チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「CISSPって聞いたことはあるけど、自分に必要な資格なのかわからない」「難易度が高そうで手が出せない」と感じていませんか。
セキュリティ分野でキャリアアップを目指す方にとって、このような悩みは珍しくありません。
この記事では、CISSPの基本情報から試験概要、8ドメインの解説、難易度比較、具体的な勉強法、そして年収・キャリアへの影響まで、2026年最新の情報をまとめています。
読み終えるころには、CISSPがご自身のキャリアに必要かどうかを判断し、合格に向けた具体的なアクションプランを描けるようになります。
チップスボス〜、CISSPって世界最高峰とか聞くでしゅけど、オイラみたいな情シス2年目でも目指せるんでしゅか?
ボスもちろんだ。段階的に攻略する方法がある。この記事を読めば、お前でも具体的な道筋が見えるはずだ。
※記事の内容をサクッと確認したい方は、以下のスライドでご確認いただけます。
オススメ案件
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
CISSPはセキュリティ分野のプロフェッショナルが目指す、世界で最も権威ある認定資格のひとつです。
まずはその全体像から見ていきます。
CISSPの正式名称は「Certified Information Systems Security Professional」です。
日本語では「公認情報システムセキュリティプロフェッショナル」と訳されます。
認定しているのは、ISC2(International Information System Security Certification Consortium)という非営利団体です。
ISC2は1989年に設立され、情報セキュリティ専門家の育成と認定を目的に活動しています。
本部はアメリカ・バージニア州アレクサンドリアにあります。
米国国防総省のDoD 8570(現DoD 8140)指令に準拠しており、ISO/IEC 17024(人材認証機関の国際規格)にも適合しています。
世界180カ国以上に会員ネットワークを持っている点も、グローバル資格としての信頼性を裏付けているのです。
ISC2が発行する認定資格は、各国の政府機関や大手企業で採用基準として広く使われています。
CISSPはその旗艦資格であり、セキュリティリーダーの証明として国際的に通用します。
チップス非営利団体がやってるんでしゅね!なんか信頼できそうでしゅ。
ボス30年以上の歴史と実績がある。軍や政府機関が採用基準にしている時点で、その権威は本物だ。
CISSPが他のセキュリティ資格と一線を画し、「世界最高峰」と称される根拠は明確に3つあります。
まず、8ドメインによる圧倒的な網羅性です。
CISSPの試験範囲は技術的なセキュリティだけではありません。
リスク管理、法規制、ガバナンスからソフトウェア開発セキュリティまで、8つのドメインを横断的にカバーしています。
経営層の言語で語れるセキュリティ専門家を育成する設計になっています。
次に、5年間の実務経験という厳格な認定要件です。
試験に合格するだけでは認定されません。
8ドメインのうち2つ以上の分野で、累計5年間の有給の実務経験が求められます。
この要件があるからこそ、「知識だけ」のペーパー資格とは明確に差別化されています。
3つ目が、世界16万人超のプロフェッショナルネットワークです。
ISC2の2024年時点の公表データによると、CISSP認定者は全世界で16万人を超えています(出典: ISC2公式)。
このネットワークは情報共有やキャリア形成で実際に役立ちます。
以上の3つから、CISSPは単なる技術認定を超えた「セキュリティリーダーの証明」として世界中で評価されています。
受験を検討するにあたり、費用・形式・条件を正確に押さえておく必要があります。
2026年時点の最新情報を整理します。
CISSPの試験は、言語によって形式が異なります。
| 項目 | 英語版(CAT方式) | 日本語版(リニア方式) |
|---|---|---|
| 受験料 | 749ドル(約11万円) | 749ドル(約11万円) |
| 試験時間 | 最大4時間 | 最大6時間 |
| 出題数 | 100〜150問 | 250問 |
| 出題形式 | 多肢選択+応用問題 | 多肢選択+応用問題 |
| 合格ライン | 1000点中700点以上 | 1000点中700点以上 |
| 試験会場 | ピアソンVUE | ピアソンVUE |
英語版のCAT(Computerized Adaptive Testing)方式では、受験者の回答状況に応じて出題難易度がリアルタイムで変動します。
正答が続くと難易度が上がり、最短100問で合否が判定される仕組みです。
再受験のルールも押さえておきましょう。
受験料は決して安くありません。
一発合格を目指すためにも、十分な準備期間を確保してから臨むことをオススメします。
CISSPの認定を受けるには、試験合格に加えて実務経験の要件を満たす必要があります。
「5年の経験がまだない」という方でも、諦める必要はありません。
ISC2にはアソシエイト制度が用意されています。
チップス5年でしゅか……オイラまだ2年目だから全然足りないでしゅ。もう無理でしゅか?
ボス慌てるな。アソシエイト制度を使えば、経験が足りなくても先に試験に合格できる。合格後6年以内に経験を積めばいい。焦るな、だが止まるな。
アソシエイト・オブ・ISC2として登録すれば、合格後最大6年間の猶予期間が与えられます。
その間に必要な実務経験を積めば、正式なCISSP認定を受けられます。
試験合格後、認定を受けるにはもうひとつのステップがあります。
それがエンドースメント(推薦)プロセスです。
合格後9ヶ月以内に申請を完了する必要があり、ISC2認定資格保持者1名の推薦(エンドーサー)を受けなければなりません。
エンドーサーは受験者の実務経験を確認・証明する役割を担います。
推薦者が見つからない場合はISC2自身が代行エンドーサーを務めてくれるため、「知り合いにCISSP保持者がいない」という理由で断念する必要はありません。
推薦者は同僚や上司である必要はありません。
ISC2の認定資格(CISSP以外でも可)を持つ方であれば、業界のつながりで依頼できます。
認定後は名刺やLinkedInのプロフィールに「CISSP」の表記を使用できます。
正式な表記は「氏名, CISSP」というカンマ区切りの形式です。
CISSPの試験は、CBK(Common Body of Knowledge)と呼ばれる8つのドメインから出題されます。
各ドメインの概要と出題比率を理解しておくことが、効率的な学習計画の第一歩です。
前半4ドメインは、セキュリティの基盤設計に関わる領域です。
ISC2が2024年4月に更新した最新の出題比率と合わせて解説します。
セキュリティとリスク管理(ドメイン1・16%)は、8ドメインの中で最も出題比率が高い領域です。
リスクアセスメントやセキュリティガバナンスにとどまらず、コンプライアンスや事業継続計画(BCP)まで幅広く問われます。
経営層にセキュリティ投資の必要性を説明する場面を想像すると、この領域の実務的な重みが実感できるはずです。
日本の技術系エンジニアが最も苦戦する領域でもあるため、マネジメント視点での学習を意識的に取り入れてください。
資産のセキュリティ(ドメイン2・10%)は、情報資産の分類や所有権の管理、データライフサイクル全体を見渡す領域です。
GDPRや個人情報保護法が業務に影響するケースが増えている今、DLP導入判断や情報の取り扱いポリシー策定の現場で直接役立つ知識が問われます。
セキュリティアーキテクチャとエンジニアリング(ドメイン3・13%)は、Bell-LaPadulaやBibaといったセキュリティモデルから暗号技術、物理セキュリティの設計原則までを扱います。
ゼロトラストアーキテクチャの設計思想が近年の頻出テーマで、クラウド移行プロジェクトでのセキュリティレビューを担当する方には馴染み深い内容です。
通信とネットワークセキュリティ(ドメイン4・13%)は、ネットワーク設計のセキュアな原則から通信チャネルの保護、ネットワーク攻撃への対策までを網羅します。
ファイアウォールルールの設計やVPN構成の評価といった日常業務に直結する知識が問われる領域です。
各ドメインの出題比率と実務での活用場面を補足として整理します。
| ドメイン | 出題比率 | 実務での活用場面 |
|---|---|---|
| 1. セキュリティとリスク管理 | 16% | 経営層への報告、ポリシー策定 |
| 2. 資産のセキュリティ | 10% | データ分類、DLP導入判断 |
| 3. セキュリティアーキテクチャ | 13% | システム設計レビュー |
| 4. 通信とネットワーク | 13% | NW構成の脆弱性評価 |
後半4ドメインは、日常的なセキュリティ運用や開発に携わる方に馴染み深い領域です。
アイデンティティとアクセス管理(ドメイン5・IAM・13%)は、認証・認可・アカウンティングの原則を軸に、シングルサインオンや多要素認証、特権アクセス管理を扱います。
ゼロトラスト実装の要となる領域で、実務ではID基盤の設計やPAMツールの導入判断で直接活きる知識です。
「誰が何にアクセスできるか」を組織全体で統制する力が問われます。
セキュリティの評価とテスト(ドメイン6・12%)は、脆弱性アセスメントやペネトレーションテストの計画・実施から、セキュリティ監査の報告書作成までをカバーします。
SOC2やISO27001の監査対応で「何をどこまで検証すべきか」を判断する能力が問われるため、監査法人やGRC部門との折衝が多い方には実践的な領域です。
セキュリティ運用(ドメイン7・13%)は、インシデント対応やディザスタリカバリ、ログ管理・監視が中心テーマです。
SOCやCSIRTの業務に直結する内容が多く、「深夜のアラート対応で何を優先すべきか」といった実務経験者にはイメージしやすい出題が特徴です。
ソフトウェア開発セキュリティ(ドメイン8・10%)は、セキュアコーディングの原則からSDLC各フェーズでのセキュリティ統合、OWASPトップ10への対応までを扱います。
DevSecOpsの文脈で近年重要性が増しており、開発チームとセキュリティチームの橋渡し役を担うポジションで特に評価される知識です。
後半4ドメインの出題比率と実務活用場面も整理します。
| ドメイン | 出題比率 | 実務での活用場面 |
|---|---|---|
| 5. IAM | 13% | ID基盤設計、PAM導入 |
| 6. セキュリティ評価とテスト | 12% | 脆弱性診断、監査対応 |
| 7. セキュリティ運用 | 13% | SOC運用、IR対応 |
| 8. ソフトウェア開発セキュリティ | 10% | セキュアSDLC推進 |
8ドメイン全体で100%となり、特定の分野だけに偏った学習では合格は困難です。
満遍なくカバーする学習戦略が求められます。
出典: ISC2 CISSP Certification Exam Outline
CISSPの難易度を客観的に把握し、自分にとって挑戦可能な資格かどうかを見極めていきます。
ISC2は公式に合格率を公表していません。
受験者コミュニティや試験対策スクールの集計では20〜25%程度との報告が多いですが、公式データではないため参考値として捉えてください。
不合格になる典型的なパターンは3つあります。
チップス合格率20〜25%って低すぎでしゅ……。落ちたら11万円が飛ぶんでしゅよね?
ボスだからこそ準備が全てだ。落ちる奴の多くは「技術に自信がある」という過信で失敗する。CISSPはマネージャーの視点で判断する試験だ。頭を切り替えろ。
CISSPと国内資格の難易度を比較したい方は、CISSPと情報処理安全確保支援士の難易度比較の記事も参考になります。
合格のカギは「Think like a manager, not an engineer」という考え方を徹底することです。
技術的に正しい答えではなく、組織全体のリスクを最小化する答えを選ぶ訓練を重ねましょう。
この高い難易度を突破した先には、年収・キャリアの両面で大きなリターンがあります。
セキュリティ人材の需給ギャップが拡大する中、CISSP保持者を求める案件は増え続けています。
セキュリティプロ・フリーランスのような専門エージェントを活用すれば、資格取得後のキャリアの選択肢を具体的にイメージしやすくなります。
難易度については以下の記事でも深掘り解説してるので、合わせて参考にしてみてください。
CISSPの位置づけを理解するには、関連する主要資格との比較が有効です。
| 比較項目 | CISSP | 情報処理安全確保支援士 | CISM | CISA |
|---|---|---|---|---|
| 認定団体 | ISC2(国際) | IPA(日本) | ISACA(国際) | ISACA(国際) |
| 対象領域 | セキュリティ全般 | セキュリティ技術 | セキュリティ管理 | IT監査 |
| 実務経験要件 | 5年 | なし | 5年 | 5年 |
| 通用範囲 | グローバル | 国内中心 | グローバル | グローバル |
| 難易度目安 | 非常に高い | 高い | 高い | 高い |
| 維持費用 | 年$135 | 年1.4万円(講習) | 年$45 | 年$45 |
情報処理安全確保支援士(登録セキスペ)は国内で広く認知されていますが、海外での通用度は限定的です。
国内企業でのキャリアを軸にする方には十分ですが、外資系やグローバル企業を視野に入れるならCISSPのほうが有利です。
CISMはセキュリティマネジメントに特化しており、CISO候補者に人気があります。
CISSPほど技術的な深さはありませんが、ガバナンス領域に集中して学びたい方に向いています。
CISAはIT監査に特化した資格で、監査法人やGRC部門でのキャリアを目指す方向けです。
「どれを取るべきか」の判断軸は、以下を目安にしてください。
複数資格の組み合わせで相乗効果を狙う方も多くいます。
特に「情報処理安全確保支援士 → CISSP」の順番で取得するルートは、日本人エンジニアに人気のある王道パターンです。
合格に向けた具体的な学習ロードマップを示します。
一般的に必要な勉強時間は300〜500時間が目安です。
コストを抑えながら合格を目指す方のために、主要な学習リソースを紹介します。
CISSPの過去問は公式には非公開です。
市販されている「過去問」と称するものは、公式の出題傾向に基づいて作成された模擬問題です。
オススメの教材を紹介します。
効果的な学習の進め方もまとめておきます。
独学の場合、総額は書籍・問題集で3〜5万円程度に収まります。
ただし、英語文献が中心となるため、技術英語への慣れが必要です。
予算に余裕がある方や、体系的に短期間で学びたい方には公式CBKトレーニングが効果的です。
日本国内でCISSP CBKトレーニングを提供している主要パートナーは3社あります。
| パートナー | 期間 | 費用(税込目安) | 特徴 |
|---|---|---|---|
| NRIセキュア | 5日間 | 約68万円(バウチャー込) | 国内最大の実績、日本語テキスト |
| トレノケート | 5日間 | 約65万円 | オンライン対応充実 |
| NECビジネスインテリジェンス | 5日間 | 約65万円 | 企業研修との連携が容易 |
費用は50〜70万円と高額ですが、メリットは大きいです。
企業派遣であれば費用負担を会社が持つケースも多いです。
1回で合格する確率を高める投資として、検討する価値は十分にあります。
チップス68万円って高すぎでしゅ……!オイラのボーナスが全部飛ぶでしゅよ!
ボス高いか安いかは結果次第だ。独学で3回落ちれば受験料だけで33万円。時間と機会損失も含めれば、どちらが本当に高いかは明白だろう。
「経験が足りないから受験できない」と考えている方に、現実的なルートを紹介します。
ISC2は実務経験が不足している方のために、アソシエイト・オブ・ISC2という制度を設けています。
この制度を使えば、経験なしでも試験に挑戦できます。
段階的な取得ルートとしてCC(Certified in Cybersecurity)の活用も検討できます。
20代の若手エンジニアにとって、「まずCCを取得 → アソシエイトでCISSP合格 → 実務を積んで正式認定」というルートが最も現実的です。
早い段階で動き始めることが、キャリアの差につながります。
CISSP取得の具体的なROI(投資対効果)を数字で見ていきます。
年収アップや転職市場での評価を裏付けるデータを紹介します。
CISSP保持者の年収は、国内外ともに高水準です。
ISC2の2024年度サイバーセキュリティ人材調査によると、グローバルでのCISSP保持者の平均年収は約13万ドル(約1,950万円)に達しています(出典: ISC2 2024 Cybersecurity Workforce Study)。
国内市場でも、CISSP保持者の年収は明確に高い傾向があります。
| 経験・ポジション | 年収レンジ(国内) |
|---|---|
| セキュリティエンジニア(3〜5年) | 600万〜900万円 |
| セキュリティコンサルタント | 800万〜1,300万円 |
| セキュリティマネージャー | 900万〜1,500万円 |
| CISO・セキュリティ部門長 | 1,200万〜2,000万円超 |
| 外資系セキュリティ職 | 1,000万〜2,500万円 |
背景には、深刻なセキュリティ人材不足があります。
ISC2の調査では、グローバルで約476万人のサイバーセキュリティ人材が不足しています(出典: ISC2 2024 Workforce Study)。
日本国内でも約11万人の需給ギャップがあり、有資格者への需要は今後も拡大が見込まれます。
外資系コンサルティングファームやテクノロジー企業では、CISSPを採用条件や昇格要件に設定しているケースが増えています。
CISSPを取得した後に目指せるポジションは多岐にわたります。
キャリアパスの一例を段階的に示します。
事業会社の情シス → CISSP取得 → セキュリティコンサル転職 → シニアコンサルタント → フリーランス独立
CISSPは「次のステージに進むためのパスポート」として機能します。
特に30代後半以降のキャリアアップにおいて、その効力を最も発揮する資格です。
「CISSPは意味ない」という声がネット上に存在するのは事実です。
この主張の根拠を正面から検証します。
「意味ない」と言われる代表的な理由は3つあります。
ただし、これらの批判には前提条件の見落としがあります。
CISSPの本質は「技術スキルの証明」ではなく「セキュリティリーダーとしての視座の証明」です。
技術だけでキャリアを構築する方にとっては確かに不要かもしれません。
しかし、マネジメント層へのステップアップや、グローバル市場での競争力を求める方にとっては、替えの利かない武器になります。
それでも取るべきなのは、外資系企業・グローバル企業への転職を視野に入れている方、CISO・セキュリティマネージャーへの昇格を目指している方、フリーランスとして信頼性の証明が必要な方、そして年収1,000万円超のポジションを狙っている方です。
ボス「意味ない」と言う奴の多くは、取れなかった奴か、取る必要がなかった奴だ。戦略なき批判に振り回されるな。お前が何を目指すかで、CISSPの価値は決まる。
合格はゴールではなくスタートです。
維持に必要な手続きと、さらなるキャリアアップの選択肢について解説します。
チップスえ、合格したら終わりじゃないんでしゅか?
ボスプロフェッショナルに「終わり」はない。継続的に学び続ける義務がある。それがCISSPの価値を支えているんだ。
CISSP認定を維持するには、CPE(Continuing Professional Education)クレジットの取得と年会費の支払いが必要です。
| 項目 | 内容 |
|---|---|
| CPE必要数 | 3年間で120クレジット(年間40クレジット目安) |
| Group A(専門分野) | 最低90クレジット |
| Group B(一般教育) | 最大30クレジット |
| 年会費(AMF) | $135/年 |
| 3年間の維持総コスト | $405(約6万円) |
出典: ISC2 Annual Maintenance Fees
CPEの取得方法は多岐にわたります。
年間$135の維持費は、CISSP保持者の年収レンジを考えれば負担は軽微です。
「継続学習の強制力」として、プロフェッショナルとしての成長を後押しする仕組みだと捉えてください。
CISSPの先には、さらに専門性を深める上位資格(Concentrations)が用意されています。
| 上位資格 | 正式名称 | 専門領域 |
|---|---|---|
| ISSAP | Information Systems Security Architecture Professional | セキュリティアーキテクチャ |
| ISSEP | Information Systems Security Engineering Professional | セキュリティエンジニアリング |
| ISSMP | Information Systems Security Management Professional | セキュリティマネジメント |
これらの上位資格は、CISSP認定者のみが受験できます。
取得者数はCISSPに比べて圧倒的に少なく、希少価値が高いのが特徴です。
キャリアの方向性に応じて、CISSPの次のステップとして検討する価値があります。
特にISSMPは国内でも需要が増加傾向にあり、CISOポジションへの有力な足がかりになります。
CISSPを取得した後、そのスキルと知見を最大限に活かすためには「どこで戦うか」の選択が大切です。
セキュリティ人材の需要は加速度的に高まっています。
経済産業省の公表資料によれば、国内のサイバーセキュリティ人材は約11万人不足しており、2030年までに登録セキスペ5万人体制を目指す方針が示されています(出典: 経済産業省 サイバーセキュリティ人材の育成促進に向けた検討会)。
この売り手市場で、キャリアの選択肢は広がり続けています。
CISSPという武器を手にしたなら、それを最大限活かせる環境を選ぶことが次のアクションです。
セキュリティプロ・フリーランスでは、CISSP保持者のスキルを正当に評価する案件が多数掲載されています。
フリーランスや副業を含めた柔軟な働き方で、年収とやりがいの両方を追求できる環境を探してみてください。
ボス資格は武器だが、戦場を選ぶのも戦略のうちだ。お前の実力を正しく評価してくれる場所で戦え。それがプロの生き方だ。
チップスはいでしゅ!オイラもまずはCCから頑張って、いつかボスみたいなプロになるでしゅ!
CISSPは、セキュリティ分野でグローバルに通用する最高峰の認定資格です。
8ドメインの横断的な知識と5年の実務経験を要求する厳格さが、その権威を支えています。
この記事のポイントを振り返ります。
セキュリティ人材の需要が拡大し続ける今、CISSPは最も確実なキャリアアップの手段のひとつです。
まだ経験が浅い方も、アソシエイト制度を活用して今日から一歩を踏み出しましょう。
CISSPを活かして新しいキャリアを切り拓きたい方は、セキュリティプロ・フリーランスで案件を確認してみてください。
あなたの専門性を正当に評価してくれる環境が、見つかるかもしれません。
オススメ案件
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
