CISSP 受験料難易度 2026｜受験料・合格率・勉強時間の実態と価値

2026年6月8日

朝比奈蒼

この記事のポイント

✓CISSPの受験料と難易度を客観データで徹底解説
✓受験を迷う人が判断するための情報を一気にまとめます

CISSPの受験料と難易度を調べているということは、おそらく「受けるかどうかを最終的に決めたい」段階にいる人が多いはずです。結論から言うと、CISSPの受験料は749ドル（日本円でおよそ11万円前後）、難易度はIT系資格の中でも最上位クラス、勉強時間の目安は学習経験者でも100時間以上、というのが市場の実態です。安い資格でも、軽い資格でもありません。

ただし「高い・難しい」だけで終わらせると判断を誤ります。この記事では、受験料の内訳と回収できるかどうか、難易度が高いと言われる本当の理由、合格率が公表されていない事情、そして取得後にキャリアや単価へどう跳ね返るのかを、調査データと相場をもとに冷静に整理します。受けるべき人と、先に別の資格で足場を固めたほうがいい人の線引きまで踏み込みます。

CISSPとは何か｜情報セキュリティの国際的な「上級者証明」

CISSP（Certified Information Systems Security Professional）は、米国のISC2（旧称（ISC)²）が運営する情報セキュリティの国際認定資格です。日本語にすると「情報システムセキュリティプロフェッショナル認定」。世界中のセキュリティ専門家が取得を目指す、業界では知名度の高い資格の1つです。

特徴を一言でまとめると「広く・深く・実務寄り」。特定の製品やベンダーに依存せず、セキュリティの全体像をカバーする8つのドメイン（領域）から出題されます。具体的には、セキュリティとリスク管理、資産のセキュリティ、セキュリティアーキテクチャとエンジニアリング、通信とネットワークセキュリティ、アイデンティティとアクセス管理（IAM）、セキュリティの評価とテスト、セキュリティ運用、ソフトウェア開発セキュリティ、という構成です。

ここで重要なのは、CISSPが「技術だけの試験ではない」ことです。マネジメント、ガバナンス、法令、リスク評価といった経営寄りの視点が大きな比重を占めます。手を動かすエンジニアというより、セキュリティ全体を統括・設計する立場の人を想定した資格だと考えてよいでしょう。情報セキュリティの守備範囲を一望できる点で、キャリアの方向性を「専門職」として固めたい人には強い武器になります。

国内でもセキュリティ人材の需要は年々高まっており、独立行政法人情報処理推進機構（IPA）などが繰り返し指摘してきたように、セキュリティ専門人材は慢性的に不足しています。こうした背景から、客観的にスキルを証明できる国際資格としてCISSPに注目が集まっているのが現状です。情報セキュリティ分野の業務委託案件を扱うAI・マーケティング・セキュリティのお仕事のページでも、専門性を問う案件が増えている傾向が見られます。

CISSPと認定（資格取得）は別物である

混同しやすい点を先に整理しておきます。CISSPは「試験に合格した＝資格保持者」ではありません。試験合格はあくまで第一関門で、その後に「認定要件」を満たして初めて正式なCISSPホルダーになれます。

認定要件の核心は実務経験です。8ドメインのうち2つ以上の領域で、合計5年以上のフルタイム有給実務経験が必要とされています。大学の学位や特定の関連資格を持っている場合は1年分が免除され、必要経験が4年になる制度もあります。

実務経験が足りない状態で試験に合格した場合は、「Associate of ISC2」という準会員のステータスが付与され、所定の年数以内に必要な実務経験を積めば正式なCISSPに移行できます。つまり「実務経験ゼロでいきなり名乗れる資格」ではないということ。この設計こそが、CISSPの権威を支えている要素でもあります。正直なところ、ここを知らずに「試験さえ受かれば履歴書に書ける」と思って受験する人がいますが、それは誤解です。

CISSPの受験料｜内訳・支払い・更新コストまで

まずは多くの人が気にする金額面から、隠れたコストも含めて全部出します。

試験そのものの受験料

CISSPの試験受験料は749ドル（米ドル建て）です。為替によって変動しますが、1ドル150円換算でおよそ11万2千円前後になります。円安が進むと負担が増えるため、受験を決めたら早めに動くのが合理的です。

この受験料は世界共通で米ドル建てで設定されており、決済時の為替レートで日本円換算額が決まります。国内のIT系試験、たとえば情報処理技術者試験の受験料が数千円規模であることと比べると、ケタが1つ違う水準です。受験料の高さそのものが、CISSPの「気軽には受けられない」ハードルを形成しています。

ここで補足しておくと、CISSPはコンピュータベースの試験（CBT）で、ピアソンVUEの試験会場で受験します。日本国内にも複数の会場があり、英語のほか日本語でも受験が可能です。

試験後にかかる維持コスト（AMFとCPE）

受験料だけ見て「11万円か」と判断すると痛い目を見ます。CISSPは取得後の維持にもお金と手間がかかる資格です。

1つ目が年会費（AMF：Annual Maintenance Fee）です。ISC2の会員資格を維持するため、年間135ドル（およそ2万円前後）の支払いが継続的に発生します。資格を保持し続ける限りこの費用は毎年かかります。

2つ目が継続教育ポイント（CPE：Continuing Professional Education）です。CISSPは取得して終わりではなく、3年ごとの更新サイクルで合計120CPE（年間40CPE目安）を取得して提出する必要があります。セミナー参加、研修受講、執筆活動などでポイントを積み上げる仕組みで、これを怠ると資格が失効します。

つまりCISSPの真のコストは「受験料749ドル」ではなく「受験料＋毎年の年会費＋更新のための学習コスト」の合計です。長期で見れば、初年度に約11万円、以降は年間2万円規模の固定費がかかる資格だと理解しておくべきです。この点は、取得後に放置しがちな人ほど見落とします。

受験料を「投資」として回収できるか

高額な受験料は、回収できるかどうかで価値が決まります。セキュリティ専門職の単価は他のIT職種と比べて高い傾向があり、案件によっては高単価が期待できます。フリーランスや業務委託でセキュリティ領域に関わる場合、専門性の証明が単価交渉の材料になることは少なくありません。

参考までに、ソフトウェアエンジニア全般の単価感はソフトウェア作成者の年収・単価相場で確認できますが、セキュリティ専門領域はこの中でも上位に位置づけられることが多い分野です。受験料11万円は一見高く見えても、専門案件1件分の単価で十分に回収できる水準である、というのが客観的な見立てです。

CISSPの難易度｜なぜ「最上位クラス」と言われるのか

ここからが本題の難易度です。結論として、CISSPはIT系資格の中でも難関に分類されます。理由は1つではなく、複数の要因が重なっています。

実際の合格率は公表されていないものの、そもそも受験のハードルが高く、日本人にとっては取得が難しい資格の1つです。この記事では、CISSPの難易度が高いと言われる理由や、CISSPの概要について解説します。

引用にもある通り、難しさの背景には「合格率が公表されていない」という独特の事情があります。順番に分解していきます。

理由1：出題範囲が広すぎる（8ドメインの網羅性）

CISSPの難易度を語るうえで最大の要因が、出題範囲の広さです。前述の8ドメインは、それぞれ単独で1冊の専門書が書けるほどの広さを持っています。暗号技術のような技術系から、リスクマネジメントや法令遵守といった経営・ガバナンス系まで、毛色のまったく違う領域を横断的に問われます。

技術が得意な人でも、法令やガバナンスの問題で足をすくわれることが珍しくありません。逆に、マネジメント経験は豊富でも暗号やネットワークの技術領域でつまずく人もいます。8つすべてで一定以上の理解が求められるため、「得意分野で稼いで苦手分野をカバーする」という戦法が通用しにくいのです。これがCISSPを「広く・深く」型の難関にしています。

理由2：問題の出題形式が独特（CAT方式と思考の癖）

CISSPの試験はCAT（Computerized Adaptive Testing：コンピュータ適応型テスト）方式を採用しています。これは受験者の解答状況に応じて、次に出題される問題の難易度が動的に変わる仕組みです。

A：受験者は、試験を通じて各問題が難しいと感じるかもしれません。受験者の能力に応じて、試験で出題される問題数は異なります。CISSPのCAT試験の各受験者は、合格基準を大きく下回る問題からスタートすることになります。受験者が問題に解答した後、採点アルゴリズムは、出題されたすべての問題と解答の難易度に基づいて、受験者の能力を再評価します。各問題が回答された後、問題選択アルゴリズムは受験者に提示する次の問題を決定し、受験者がその問題に正解する確率が約50%であると予想されます。各追加問題に回答していくと、受験者の能力に関するコンピュータの評価がより正確になります。この反復的なプロセスを通じて、受験者の能力レベルについて、従来の連続出題式試験よりも効率的に、可能な限り多くの情報を集めることができます。

この仕組みのため、正解を重ねるほど問題が難しくなり、受験中ずっと「難しい」と感じ続けることになります。手応えがないまま終わる人が多いのは、この設計が理由です。問題数も固定ではなく、一定の正答が確認できれば早めに終了することもあります。

さらに厄介なのが、問題そのものの「思考の癖」です。CISSPの問題は「技術的に正しい答え」ではなく「マネジメント視点で最も適切な答え」を選ばせる傾向があります。たとえばインシデント発生時に「まず何をすべきか」を問われたとき、技術者なら反射的に対処を選びたくなりますが、CISSPでは「人命の安全確保」や「証拠保全」が正解になるケースがあります。知識だけでなく、ISC2が求める「セキュリティ専門家としての判断軸」を身につける必要があるのです。

理由3：英語と専門用語のハードル

CISSPは日本語でも受験できますが、もともと英語ベースの試験です。日本語訳の問題文が直訳調で読みにくい、という声は受験者から繰り返し指摘されています。学習教材も英語の公式テキストが充実している一方、日本語の高品質な教材は相対的に限られます。

専門用語の量も膨大です。8ドメインそれぞれに固有の用語があり、しかも英語の頭字語（NIST、IAM、SLAなど）が頻出します。用語の意味を正確に理解していないと、問題文の意図すら読み取れません。日本人受験者にとって、この言語・用語の壁が難易度をさらに押し上げています。

理由4：合格率が公表されていないという不透明さ

CISSPの合格率は公式には公表されていません。これも受験を迷わせる一因です。一般的な資格試験なら「合格率〇%」という数字を目安に難易度を測れますが、CISSPにはそれがありません。

ネット上では「合格率は20〜30%程度ではないか」といった推測が飛び交っていますが、これらはあくまで非公式な推定であり、ISC2が認めた数字ではありません。合格基準は1000点満点中700点とされており、この水準を超える必要があります。数字が不透明なぶん、「とにかく難しいらしい」という印象だけが先行し、心理的なハードルを高めている面もあります。客観的に言えば、合格率の数字に振り回されるより、出題範囲を確実に潰すほうが建設的です。

CISSPの勉強時間と勉強方法｜現実的な学習計画

難易度の高さは、必要な勉強時間にも直結します。ここでは現実的な学習計画を示します。

必要な勉強時間の目安

CISSPに必要な勉強時間は、その人のバックグラウンドによって大きく変わります。

CISSPの難易度について学習時間を踏まえて解説します。CISSPの資格取得に必要な時間はおよそ100時間を要すると述べましたが、例えば平日2時間ずつ勉強する計画でも2ヶ月半は必要です。この点を踏まえても難易度の高い資格だと言えます。

引用にある100時間はあくまで「セキュリティの実務経験がある人」を前提とした目安です。実務経験が浅い人や、8ドメインの一部に馴染みがない人の場合、200時間から300時間を見込んだほうが現実的でしょう。平日2時間ずつ確保しても、200時間なら5ヶ月程度かかる計算です。

正直なところ、100時間という数字だけを見て「思ったより少ない」と感じる人がいますが、それは前提条件を読み飛ばしています。すでに数年のセキュリティ実務があり、用語も判断軸も体に入っている人にとっての100時間です。未経験に近い状態からのスタートなら、その2倍3倍を覚悟しておくべきです。

効果的な勉強方法

学習の王道は「公式教材を軸にしつつ、問題演習を大量にこなす」ことです。具体的には次の流れが効率的です。

第一に、出題範囲の全体像をつかむために公式ガイドブックや定番の体系的テキストを一周します。この段階では細部を完璧にしようとせず、8ドメインの構造と相互関係を把握することを優先します。

第二に、問題集や模擬試験を繰り返し解きます。CISSPは知識の暗記だけでなく「判断軸」を問う試験なので、問題を解いて解説を読み、なぜその選択肢が正解なのかを納得するプロセスが決定的に重要です。間違えた問題はドメイン別に分類し、弱点領域を可視化すると効率が上がります。

第三に、苦手ドメインを集中的に補強します。8つすべてで合格ラインを超える必要があるため、突出した弱点を作らないことが合格の鍵です。技術系が苦手ならマネジメント領域で稼ぐ、といった戦略が取りにくい試験なので、満遍なく底上げする意識が求められます。

教材選びに迷う場合、有料のトレーニングコースやオンライン講座も選択肢になります。費用はかかりますが、独学で迷走する時間コストを考えれば、学習の効率化への投資として検討する価値はあります。なお、ネットワークの基礎が不安な人は、関連する基礎資格であるCCNA（シスコ技術者認定）で土台を固めてから挑むと、通信・ネットワークドメインの理解がスムーズになります。

私が現場で見てきた「つまずきパターン」

ここで体験的な話を少し。私はこれまで複数のメディアでセキュリティ関連の記事を編集してきた中で、CISSP受験者の声を数多く聞いてきました。そこで繰り返し見られたのが、「技術力があるのに落ちる」というパターンです。

特に印象的だったのは、現役のインフラエンジニアが「技術問題は完璧だったのに不合格だった」と話していたケースです。原因を聞くと、マネジメントやガバナンス系の問題で、技術的に正しい選択肢を選び続けていたことでした。CISSPが求める「経営的・管理的な判断」と、現場エンジニアの「最速で問題を解決する判断」がズレていたのです。

この経験から私が学んだのは、CISSPは「技術試験」ではなく「セキュリティマネージャーの判断試験」だということです。技術に自信がある人ほど、自分の得意分野の感覚で解こうとして足元をすくわれます。逆に、技術は標準的でもマネジメント視点を素直に学べる人のほうが、案外スムーズに合格していく傾向が見られました。受験する際は、この「思考の切り替え」を意識すると遠回りせずに済みます。

CISSPを取得するメリット｜難易度に見合う価値はあるか

ここまで「高い・難しい」と書いてきましたが、それでも多くの人が挑戦するのは、相応のメリットがあるからです。

メリット1：国際的に通用する専門性の証明

CISSPの最大の価値は、世界共通で通用する専門性の証明である点です。特定の国や企業に閉じた資格ではなく、グローバルで認知されているため、外資系企業や海外案件に関わる際にも強みになります。セキュリティ分野で「何ができる人か」を客観的に示す名刺代わりとして機能します。

メリット2：年収・単価への好影響

セキュリティ専門職は、IT職種の中でも高い報酬水準にある分野です。CISSPはその専門性を裏付ける資格として、転職市場でも業務委託市場でも評価されやすい傾向があります。企業によっては資格手当の対象としているケースもあり、保有しているだけで月数千円から数万円の手当が付くこともあります。

フリーランスや副業の文脈では、専門資格が単価交渉のテーブルにつくための入場券になることがあります。セキュリティ案件はAIコンサル・業務活用支援のお仕事のような上流・コンサルティング領域とも親和性が高く、専門性を証明できれば高単価の案件に手が届きやすくなります。

メリット3：キャリアの選択肢が広がる

CISSPは「セキュリティの全体像を理解している」ことの証明であるため、CISO（最高情報セキュリティ責任者）やセキュリティコンサルタント、SOC（セキュリティオペレーションセンター）の管理者といった上流ポジションへのキャリアパスが描きやすくなります。専門職としてのキャリアを長期的に設計したい人にとって、強力な足がかりになります。

実際、企業のセキュリティ運用を外部委託するニーズは年々高まっており、【SOC運用外注費用】24時間365日の監視体制！SOCアウトソーシングの相場と選び方で解説されているように、SOC運用を支える専門人材の市場は拡大傾向にあります。CISSPはこうした専門市場で自分を差別化する材料になります。

メリット4：体系的なセキュリティ知識が身につく

資格や年収といった外形的なメリット以外に、見過ごせないのが「学習過程で得られる知識そのもの」の価値です。8ドメインを横断的に学ぶことで、セキュリティの全体像を体系的に把握できます。これは断片的な実務経験だけでは得にくい財産です。日々の業務で何となく対応していたことの「理由」や「位置づけ」が見えるようになり、判断の質が上がります。

CISSPと他のセキュリティ資格の比較｜どこから始めるべきか

CISSPがいきなり難しすぎると感じる人のために、他の資格との位置づけを整理します。

国内資格との比較

国内の代表的なセキュリティ資格には、IPAが運営する「情報処理安全確保支援士（登録セキスペ）」があります。こちらは国家資格で、日本の法令や実務に即した内容が中心です。日本語ネイティブで、国内企業でのキャリアを想定するなら、まず登録セキスペから入るのも合理的な選択です。

CISSPと登録セキスペは「どちらが上」という単純な関係ではなく、性格が異なります。グローバル・マネジメント寄りがCISSP、国内・法令寄りが登録セキスペ、というのがフェアな整理です。両方持っている人もいますが、自分のキャリアがどちらを向いているかで優先順位を決めるとよいでしょう。

CISSP取得前に固めておきたい基礎資格

CISSPは上級資格なので、いきなり挑むと土台不足で苦戦することがあります。ネットワークの基礎が不安なら前述のCCNA、ITの基礎全般が不安なら基本情報技術者試験や応用情報技術者試験で足場を固めると、CISSPの学習がスムーズになります。

順番としては「IT基礎 → ネットワーク基礎 → セキュリティ基礎（国内資格）→ CISSP」という階段を意識すると、無理なくステップアップできます。焦って最上位資格から入るより、土台を固めてから挑むほうが、結果的に合格までの総時間は短くなる傾向があります。脆弱性診断のような実務スキルを並行して身につけたい人は、[脆弱性診断ツール自製] オープンソースで始めるWebサイト脆弱性診断｜OWASP ZAPの使い方ガイドのような実践的な内容に触れておくと、出題内容の理解が深まります。

補助金や費用負担の軽減策

セキュリティ人材育成は社会的にも重視されており、企業が従業員のセキュリティ研修や資格取得を支援する場合、補助金や助成金の対象になることがあります。中小企業がセキュリティ対策を進める際の支援制度については、小規模事業者のためのセキュリティ補助金ガイド2026｜実質2割で鉄壁の防御で関連情報が整理されています。個人で全額負担する前に、勤務先の資格支援制度や公的な支援策が使えないかを確認しておくと、コスト負担を抑えられます。

独自データから見るセキュリティ人材の市場価値

最後に、客観的なデータからCISSPの位置づけを考察します。

在宅ワークや業務委託の求人を扱うプラットフォームの傾向を見ると、セキュリティ領域の案件は他のIT分野と比べて「専門性を明示的に求める」割合が高いという特徴があります。一般的なWeb制作や事務系の在宅ワークが「経験不問」「未経験歓迎」で募集されることが多いのに対し、セキュリティ案件は「有資格者優遇」「実務経験必須」といった条件が付くケースが目立ちます。

これは裏を返せば、参入障壁が高いぶん、いったん専門性を確立すれば競合が少なく、単価を維持しやすい市場だということです。誰でもできる仕事は供給過多で単価が下がりますが、CISSPのような高難度資格で証明される専門性は、供給が限られるため価値が保たれやすい。市場原理として、これは合理的な構造です。

参考までに、専門的な文章を扱う著述家，記者，編集者の年収・単価相場のような職種でも、専門領域に特化した書き手ほど単価が高い傾向が見られます。これはセキュリティ分野にも通じる原則で、「広く浅く」より「狭く深く」のほうが、結果的に市場での価値が高まりやすいのです。

データから言えるのは、CISSPの受験料11万円と数百時間の学習は、確かに大きな初期投資です。しかし、それを乗り越えた先にあるのは「供給が限られた高単価市場へのアクセス権」です。短期的なコストだけを見れば割高に感じますが、中長期のキャリア投資として捉えると、回収可能性は十分に高いと評価できます。

一方で、これは万人におすすめできる資格ではありません。セキュリティ専門職としてキャリアを築く明確な意志がある人にとっては最適な投資ですが、「とりあえず難しい資格を持っておきたい」という動機なら、コストと労力に見合わない可能性があります。受験を決める前に、自分のキャリアの方向性とCISSPが本当に噛み合っているかを、冷静に見極めることをおすすめします。なお、ビジネス文書作成のような汎用スキルを補強したい人はビジネス文書検定、アプリ開発の実務に軸足を置きたい人はアプリケーション開発のお仕事のように、自分の強みに合った領域を選ぶことも、市場価値を高める有効な戦略です。