はじめに:CISSPとは何か
CISSP(Certified Information Systems Security Professional)は、(ISC)²が認定する情報セキュリティ分野で最も権威ある国際資格の一つです。セキュリティマネージャー、CISO、セキュリティコンサルタントなど、セキュリティの上流工程に携わる方にとって、キャリアアップの大きな武器となります。
本記事では、CISSP試験の8つのドメインについて、実務経験者の視点から重点ポイントを解説します。2024年の最新試験形式(CAT方式、100〜150問、最大3時間)に対応した内容となっています。
CISSP取得のメリット
- 年収向上:日本国内でもCISSP保有者の平均年収は非保有者と比較して約150〜200万円高いとされています
- グローバルな認知度:世界150カ国以上で認められた資格
- 実務能力の証明:5年以上の実務経験が必要な資格であり、理論と実践の両方を兼ね備えていることの証明になる
- 転職市場での優位性:外資系企業やグローバル企業での採用において強力なアドバンテージ
背景:試験の概要と合格に向けた全体戦略
試験形式の特徴
CISSP試験はCAT(Computerized Adaptive Testing)形式を採用しています。これは受験者の回答状況に応じて問題の難易度が変化する方式です。
| 項目 | 内容 |
|---|---|
| 問題数 | 100〜150問(可変) |
| 試験時間 | 最大3時間 |
| 合格基準 | 1000点満点中700点以上 |
| 出題形式 | 四択問題が中心、一部ドラッグ&ドロップ |
| 受験料 | 749米ドル(2024年時点) |
合格に向けた全体戦略
CISSP試験で最も重要なのは「マネージャー視点で考える」ことです。技術的な詳細を問う問題よりも、組織としてどう判断するか、リスクベースでどう意思決定するかが問われます。
実務ポイント:日常業務でセキュリティ施策を検討する際、「なぜその対策が必要か」「経営層にどう説明するか」を意識すると、試験対策と実務能力の向上を同時に行えます。
ドメイン1:セキュリティとリスクマネジメント(Security and Risk Management)
配点比率:15%
8ドメイン中最も配点が高く、CISSP試験の土台となる領域です。セキュリティガバナンス、コンプライアンス、リスク管理、事業継続計画(BCP)などを幅広くカバーします。
重点ポイント
1. CIAトライアド(機密性・完全性・可用性)の深い理解
単なる定義の暗記ではなく、実際のシナリオでどの原則が侵害されているかを判断できることが求められます。
- 機密性(Confidentiality):許可されていない者への情報開示を防ぐ
- 完全性(Integrity):情報が不正に変更されていないことを保証する
- 可用性(Availability):必要な時に情報やシステムにアクセスできることを保証する
具体例:ランサムウェア攻撃は、データを暗号化して可用性を侵害すると同時に、データを窃取して機密性も侵害する複合的な脅威です。
2. リスク分析手法
定量的リスク分析と定性的リスク分析の違いを理解し、適切な場面で使い分けられることが重要です。
定量的リスク分析の主要計算式:
SLE(Single Loss Expectancy) = AV × EF
ALE(Annualized Loss Expectancy) = SLE × ARO
- AV(Asset Value):資産価値
- EF(Exposure Factor):損失係数(0〜100%)
- ARO(Annualized Rate of Occurrence):年間発生率
計算例:1億円のサーバーが、ランサムウェア攻撃により30%の損害を受ける可能性があり、年に0.5回発生すると予測される場合
- SLE = 1億円 × 0.3 = 3,000万円
- ALE = 3,000万円 × 0.5 = 1,500万円
3. セキュリティポリシーの階層構造
ポリシー(Policy):経営層が承認する最上位文書
↓
スタンダード(Standard):具体的な必須要件
↓
ガイドライン(Guideline):推奨事項(強制力なし)
↓
プロシージャ(Procedure):具体的な手順書
試験頻出ポイント:ポリシーは「何を」すべきかを定義し、プロシージャは「どのように」実施するかを定義します。
4. 事業継続計画(BCP)とディザスタリカバリ(DR)
BCPとDRの違い、および重要な指標を理解しておきましょう。
- RTO(Recovery Time Objective):システム復旧までの目標時間
- RPO(Recovery Point Objective):どの時点までのデータを復旧するか
- MTPD(Maximum Tolerable Period of Disruption):事業中断の最大許容期間
ドメイン2:資産のセキュリティ(Asset Security)
配点比率:10%
情報資産の分類、所有権、プライバシー保護、データ保持と破棄に関する領域です。
重点ポイント
1. データ分類と取り扱い
政府機関と民間企業で分類基準が異なることを理解しましょう。
政府機関の分類:
- Top Secret(最高機密)
- Secret(機密)
- Confidential(秘密)
- Unclassified(非機密)
民間企業の分類例:
- Confidential(機密)
- Internal Use Only(社内限定)
- Public(公開)
2. データの役割と責任
| 役割 | 責任 |
|---|---|
| データオーナー(Data Owner) | データの分類、アクセス権の決定 |
| データカストディアン(Data Custodian) | データの日常的な管理、バックアップ実施 |
| データプロセッサー(Data Processor) | データオーナーの指示に従いデータを処理 |
実務ポイント:多くの組織でデータオーナーが不明確になりがちです。情報資産台帳を整備し、明確にオーナーを定義することが重要です。
3. データのライフサイクル管理
作成→保存→利用→共有→アーカイブ→破棄という流れの中で、各段階で適切なセキュリティ対策を講じることが求められます。
特にデータの安全な破棄については頻出です。
- 消磁(Degaussing):磁気媒体を強力な磁場で消去
- 物理破壊(Physical Destruction):シュレッダーや焼却
- 暗号消去(Cryptographic Erasure):暗号化キーを破棄することでデータを読み取り不能にする
ドメイン3:セキュリティアーキテクチャとエンジニアリング(Security Architecture and Engineering)
配点比率:13%
セキュリティモデル、暗号化、物理セキュリティ、脆弱性に関する技術的な領域です。
重点ポイント
1. セキュリティモデル
以下のモデルの特徴と適用場面を理解しましょう。
Bell-LaPadulaモデル:機密性重視
- No Read Up(上位レベルのデータを読めない)
- No Write Down(下位レベルにデータを書き込めない)
Bibaモデル:完全性重視
- No Read Down(下位レベルのデータを読まない)
- No Write Up(上位レベルにデータを書き込まない)
Clark-Wilsonモデル:商用環境での完全性
- 整形式トランザクション(Well-formed Transaction)
- 職務分離(Separation of Duties)
2. 暗号化の基礎
対称鍵暗号と公開鍵暗号の比較:
| 項目 | 対称鍵暗号 | 公開鍵暗号 |
|---|---|---|
| 鍵の数 | 1つ(共通鍵) | 2つ(公開鍵・秘密鍵) |
| 処理速度 | 高速 | 低速 |
| 鍵配布 | 課題あり | 容易 |
| 代表的アルゴリズム | AES, 3DES | RSA, ECC |
ハッシュ関数:
- MD5:128ビット(現在は非推奨)
- SHA-1:160ビット(現在は非推奨)
- SHA-256:256ビット(現在推奨)
- SHA-3:最新規格
実務ポイント:TLS 1.3では、TLS 1.2以前で使用されていた多くの古い暗号スイートが廃止されました。自組織のシステムがどの暗号スイートを使用しているか確認することは監査でも重要な確認項目です。
3. セキュリティアーキテクチャの原則
- Defense in Depth(多層防御):複数のセキュリティ層を設ける
- Least Privilege(最小権限):必要最小限の権限のみ付与
- Fail Secure:障害時にセキュアな状態にフォールバック
- Zero Trust:「信頼しない、常に検証する」アプローチ
ドメイン4:通信とネットワークセキュリティ(Communication and Network Security)
配点比率:13%
ネットワークアーキテクチャ、通信プロトコル、ネットワーク攻撃と対策に関する領域です。
重点ポイント
1. OSI参照モデルとTCP/IPモデル
各層で動作するプロトコルとセキュリティ対策を理解しましょう。
| OSI層 | プロトコル例 | セキュリティ対策例 |
|---|---|---|
| 7. アプリケーション層 | HTTP, SMTP, DNS | WAF, アプリケーションファイアウォール |
| 4. トランスポート層 | TCP, UDP | TLS/SSL |
| 3. ネットワーク層 | IP, ICMP | IPsec, ルーターACL |
| 2. データリンク層 | Ethernet | 802.1X, MACフィルタリング |
2. ネットワーク攻撃と対策
DoS/DDoS攻撃:
- SYN Flood:TCP接続のハンドシェイクを悪用
- 対策:SYN Cookie、レートリミッティング、CDN活用
中間者攻撃(Man-in-the-Middle):
- ARPスプーフィング
- 対策:DAI(Dynamic ARP Inspection)、HTTPS必須化
DNSに対する攻撃:
- DNSキャッシュポイズニング
- 対策:DNSSEC、DNS over HTTPS(DoH)
3. VPNとリモートアクセス
- IPsec:ネットワーク層で暗号化、サイト間VPNに適している
- SSL/TLS VPN:アプリケーション層で動作、リモートアクセスに適している
- WireGuard:最新のVPNプロトコル、シンプルで高速
ドメイン5:アイデンティティとアクセス管理(Identity and Access Management)
配点比率:13%
認証、認可、アカウント管理、アクセス制御モデルに関する領域です。
重点ポイント
1. 認証の3要素
- 知識要素(Something You Know):パスワード、PIN
- 所有要素(Something You Have):スマートカード、トークン
- 生体要素(Something You Are):指紋、顔認証
多要素認証(MFA):異なる要素を2つ以上組み合わせることで、セキュリティを強化します。
試験頻出ポイント:「パスワード+セキュリティの質問」は両方とも知識要素のため、MFAとは言えません。
2. アクセス制御モデル
| モデル | 特徴 | 適用例 |
|---|---|---|
| DAC(任意アクセス制御) | 所有者が権限を設定 | Windows NTFS |
| MAC(強制アクセス制御) | システムがラベルで制御 | 軍事システム |
| RBAC(ロールベースアクセス制御) | 役割に基づいて権限付与 | 企業の業務システム |
| ABAC(属性ベースアクセス制御) | 属性の組み合わせで判断 | クラウド環境 |
3. シングルサインオン(SSO)とフェデレーション
- SAML(Security Assertion Markup Language):XMLベースの認証・認可フレームワーク
- OAuth 2.0:認可フレームワーク(認証は扱わない)
- OpenID Connect(OIDC):OAuth 2.0上に構築された認証レイヤー
実務ポイント:クラウドサービスの導入時、SAML連携やOIDC連携が可能かどうかを確認することは、セキュリティと利便性の両立において重要な検討事項です。
ドメイン6:セキュリティ評価とテスト(Security Assessment and Testing)
配点比率:12%
脆弱性評価、ペネトレーションテスト、監査、ログ管理に関する領域です。
重点ポイント
1. 脆弱性評価とペネトレーションテストの違い
| 項目 | 脆弱性評価 | ペネトレーションテスト |
|---|---|---|
| 目的 | 脆弱性の特定と一覧化 | 脆弱性を実際に悪用して影響を確認 |
| 侵入行為 | 行わない | 行う |
| 頻度 | 定期的(週次〜月次) | 年1〜2回 |
| ツール例 | Nessus, Qualys | Metasploit, Burp Suite |
2. ペネトレーションテストの種類
- ブラックボックステスト:攻撃者と同じ情報量(外部からの視点)
- ホワイトボックステスト:システム構成情報を開示(内部からの視点)
- グレーボックステスト:一部情報を開示
3. セキュリティ監査のポイント
- SOC 2 Type I:特定時点での統制の設計を評価
- SOC 2 Type II:一定期間(通常6〜12ヶ月)の統制の運用有効性を評価
実務ポイント:クラウドサービスプロバイダーを選定する際、SOC 2 Type IIレポートの取得状況を確認することは、デューデリジェンスの重要な項目です。
ドメイン7:セキュリティ運用(Security Operations)
配点比率:13%
インシデント管理、調査、物理セキュリティ、リソース保護に関する領域です。
重点ポイント
1. インシデント対応のフェーズ
NISTのインシデント対応フレームワーク(SP 800-61)に基づく4フェーズ:
- 準備(Preparation):ポリシー策定、チーム編成、ツール準備
- 検知と分析(Detection and Analysis):インシデントの識別と影響範囲の特定
- 封じ込め・根絶・復旧(Containment, Eradication, Recovery):被害拡大防止と原因除去
- 事後活動(Post-Incident Activity):教訓の文書化と改善
試験頻出ポイント:インシデント発生時、最初に行うべきは「封じ込め」であり、証拠保全よりも被害拡大防止が優先される場面が多いです。
2. デジタルフォレンジックの原則
- 証拠の完全性維持:ハッシュ値の記録
- Chain of Custody(証拠の連鎖):証拠の取り扱い履歴を記録
- 揮発性の順序:メモリ → ディスク → リムーバブルメディアの順に収集
3. 変更管理とパッチ管理
変更管理の基本フロー:
- 変更要求の提出
- 変更諮問委員会(CAB)による審査
- テスト環境での検証
- 承認と実装
- 事後レビュー
ドメイン8:ソフトウェア開発セキュリティ(Software Development Security)
配点比率:11%
セキュアな開発手法、アプリケーションの脆弱性、開発環境のセキュリティに関する領域です。
重点ポイント
1. SDLC(ソフトウェア開発ライフサイクル)へのセキュリティ統合
各フェーズでのセキュリティ活動:
| フェーズ | セキュリティ活動 |
|---|---|
| 要件定義 | セキュリティ要件の定義、脅威モデリング |
| 設計 | セキュアデザインレビュー |
| 実装 | セキュアコーディング、静的解析(SAST) |
| テスト | 動的解析(DAST)、ペネトレーションテスト |
| 運用 | 脆弱性管理、ログ監視 |
2. OWASP Top 10(2021年版)の主要項目
- A01: Broken Access Control(アクセス制御の不備)
- A02: Cryptographic Failures(暗号化の失敗)
- A03: Injection(インジェクション)
- A04: Insecure Design(安全でない設計)
- A05: Security Misconfiguration(セキュリティ設定ミス)
実務ポイント:開発チームにOWASP Top 10を教育し、コードレビューのチェックリストに組み込むことで、脆弱性の早期発見が可能になります。
3. DevSecOpsの概念
従来のDevOpsにセキュリティを統合したアプローチです。
- シフトレフト:開発の早い段階からセキュリティを組み込む
- CI/CDパイプラインへのセキュリティツール統合:自動化されたセキュリティテスト
- **Infrastructure as Code(IaC)**のセキュリティ:Terraform、CloudFormationの設定チェック
よくある質問(FAQ)
Q1: CISSP試験の勉強時間はどのくらい必要ですか?
A: 一般的に、セキュリティ実務経験のある方で 200〜300時間 が目安とされています。ただし、個人の経験や背景知識によって大きく異なります。
推奨する学習期間は 3〜6ヶ月 です。以下のような学習計画が効果的です:
- 1〜2ヶ月目:公式教材(CBK)を通読し、全体像を把握
- 2〜4ヶ月目:各ドメインを深掘りし、問題演習を実施
- 4〜6ヶ月目:模擬試験を繰り返し、弱点を補強
実務経験との組み合わせがポイント:日常業務で担当している領域は理解が早いため、未経験の領域に重点を置くことが効率的です。
Q2: 英語で受験すべきですか、日本語で受験すべきですか?
A: 現在、CISSP試験は日本語でも受験可能です。ただし、両方の選択肢を考慮 することをお勧めします。
日本語受験のメリット:
- 問題文の読解時間が短縮される
- 微妙なニュアンスの理解がしやすい
日本語受験のデメリット:
- 翻訳が原文のニュアンスと異なる場合がある
- 一部の専門用語が日本語に訳されていて分かりにくいことがある
推奨アプローチ:学習は英語教材も活用しながら行い、試験本番では日本語で受験しつつ、不明確な問題は英語表示に切り替えて確認する方法が有効です(試験中に言語を切り替え可能)。
Q3: 不合格だった場合、再受験までどのくらい待つ必要がありますか?
A: (ISC)²の規定では以下のようになっています:
- 1回目の不合格後:30日間の待機期間
- 2回目の不合格後:90日間の待機期間
- 3回目の不合格後:180日間の待機期間
- 12ヶ月間で最大4回 まで受験可能
再受験に向けては、以下のアプローチが効果的です:
- 不合格時に提供されるドメイン別のパフォーマンスレポートを分析
- 弱点領域を重点的に学習
- 異なる問題集で演習を実施
- 可能であれば公式トレーニングの受講を検討
まとめ:合格に向けた実践的アドバイス
試験対策の5つのポイント
マネージャー視点を持つ
- 技術的な詳細よりも、組織としての意思決定を重視
- 「この状況で経営層にどう報告するか」を常に意識
リスクベースの思考を身につける
- すべてのセキュリティ対策はリスクとコストのバランス
- 100%のセキュリティは存在しないことを理解
実務経験と結びつける
- 自分の業務で扱っている技術やプロセスを試験内容と関連付ける
- 経験のない領域は、ケーススタディや事例を通じて疑似体験
問題演習を重視する
- 公式問題集だけでなく、複数の問題ソースを活用
- 間違えた問題は「なぜ間違えたか」を分析
最新動向をキャッチアップする
- クラウドセキュリティ、ゼロトラスト、AI/MLセキュリティなど
- (ISC)²のブログやセキュリティニュースを定期的にチェック
試験当日のアドバイス
- 最初の75問に集中する:CAT方式では、序盤の正答率が重要
- 時間配分を意識する:1問あたり平均1.2分程度を目安に
- 迷ったら「最も正しい」選択肢を選ぶ:複数の正解に見える場合、最も包括的または適切な対応を選択
- 問題を最後まで読む:引っ掛け問題も存在するため、焦らず丁寧に読解
CISSPは決して簡単な試験ではありませんが、正しいアプローチで準備すれば、合格は十分に可能です。この資格取得を通じて得られる知識とスキルは、実務においても大きな価値をもたらすでしょう。
皆様のCISSP合格を心よりお祈りしています。
関連記事:
- IT監査の基礎知識
- 情報セキュリティマネジメントシステム(ISMS)の構築手順
- ゼロトラストセキュリティの実装ポイント