CISSP （Certified Information Systems Security Professional）は、米国の国際的な非営利団体である （ISC）²（アイエスシー・スクエア）が認定する、情報セキュリティに関する国際資格です。

数あるセキュリティ資格の中でも世界で最も権威があり、グローバルに認知されている「ゴールドスタンダード（最高水準）」とされています。

CISAが「監査」に特化しているのに対し、CISSPは 「組織全体のセキュリティをどう管理し、どう統治（ガバナンス）するか」という、より広範なマネジメントと戦略の視点を問います。その網羅性の高さから「セキュリティ版MBA」と形容されることもあります。

主な特徴

1. 圧倒的な網羅性（8ドメイン）: CISSPの知識体系（CBK: Common Body of Knowledge）は、技術的なトピック（暗号、ネットワーク）から、物理的なセキュリティ（入退室管理）、法律、リスクマネジメントまで、セキュリティに関わる8つの広範な分野（ドメイン）をカバーしています。
2. 厳格な実務経験の要求: 試験に合格するだけでなく、認定を受けるためには、8ドメインのうち2つ以上の分野で合計5年以上の実務経験（フルタイム）があることを証明する必要があります（学歴などで一部短縮可）。 この「実務経験の壁」が、ペーパーテストだけの合格者と一線を画し、資格の価値を担保しています。
3. ベンダーニュートラル（中立性）: 特定の製品（Palo AltoやCrowdStrikeなど）に依存しない、普遍的なセキュリティの「原則」と「ベストプラクティス」を問います。
4. 継続的な学習（CPE）の義務: 資格を維持するためには、3年間で120クレジットの継続学習（CPE）を行い、知識を常に最新の状態にアップデートし続ける必要があります。

CISSPの8ドメイン（CBK）

CISSPは、以下の8分野に関する広範な知識と実践能力を要求します。
 

1. セキュリティとリスクマネジメント: （組織のガバナンス、法律、コンプライアンス、リスク評価）
2. 資産のセキュリティ: （情報の分類、データ保護、プライバシー）
3. セキュリティのアーキテクチャとエンジニアリング: （システムのセキュアな設計、暗号技術、物理セキュリティ）
4. 通信とネットワークのセキュリティ: （ネットワーク構成の保護、セキュアな通信）
5. アイデンティティとアクセス管理（IAM）: （認証、認可、IDライフサイクル管理）
6. セキュリティの評価とテスト: （脆弱性診断、ペネトレーションテスト、監査ログの監視）
7. セキュリティの運用: （インシデント対応、災害復旧、フォレンジック）
8. ソフトウェア開発セキュリティ: （セキュアなコーディング、開発プロセスのセキュリティ）

どのような人が目指すべきか？

CISSPは「エントリーレベル」の資格ではありません。すでに一定の経験を積んだプロフェッショナルが、次のステップに進むために取得する資格です。
 

• セキュリティ管理者、マネージャー
• CISO（最高情報セキュリティ責任者）、またはそれを目指す人
• セキュリティコンサルタント、アーキテクト
• 技術的な専門性を持ちつつ、経営的な視点も持ちたいシニアエンジニア

CISSPと他の資格との違い

• CISA（公認情報システム監査人）との違い:
  • CISA: 「監査人（チェックする側）」の視点で、IT統制が適切かを評価します。
  • CISSP: 「管理者・設計者（作る側・守る側）」の視点で、セキュリティ体制全体を構築・管理します。
• 情報処理安全確保支援士（RISS）との違い:
  • RISS: 日本の「国家資格」であり、技術的な側面に強みがあります。
  • CISSP: 「国際資格」であり、技術に加えてマネジメント、法律、ガバナンスといった経営層に近い領域をより広くカバーします。

 
CISSPは、現場の技術者と経営層の「橋渡し役」として、セキュリティリスクをビジネスの言葉に翻訳し、組織全体を動かすために必要な、包括的な知識と経験を証明する最高峰の資格です。