はじめに
セキュリティコンサルタントの前田 征大です。
普段は、お客様のセキュリティに関するドキュメントのレビューや改訂などを担当しています。
長年のキャリアの中で新たな挑戦としてCISSP(Certified Information Systems Security Professional)に挑戦し、数回の受験を経て無事合格することができました。
本記事が、今後CISSP取得を目指す方々、特に筆者と同じようにセキュリティコンサルタントとしてのキャリアを考えている方々の一助となれば幸いです。
2025年時点のCISSP試験概要、その学習方法、そしてセキュリティコンサルタントとして現場でどのように知識を活用できるかを解説します。
CISSPと試験範囲
CISSPとは、情報セキュリティのプロフェッショナルとして求められる広範な知識を、8つのドメイン (Common Body of Knowledge: CBK)に体系化した国際認定資格であり、ISC2によって認定されています。
8つのドメイン概要は、ISC2公式の試験アウトライン(日本語版)をご参照ください。
各ドメインは3〜15の主要項目から構成されており、物理セキュリティを含む基本理論から、クラウド・IoT・量子暗号といった先進技術分野まで広くカバーしています。この広範さがCISSPの特徴です。
試験範囲は公式試験アウトライン(日本語版)を必ずご確認ください。
試験時間・方式
CISSP試験はCAT方式(Computer Adaptive Testing)で実施され、最大3時間で100~150問の四択問題が出題されます。
受験者の回答状況に応じて問題の難易度が調整され、合否判定基準に達した時点で試験が終了します(最大150問まで出題される場合もあります)。
筆者の学習方法(合格への道筋)
学習は大きく4段階で進めました。
合格体験記の収集
先人の合格体験記を複数読み、参考書・問題集・解法方針を把握しました。
参考リソースを通読して全体像を掴む
試験の範囲や内容を把握するために、初めに参考リソース「CISSP CBK公式ガイドブック(Amazonより)」や「CISSP Exam Cram Full Course (All 8 Domains) - Good for 2024 exam!(YouTubeより)」*1などを活用し、全体像とドメインの概念を把握しました。
それぞれのリソースを通して、重要キーワードとドメイン間の関連性を整理し、筆者なりの地図を作ることを心掛けました。
いずれのリソースも多くのキーワードや概念が網羅されており、最初はすべてを覚えきるのが難しいと感じました(筆者の実感です)。
そこで単なる暗記ではなく、「どのドメインに何が書かれているか(自分なりの地図を描く)」や「重要なキーワードとドメインの関連性」を重視し、内容を整理しながら読み進めました。
この方法により全体構造がつかみやすくなり、以降の学習も効率的に進めることができました。
問題演習で「解き方(考え方)」を身につける
以下ステップで、問題演習にとりかかりました。
- まず基礎力の定着
CISSP公式問問題集 で、全ドメインの正答率が概ね80%以上になるまで反復しました。
解答時は「まず2択まで絞り込む」「正解・不正解の理由を自分の言葉で論理的に説明できるようにする」というルールを徹底し、知識を定着させながら理解を深めました。 - CISSPらしい思考の習得
CISSP試験に必要な思考法を身につけるため、下記のYouTube動画でCISSPならではの考え方を学びました。 動画から得た知見をもとに、解答時の方針として以下を設定しました。 - 本番に近い問題形式への適応
市販の評判が良い問題集も活用しながら、本試験を強く意識した高難度な演習に取り組みました。出題傾向や時間管理にも体で慣れることを意識し、多様な問題に挑戦する中で、自分の弱点分野もしっかり補強できたと感じています。 - 仕上げ
CISSPトレーナーAdam Gordon氏がSNS*4で日替わり問題を公開しており、これらを活用して知識の抜けを最終チェックしました。
学習の振り返りと改善
受験を重ねる中で、CISSPで本質的に問われるのは「知識量」よりも「CISO/マネージャー視点での一貫した意思決定プロセス」だということを痛感しました。
筆者のボトルネックは、技術的な深掘りに引っ張られ判断の軸がぶれやすい点と、設問文から主語・目的・制約を正確に抽出する読解力でした。
以降は、解答プロセスの標準化、読解精度の向上、時間配分ルールの徹底に絞って改善しました。
失敗時の仮説と現実のギャップ 当初、筆者は「実務経験(インフラ/ネットワーク、ISMS事務局)とCBK・動画の反復があれば十分戦えるはずだ」と考えていました。さらに、「知識を丹念に積み上げれば、自ずと正解にたどり着ける」と思っていました。
しかし、実際に試験に取り組んでみると、予想外のギャップがありました。
まず、多くの問題はCISOやマネージャーの視点*5に立ったガバナンスが前提となっており、筆者はどうしても現場目線の実装寄りの発想で答えてしまいがちでした。その結果、技術的な正しさにこだわりすぎて設問の本質を見失い、失点につながることも多かったです。
さらに、問題文の主語や目的、そして制約(法規・ポリシー・利害関係者)への理解が浅く、「何が最も適切か」という基準が曖昧なまま答えてしまうことがあり、ここが大きな反省点となりました。
そして、意外に大きかったのは時間配分のミスです。
1問あたり約90秒という制限がプレッシャーとなる中、簡単な問題は早く解く・難しい問題は時間をかける、といった戦略的判断が不足していました。事前に自分なりのルールを決めておけば、より落ち着いて対応できたと感じています。
具体的な改善
-
マインドセットについて
まず、マインドセットを変えることを心掛けました。
- 毎日の短い呼吸法(朝5分)で集中をリセットし、技術的先入観を一旦棚上げしました。
- 問題を解く際には「筆者はCISO/マネージャ」と明言化しました。
人の命、法令遵守・ポリシー整合・ビジネス継続を常に優先するよう意識しました。
-
読解力の強化
- 5W1Hを意識して、問題を正確に読むように心がけました。
- 選択肢の先入観に引っ張られないよう、必ず問題文を読んでから選択肢を見るようにしました。
-
回答プロセスの標準化
解き方を意識しつつ、下記図のように回答プロセスを整理しました。
回答プロセス例 -
時間配分ルール
目安は1問40〜90秒。
- 用語などの簡単な問題は、30~40秒で解く。
- 難解な問題は、90~120秒で解く。
- ペースとして、25問を30分で解けるように時間配分を調整。
時間配分のルールが守れなかった場合の対応策も、事前に決めておくと心に余裕が持てます。
例えば、「25問ごとに残り時間を確認し、もし30分以内に終わらなければ、次の25問では意識的にペースを上げて進める」など、自分なりの調整ルールを用意しておくと安心です。
筆者の場合は、簡単な問題は素早く解き、迷う問題は早めに判断する(技術的な選択肢は除外するなど)というルールもあらかじめ決めていました。
試験本番
初受験時は、回答選択後、正解かどうか不安なまま次の問題に取り掛かっていたため、精神的に余裕がない状態でした。
今回は、学習の質・量ともに十分な準備を行い、試験中は5W1Hの視点で設問文をチャンク分解しながら、回答プロセスと回答時間のルールに従って淡々と回答できました。
難易度が下がった問題が続いた際には、「誤答が続いているのでは」と焦りを感じる場面もありましたが、一呼吸置き、都度気持ちをリセットして次の問題に集中できました。これはマインドセットの効果だと感じています。
筆者として最短となる100問で試験終了となり、合格することができました。
各ドメインのピックアップ解説(コンサルタント視点で読み解く )
CISSPではCISOやマネージャー視点が求められますが、実務の現場ではその方針判断に加えて、基本的な技術知識や具体的な対策の効果も十分に理解しておく必要があります。
ここでは、そうした観点から実践で役立つトピックをピックアップしてご紹介します。
まとめ
CISSPで習得した体系的な知識は、リスク評価やガイドラインの修正など、実務のさまざまな場面で大きな力となりました。
NISTやISOなどのフレームワークやベストプラクティス・ガイドラインを理解することで、ポリシー策定やガバナンスにも自信を持って取り組めるようになった実感があります。
筆者にとってCISSPは、コンサルタントに必要な判断基準を共通言語として与えてくれるものです。
今後もこの原則を軸に、お客様の課題に応じて、サプライチェーンやクラウドをはじめ幅広い領域で、リスクアセスメントや最適な改善策の提案、実務支援などを続けていきたいと考えています。
