はじめに:CISSPとは何か
CISSP(Certified Information Systems Security Professional)は、(ISC)²が認定する情報セキュリティ分野で最も権威ある国際資格の一つです。世界170カ国以上で約16万人以上が取得しており、日本国内でも需要が急増しています。
この資格は単なる技術的な知識だけでなく、セキュリティマネジメントの観点から組織全体を俯瞰できる能力を証明するものです。合格率は約20〜25%と言われており、十分な準備なしには突破できない難関資格です。
本記事では、CISSP試験の8つのドメインそれぞれについて、実務経験者の視点から重点ポイントを解説します。効率的な学習計画の立て方から、各ドメインで押さえるべき核心的な概念まで、合格に必要な情報を網羅的にお伝えします。
CISSPの試験概要と受験要件
試験の基本情報
CISSP試験は、2024年現在、以下の形式で実施されています:
| 項目 | 内容 |
|---|---|
| 試験形式 | CAT(コンピュータ適応型テスト) |
| 問題数 | 125〜175問(日本語では250問の線形試験) |
| 試験時間 | 3〜4時間(日本語版は6時間) |
| 合格ライン | 1000点満点中700点以上 |
| 受験料 | 749 USD(約11万円) |
受験資格
CISSPを受験するには、8ドメインのうち2つ以上の分野で、5年以上の有償の実務経験が必要です。ただし、以下の条件で1年分の経験が免除されます:
- 4年制大学の学位保有
- (ISC)²が認める関連資格の保有(CISA、Security+など)
実務経験が不足している場合でも、試験に合格すれば「Associate of (ISC)²」として認定され、6年以内に必要な経験を積むことで正式なCISSP資格を取得できます。
ドメイン1:セキュリティとリスクマネジメント(Security and Risk Management)
出題比率と重要度
このドメインは試験全体の**約15%**を占め、8ドメインの中で最も出題比率が高い領域です。セキュリティの基本原則から法規制、リスク管理まで幅広い内容を含みます。
重点ポイント
1. CIA トライアド(機密性・完全性・可用性)
情報セキュリティの3大原則であるCIAトライアドは、あらゆる問題の根底にある概念です。
- 機密性(Confidentiality): 許可された者だけが情報にアクセスできる状態
- 完全性(Integrity): 情報が改ざんされていない正確な状態
- 可用性(Availability): 必要なときに情報にアクセスできる状態
実務では、これらのバランスを取ることが重要です。例えば、機密性を高めすぎると可用性が低下する場合があります。
2. リスク管理フレームワーク
リスク管理は以下の計算式を理解することが必須です:
リスク = 脅威 × 脆弱性 × 資産価値
また、以下の用語の違いを明確に理解しておきましょう:
- SLE(Single Loss Expectancy): 単一損失予測額 = 資産価値 × 暴露係数
- ARO(Annualized Rate of Occurrence): 年間発生頻度
- ALE(Annualized Loss Expectancy): 年間損失予測額 = SLE × ARO
3. セキュリティポリシーの階層
組織のセキュリティ文書は以下の階層構造を持ちます:
- ポリシー(方針): 経営層が承認する最上位文書。「何を」達成するかを記述
- スタンダード(基準): 必須要件を定義。「何を使うか」を規定
- ガイドライン(指針): 推奨事項。強制力なし
- プロシージャ(手順): 具体的な作業手順。「どうやって」を記述
4. 法規制とコンプライアンス
主要な法規制の適用範囲を押さえておきましょう:
| 法規制 | 適用対象 | 主な要件 |
|---|---|---|
| GDPR | EU市民の個人データを扱う組織 | データ主体の権利保護、72時間以内の侵害報告 |
| HIPAA | 米国の医療機関 | PHI(保護対象医療情報)の保護 |
| SOX法 | 米国上場企業 | 内部統制の評価・報告 |
| 個人情報保護法 | 日本国内の事業者 | 個人情報の適正な取り扱い |
ドメイン2:資産のセキュリティ(Asset Security)
出題比率と重要度
出題比率は**約10%**です。データの分類、所有権、保護要件に関する理解が問われます。
重点ポイント
1. データ分類レベル
政府・軍事系と民間企業では分類体系が異なります:
政府・軍事系:
- Top Secret(最高機密)
- Secret(機密)
- Confidential(秘)
- Unclassified(非機密)
民間企業:
- Confidential(社外秘)
- Private(部外秘)
- Sensitive(取扱注意)
- Public(公開)
2. データのライフサイクル
データは以下の段階を経て管理されます:
- 作成(Create): データの生成・収集
- 保存(Store): 適切な場所への格納
- 使用(Use): 業務での活用
- 共有(Share): 内外への提供
- アーカイブ(Archive): 長期保管
- 破棄(Destroy): 安全な削除
3. 役割と責任
データに関わる役割を明確に区別することが重要です:
- データオーナー: 経営層レベル。データの分類レベルを決定
- データカストディアン: IT部門。技術的な保護を実装
- データスチュワード: データの品質と整合性を維持
- データプロセッサー: データ処理を委託された第三者
ドメイン3:セキュリティアーキテクチャとエンジニアリング(Security Architecture and Engineering)
出題比率と重要度
出題比率は**約13%**で、技術的な内容が最も多いドメインです。
重点ポイント
1. セキュリティモデル
以下のセキュリティモデルの特徴を理解しましょう:
| モデル名 | 特徴 | 重視する性質 |
|---|---|---|
| Bell-LaPadula | 軍事向け、「読み上げ禁止・書き下ろし禁止」 | 機密性 |
| Biba | 「読み下ろし禁止・書き上げ禁止」 | 完全性 |
| Clark-Wilson | 商用向け、職務分離と監査を重視 | 完全性 |
| Brewer-Nash | 利益相反の防止(中国の壁) | 機密性 |
2. 暗号化の基礎
暗号化方式の違いを把握しておきましょう:
対称鍵暗号(共通鍵暗号):
- AES(128/192/256ビット):現在の標準
- 3DES:レガシーシステムで使用
- 特徴:高速だが鍵配布が課題
非対称鍵暗号(公開鍵暗号):
- RSA:2048ビット以上を推奨
- ECC(楕円曲線暗号):同等強度でより小さい鍵長
- 特徴:鍵配布が容易だが処理が遅い
ハッシュ関数:
- SHA-256/SHA-3:推奨
- MD5/SHA-1:脆弱性があり非推奨
3. 物理セキュリティ
物理的な防御は「深層防御(Defense in Depth)」の考え方に基づきます:
- 抑止(Deterrence): フェンス、監視カメラ、警備員
- 遅延(Delay): 複数のドア、マントラップ
- 検知(Detection): センサー、アラーム
- 対応(Response): 警備員の出動、法執行機関への通報
ドメイン4:通信とネットワークセキュリティ(Communication and Network Security)
出題比率と重要度
出題比率は**約13%**です。ネットワークの基礎からセキュアな通信プロトコルまで幅広く出題されます。
重点ポイント
1. OSI参照モデルとTCP/IPモデル
各層の役割とセキュリティ対策を理解することが重要です:
| OSI層 | 名称 | 代表的なプロトコル | セキュリティ対策 |
|---|---|---|---|
| 7 | アプリケーション | HTTP, SMTP, DNS | WAF, コンテンツフィルタリング |
| 6 | プレゼンテーション | SSL/TLS | 暗号化 |
| 5 | セッション | NetBIOS | セッション管理 |
| 4 | トランスポート | TCP, UDP | ファイアウォール |
| 3 | ネットワーク | IP, ICMP | ルータACL, IDS/IPS |
| 2 | データリンク | Ethernet | VLAN, 802.1X |
| 1 | 物理 | ケーブル | 物理的アクセス制御 |
2. VPNプロトコル
VPNの種類と特徴を押さえましょう:
IPsec:
- AH(Authentication Header):認証のみ
- ESP(Encapsulating Security Payload):暗号化と認証
- トランスポートモード:エンドツーエンド
- トンネルモード:ゲートウェイ間
SSL/TLS VPN: ウェブブラウザで利用可能、ポート443を使用
3. ネットワーク攻撃と対策
代表的な攻撃手法を理解しておきましょう:
| 攻撃名 | 概要 | 対策 |
|---|---|---|
| ARP Spoofing | ARPテーブルの偽装 | DAI(Dynamic ARP Inspection) |
| DNS Poisoning | DNSキャッシュの汚染 | DNSSEC |
| Man-in-the-Middle | 通信の傍受・改ざん | TLS、証明書ピンニング |
| DDoS | サービス妨害 | CDN、スクラビングセンター |
ドメイン5:アイデンティティとアクセス管理(Identity and Access Management)
出題比率と重要度
出題比率は**約13%**です。認証・認可・アカウンティング(AAA)の概念が中心となります。
重点ポイント
1. 認証の3要素
認証は以下の3つの要素の組み合わせで強化されます:
- 知識要素(Something you know): パスワード、PIN
- 所有要素(Something you have): スマートカード、トークン
- 生体要素(Something you are): 指紋、虹彩
**多要素認証(MFA)**は、これらの異なる要素を2つ以上組み合わせることです。同じ要素を複数使用しても多要素とは言えません。
2. アクセス制御モデル
| モデル | 特徴 | 使用例 |
|---|---|---|
| DAC(任意アクセス制御) | オーナーが権限を決定 | Windows NTFS |
| MAC(強制アクセス制御) | システムがラベルに基づき制御 | 軍事システム |
| RBAC(役割ベースアクセス制御) | 役割に基づき権限を付与 | 企業システム |
| ABAC(属性ベースアクセス制御) | 複数の属性で制御 | クラウドサービス |
3. シングルサインオン(SSO)
SSOの主要なプロトコルを理解しましょう:
- SAML(Security Assertion Markup Language): XMLベース、エンタープライズ向け
- OAuth 2.0: 認可フレームワーク、APIアクセス
- OpenID Connect: OAuth 2.0上の認証レイヤー
- Kerberos: チケットベース、Active Directory
ドメイン6:セキュリティ評価とテスト(Security Assessment and Testing)
出題比率と重要度
出題比率は**約12%**です。セキュリティテストの手法と評価方法が問われます。
重点ポイント
1. 脆弱性評価とペネトレーションテスト
この2つの違いを明確に理解しましょう:
| 項目 | 脆弱性評価 | ペネトレーションテスト |
|---|---|---|
| 目的 | 脆弱性の特定 | 脆弱性の悪用可能性を検証 |
| 手法 | 自動スキャン中心 | 手動テスト中心 |
| 範囲 | 広範囲 | 特定のターゲット |
| 侵入 | なし | あり(許可の範囲内) |
2. テストの種類
- ホワイトボックス(クリスタルボックス): 内部情報を全て開示
- ブラックボックス: 情報を一切開示しない
- グレーボックス: 一部の情報のみ開示
3. セキュリティ監査
監査の種類を把握しておきましょう:
- 内部監査: 組織内部で実施
- 外部監査: 第三者が実施
- 第三者監査: 認証機関による監査
代表的な監査基準:
- SOC 1: 財務報告に関する内部統制
- SOC 2: セキュリティ、可用性、処理の完全性、機密性、プライバシー
- ISO 27001: 情報セキュリティマネジメントシステム
ドメイン7:セキュリティオペレーション(Security Operations)
出題比率と重要度
出題比率は**約13%**で、日々のセキュリティ運用に関する実務的な内容が中心です。
重点ポイント
1. インシデント対応のフェーズ
NISTのインシデント対応フレームワークに基づく4フェーズ:
- 準備(Preparation): ポリシー策定、ツール準備、チーム編成
- 検知と分析(Detection and Analysis): 異常の検知、影響範囲の特定
- 封じ込め、根絶、復旧(Containment, Eradication, Recovery)
- 事後活動(Post-Incident Activity): 教訓の文書化、改善
2. 事業継続計画(BCP)と災害復旧(DR)
重要な指標を理解しましょう:
- RPO(Recovery Point Objective): データ損失許容量。「どこまでのデータを失っても許容できるか」
- RTO(Recovery Time Objective): 復旧目標時間。「何時間以内に復旧すべきか」
- MTD(Maximum Tolerable Downtime): 最大許容停止時間
例えば、RPOが4時間の場合、少なくとも4時間ごとにバックアップを取得する必要があります。
3. バックアップの種類
| 種類 | 特徴 | バックアップ時間 | リストア時間 |
|---|---|---|---|
| フルバックアップ | 全データをコピー | 長い | 短い |
| 差分バックアップ | 最後のフルバックアップ以降の変更 | 中程度 | 中程度 |
| 増分バックアップ | 最後のバックアップ以降の変更 | 短い | 長い |
ドメイン8:ソフトウェア開発セキュリティ(Software Development Security)
出題比率と重要度
出題比率は**約11%**です。セキュアな開発ライフサイクルとアプリケーションセキュリティが問われます。
重点ポイント
1. セキュアソフトウェア開発ライフサイクル(SSDLC)
各フェーズでのセキュリティ活動:
| フェーズ | セキュリティ活動 |
|---|---|
| 要件定義 | セキュリティ要件の定義、脅威モデリング |
| 設計 | セキュリティアーキテクチャレビュー |
| 実装 | セキュアコーディング、コードレビュー |
| テスト | SAST、DAST、ペネトレーションテスト |
| デプロイ | 構成管理、ハードニング |
| 保守 | パッチ管理、脆弱性管理 |
2. OWASP Top 10
Webアプリケーションの主要な脆弱性を把握しましょう:
- インジェクション: SQLインジェクション、コマンドインジェクション
- 認証の不備: セッション管理の脆弱性
- 機微なデータの露出: 暗号化の不備
- XML外部エンティティ(XXE): XML処理の脆弱性
- アクセス制御の不備: 水平・垂直権限昇格
3. アプリケーションセキュリティテスト
- SAST(Static Application Security Testing): ソースコードを静的に解析
- DAST(Dynamic Application Security Testing): 実行中のアプリケーションをテスト
- IAST(Interactive Application Security Testing): SASTとDASTの組み合わせ
効果的な学習方法
推奨学習期間
一般的に、3〜6ヶ月の集中学習が必要です。実務経験がある分野は復習程度で済みますが、弱い分野には重点的に時間を配分しましょう。
推奨教材
- 公式ガイド: 「CISSP Official Study Guide」(Sybex社)
- 練習問題: 「CISSP Official Practice Tests」
- 日本語教材: 「CISSP CBK公式ガイドブック」
学習のコツ
- 概念の理解を重視: 単なる暗記ではなく、「なぜそうなるのか」を理解する
- 実務経験と紐づける: 自分の業務経験と学習内容を関連付ける
- 模擬試験を活用: 本番形式の問題で時間配分を練習
- 弱点を集中的に: 模擬試験で点数が低いドメインを重点学習
よくある質問(FAQ)
Q1: 英語が苦手ですが、日本語で受験できますか?
A: はい、日本語での受験が可能です。ただし、日本語版は線形試験(250問/6時間)となり、英語版のCAT形式(125〜175問/3〜4時間)とは異なります。日本語版は問題数が多い分、試験時間も長くなりますが、1問あたりに使える時間は同程度です。
また、一部の専門用語は英語のまま出題されることがあるため、主要な用語は英語でも覚えておくことをお勧めします。
Q2: 実務経験5年の要件は厳密に審査されますか?
A: はい、合格後に提出する「Endorsement(推薦)」の過程で経験が確認されます。CISSP保有者からの推薦を受け、(ISC)²に職歴を申告します。虚偽の申告は資格剥奪の対象となります。
経験として認められる分野は、8ドメインのうち2つ以上である必要があります。例えば、ネットワークエンジニアとして3年、セキュリティ運用として2年といった組み合わせが該当します。
なお、ランダムに選ばれた申請者に対して、より詳細な経験確認が行われる場合があります。
Q3: 試験に不合格だった場合、再受験はいつできますか?
A: 再受験のルールは以下の通りです:
- 1回目の不合格後: 30日後から再受験可能
- 2回目の不合格後: 90日後から再受験可能
- 3回目の不合格後: 180日後から再受験可能
- 12ヶ月間で最大4回まで受験可能
不合格の場合、どのドメインが弱かったかのフィードバックは得られません(合否のみ通知)。そのため、模擬試験で弱点を把握し、事前に対策しておくことが重要です。
まとめ
CISSPは広範なセキュリティ知識を証明する資格であり、合格には体系的な学習が不可欠です。本記事で解説した8ドメインの重点ポイントを整理すると:
- ドメイン1(15%): CIAトライアド、リスク管理、法規制が最重要
- ドメイン2(10%): データ分類と役割・責任の理解
- ドメイン3(13%): セキュリティモデルと暗号化の基礎
- ドメイン4(13%): OSIモデルとネットワーク攻撃対策
- ドメイン5(13%): 認証・認可・アクセス制御モデル
- ドメイン6(12%): 脆弱性評価とテスト手法
- ドメイン7(13%): インシデント対応とBCP/DR
- ドメイン8(11%): SSDLCとアプリケーションセキュリティ
試験対策では、暗記よりも概念の理解を重視し、実務経験と結びつけて学習することが合格への近道です。また、セキュリティマネジメントの視点、つまり「組織としてどう対応すべきか」という観点を常に意識することが重要です。
CISSPは取得後も3年ごとの更新が必要で、継続的な学習が求められます。この資格取得をキャリアの通過点として、情報セキュリティのプロフェッショナルとしてさらなる成長を目指してください。
関連キーワード: CISSP試験対策, CISSP勉強法, CISSPドメイン, 情報セキュリティ資格, (ISC)², セキュリティマネジメント, リスク管理, アクセス制御, 暗号化, インシデント対応, BCP/DR, セキュアソフトウェア開発