を保有している人が多いため、そこまでのシグナリング効果はないように感じます。
この意味で、個人的には、事業会社のセキュリティ担当者にこそとってもらいたい資格です。
#効率的な勉強方法
###限られた学習リソース
2021年4月現在、日本語で一般販売されている民間の参考書が存在していません。
その学習領域については、公式サイトにおいて、学ぶべき8ドメインとその概要が公開されています。
ドメイン領域 |
---|
セキュリティとリスクマネジメント |
資産のセキュリティ |
セキュリティアーキテクチャとエンジニアリング |
通信とネットワークのセキュリティ |
アイデンティティとアクセスの管理 |
セキュリティの評価とテスト |
セキュリティの運用 |
ソフトウェア開発セキュリティ |
各ドメインの詳細については、公式からトレーニングが提供されていますが、50万円と高額です。このトレーニングについては、**試験内容とトレーニング内容が、リンクしていないという評判が多いようです。**しかも、2021/5/1に試験内容の見直しが予定されています。おそらく、トレーニング改定が、試験の改定内容に追いつくのには時間がかかるでしょうから、試験合格を目的とした観点から見れば、トレーニングの効率性は低下するものと思われます。(セキュリティを広範に学びたい、という目的であれば別)
###現状での効率的な学習方法
日本語で入手可能な学習用参考書は下記の二つとなっています。
- 新版 CISSP CBK 公式ガイド:いわゆる教科書。電子版でも24000円と高額
- CISSP公式問題集:電子版のみで3300円。本試に似せた問題形式の公式問題集(Not過去問)
"試験合格だけ”を目指すのであれば、公式問題集の学習だけで十分です
ただし、このとき、正解を覚える勉強、ではなく、4つの選択肢すべての概要を説明でき、かつ、何故ほかの選択肢が不正解かを説明できるレベルまで理解を深める必要があります。IPA試験と異なり、公式問題集は過去問ではなく、問題集と同じ問題は出ないため、この学習法をとる必要があります。用語の多くはGoogle検索すれば日本語でも多くの情報が得られます。
一部、CISSP独特な用語や考え方が存在します。日本語の公式ガイドを使うのも手ですし、英語に抵抗がないのであれば、格安の参考書が大量に出ています。個人の経験としては、理解が不足している個所について確認するだけなので、英語でも全く問題ありませんでした。また、合格点は70%なので、CISSP特有の用語や考え方は捨てる、というのも選択肢の一つかと思います。
英語の参考書では、通称Conrad本の評価が高いです。本書の要点だけを抜き出した本も存在し、個人的にはこちらで十分でした。
私個人の勉強時間でいえば、(平日1-2時間+休日3-5時間)×2か月の合計50時間ほどの勉強時間で合格ができました。セキュリティスペシャリスト、ネットワークスペシャリスト等の関連知識をすでに保有していたので、ゼロから勉強する方は100時間程度必要と見たほうがいいかもしれません。
#受験手続
手続きについては公式サイトにまとめられています。国際資格は試験の申込方法が分かりにくいケースが多いですが、CISSPも御多分に漏れません。問い合わせセンターも用意されていますので、栄光ある認定資格に向けて、ここは気合で乗り切ってください。
試験時間の長さもあり、試験センターがだいぶ先の日付まで予約で埋まっているケースも多いので、あらかじめ試験を予約してしまって、締め切りに向けて頑張るというのも手です。まずは試験予約サイトにアクセスしてみることを強くお勧めします。
#まとめ