、ISACA(情報システム監査および管理協会)が認定する、情報セキュリティ管理に特化した国際資格。
主に情報セキュリティマネジメントやリスク管理の専門家向けの資格であり、企業のセキュリティ戦略を策定・管理・監査する役割を担う。
目次
CISM資格の特徴
-
国際的に認知された情報セキュリティ資格
- 世界的に認められた資格で、IT業界や金融機関、政府機関などで評価が高い。
-
情報セキュリティの「マネジメント」に特化
- 技術的な知識よりも、情報セキュリティガバナンス・リスク管理・対応戦略の策定に重点を置く。
-
経営層・管理職向けの資格
- 企業の情報セキュリティポリシーを策定し、経営戦略とセキュリティ管理を統合する立場の人に適している。
受験資格と難易度
1. 受験資格
CISM(Certified Information Security Manager)資格を取得するには、試験合格後に実務経験を証明する必要がある。ただし、試験自体の受験に特別な制限はない。
(1) 学歴要件
- 特に学歴の制限なし(誰でも受験可能)。
(2) 実務経験要件
- 情報セキュリティ分野での5年以上の実務経験が必要。
- そのうち、4つのドメインのうち3つ以上での経験が必須。
(3) 実務経験の免除制度
以下の資格・学位を持っている場合、一部の経験年数が免除される。
| 免除対象 | 免除される実務経験年数 |
|---|---|
| CISA(公認情報システム監査人) | 2年 |
| CISSP(公認情報システムセキュリティ専門家) | 2年 |
| 大学の学位(情報セキュリティ関連) | 1~2年 |
| セキュリティ関連の修士号 | 1年 |
(4) 試験のみの受験も可能
- 5年の実務経験がなくても、試験自体は受験可能。
- 合格後、5年以内に実務経験を証明すれば資格を取得できる。
2. 試験の難易度
CISM試験は、情報セキュリティ管理に特化した試験であり、単なる知識問題だけでなく、実務経験を前提とした応用力が求められる。
(1) 合格率
- 約50%前後(毎年変動あり)。
- 比較的難易度が高く、戦略的に学習しないと合格が難しい。
試験内容
1. 試験概要
| 項目 | 詳細 |
|---|---|
| 試験時間 | 4時間 |
| 問題数 | 150問 |
| 出題形式 | 選択式(Multiple Choice) |
| 試験方式 | CBT(コンピュータベース試験) |
| 合格基準 | 800点満点中450点以上(約56%以上) |
| 試験言語 | 英語、日本語など |
2. 試験内容(4つのドメイン詳細)
CISM試験は以下の4つの主要分野(ドメイン)から出題されます。
| ドメイン | 内容 | 出題比率 |
|---|---|---|
| 1. 情報セキュリティガバナンス | セキュリティポリシーの策定、組織のガバナンス戦略 | 17% |
| 2. 情報リスク管理 | リスク評価、リスク対応計画、コンプライアンス | 20% |
| 3. 情報セキュリティプログラムの開発と管理 | セキュリティ戦略の策定、運用管理、リーダーシップ | 33% |
| 4. インシデント対応と復旧 | インシデント管理計画、対応手順、フォレンジック分析 | 30% |
ドメイン1:情報セキュリティガバナンス(17%)
このドメインでは、企業全体の情報セキュリティ戦略とガバナンスに関する知識が問われます。経営層と連携しながら、組織全体の情報セキュリティ方針を策定・管理する役割が求められます。
出題範囲
-
情報セキュリティの役割と組織のガバナンス
- セキュリティガバナンスと企業戦略の整合性
- 経営層(CISO、CIO、CEO)との連携
- コンプライアンスと規制要件(ISO 27001、NIST、GDPRなど)
-
情報セキュリティポリシーの策定
- セキュリティポリシーと手順の作成
- 標準・手順・ガイドラインの適用
- 組織文化におけるセキュリティ意識向上策
-
ガバナンスフレームワーク
- ISACAのCOBIT、ISO 27001、ITILなどのフレームワークの活用
- サードパーティリスク管理(アウトソーシング企業の監査)
ドメイン2:情報リスク管理(20%)
このドメインでは、情報リスクの特定・評価・対応戦略に関する知識が問われます。組織のビジネスリスクを理解し、それに応じたセキュリティ対策を立案・実施するスキルが必要です。
出題範囲
-
リスク評価
- 脅威の特定とリスクアセスメント手法(定性分析・定量分析)
- 事業影響分析(BIA: Business Impact Analysis)
- 重要インフラの特定と優先順位付け
-
リスク対応戦略
- リスク回避、軽減、移転、受容の戦略
- リスク対応計画の策定と実施
- 組織のリスク許容度の評価
-
コンプライアンス管理
- セキュリティ関連法規制(GDPR、CCPA、SOX法)
- 企業の法的責任とリスク
- 内部監査とリスク評価の連携
ドメイン3:情報セキュリティプログラムの開発と管理(33%)
このドメインでは、情報セキュリティ戦略の策定と運用管理について問われます。情報資産の保護や技術的なセキュリティ対策を組織全体で展開するスキルが求められます。
出題範囲
-
情報セキュリティプログラムの開発
- 組織のセキュリティ目標の設定
- 資産管理(データ分類・機密性・可用性の評価)
- セキュリティアーキテクチャの設計
-
セキュリティプログラムの管理
- アクセス管理(RBAC: Role-Based Access Control)
- 認証・認可の管理(多要素認証、シングルサインオン)
- 暗号化技術の適用(TLS、AES、PKI)
-
セキュリティ監視と運用
- SIEM(Security Information and Event Management)の活用
- セキュリティログ管理と分析
- SOC(Security Operation Center)の役割
-
サプライチェーンセキュリティ
- クラウドセキュリティ(AWS、Azure、Google Cloud)
- ベンダーリスク管理
- サードパーティ評価と契約管理
ドメイン4:インシデント対応と復旧(30%)
このドメインでは、サイバー攻撃や情報漏洩などのインシデント発生時の対応能力が問われます。適切なインシデント管理手順や、復旧計画の策定・実施が求められます。
出題範囲
-
インシデント管理
- インシデント対応計画(IRP: Incident Response Plan)
- CSIRT(Computer Security Incident Response Team)の構築
- インシデント分類と優先度設定
-
インシデント対応プロセス
- 検知、封じ込め、根本原因分析(RCA: Root Cause Analysis)
- フォレンジック調査の基礎(デジタル証拠の収集)
- インシデントレポートの作成と経営層への報告
-
災害復旧(DR: Disaster Recovery)
- DRP(Disaster Recovery Plan)の策定
- BCP(Business Continuity Plan)との統合
- データバックアップと復旧手順
試験対策
効率的な学習スケジュールの立て方
CISM試験は4つのドメイン(分野)から出題されるため、体系的に学習を進める必要がある。
学習スケジュールの目安
| 受験者の経験 | 推奨勉強時間 |
|---|---|
| ITセキュリティの経験あり | 100~150時間 |
| ITセキュリティ初心者 | 200~300時間 |
- 1日2時間 × 週5日で学習すると、3~6か月で合格を目指せる。
- 実務経験が少ない場合は、各ドメインの基礎知識を補強しながら進める。
- 経験者は、実務に照らし合わせながら重要ポイントを重点的に学習。
試験対策のポイント
CISM試験は、単なる暗記ではなく「マネジメント視点の理解と判断力」が求められるため、以下の点に重点を置いて学習を進める。
公式教材を活用
CISM試験の対策として、以下の公式教材を活用するのが最も効果的。
- ISACA公式教材(CISM Review Manual)
- 出題範囲を網羅しており、CISM試験の公式ガイド。
- 理解すべき概念が詳細に説明されている。
- CISM Practice Question Database(問題集)
- ISACAが提供する公式の練習問題集。
- 実際の試験と同じ形式の問題が多数収録されているため、出題傾向を把握するのに最適。
- CISMオンライン講座やトレーニング
- ISACAやUdemy、LinkedIn LearningなどでCISM対策講座が提供されている。
- 動画講座を活用すると、実務ベースの学習がしやすくなる。
過去問・模擬試験を繰り返し解く
- CISM試験は、選択肢の中から「最も適切な対応」を選ぶ問題が多い。
- 単純な知識問題ではなく、状況に応じた最適な判断を求められる。
- 模擬試験を何度も解き、試験形式に慣れることが重要。
模擬試験の活用方法
- まずは試験範囲を一通り学習
- 模擬試験を受けて、得点率を確認
- 間違えた問題を中心に復習
- 再度、模擬試験を実施し、理解度を高める
目標得点
- 模擬試験で80%以上の正答率を目指すと、本番で合格しやすい。
各ドメインの重点対策
ドメイン1:情報セキュリティガバナンス(17%)
- ISO 27001、NIST、COBITなどのフレームワークを理解。
- 経営層との連携やコンプライアンスの観点を重視。
- セキュリティポリシーの作成手順を把握。
ドメイン2:情報リスク管理(20%)
- リスク評価(定量分析・定性分析)を理解。
- リスク対応戦略(回避・軽減・移転・受容)の違いを明確に。
- コンプライアンスの視点からリスクマネジメントを考える。
ドメイン3:情報セキュリティプログラムの開発と管理(33%)
- セキュリティアーキテクチャ(ゼロトラスト、RBACなど)を理解。
- 認証技術(多要素認証、暗号化手法)の適用場面を学習。
- SIEM、SOCの運用についても把握する。
ドメイン4:インシデント対応と復旧(30%)
- インシデント管理プロセス(検知、封じ込め、根本原因分析)を習得。
- フォレンジック調査やCSIRTの役割を理解。
- BCP(事業継続計画)、DRP(災害復旧計画)の違いを明確に。
ITリスク管理・セキュリティ戦略の理解
- ISO 27001、NIST、COBIT などのフレームワークを把握。
- セキュリティリスクの評価方法(リスクアセスメント)を実践的に理解。
- ビジネス視点でのセキュリティ管理を意識する。
取得後に出来ること
情報セキュリティ管理の専門家としてのキャリアを築ける
CISM資格は、企業の情報セキュリティ戦略の立案・実行・監査に関わる専門知識を証明するため、ITセキュリティ管理職やリスクマネジメントの分野で活躍できる。
企業の情報セキュリティ部門で活躍
- セキュリティポリシーの策定・運用
- サイバー攻撃への対策とインシデント対応
- リスク評価とセキュリティ監査
外部監査・コンサルティング業界で活躍
- セキュリティ監査・リスクコンサルティング業務
- 企業のセキュリティ対策の評価と改善提案
- 規制対応(ISO 27001、NIST、GDPRなど)の支援
キャリアアップ・昇進のチャンスが広がる
CISM資格は情報セキュリティ管理のプロフェッショナル認定資格として、多くの企業で管理職への昇進要件となることがある。
管理職・CISO(最高情報セキュリティ責任者)への昇進が有利
- ITセキュリティマネージャーやリスクマネージャーのポジションに適任
- セキュリティガバナンスの責任者として組織のリーダーシップを発揮
- 経営層との連携を強化し、戦略的なセキュリティ対策を主導
金融・保険・IT業界でのキャリアに有利
- 銀行や保険会社では、リスク管理・コンプライアンス対策としてセキュリティ専門家が求められる。
- IT企業では、クラウドセキュリティやゼロトラストセキュリティの導入を推進できる人材が高く評価される。
海外でも通用する国際資格
CISMは、ISACA(国際的なITガバナンス協会)が認定する資格のため、世界的に認知度が高い。特にグローバル企業や外資系企業への転職において強みとなる。
グローバル企業・外資系企業でのキャリア形成
- 海外拠点の情報セキュリティ監査やリスク評価に携わる
- グローバル規模のセキュリティポリシー策定に関与
- 欧米のITセキュリティ基準(NIST、ISO 27001、GDPR)に準拠した業務に従事
国際的なセキュリティ基準に基づいた業務ができる
- CISM取得者は、ISO 27001やNISTフレームワークに基づく業務を遂行できるため、企業のセキュリティ強化に貢献できる。
独立・フリーランス監査人としての道も
CISM資格を取得すると、企業のセキュリティ対策を支援する独立コンサルタントとしても活躍できる。
独立してセキュリティコンサルタントとして活動
- 企業向けにセキュリティ監査・リスク評価サービスを提供
- サイバーセキュリティ対策のアドバイザーとして活動
- 法規制対応(GDPR、CCPA、SOX法など)の専門家として支援
企業研修講師としての活躍
- CISM資格を活かし、企業向けのセキュリティ研修やセミナーの講師として活動
- IT企業や金融機関向けにリスク管理・セキュリティガバナンスの教育を担当
他の資格との組み合わせでさらに市場価値を高める
CISM単体でも有力な資格だが、他のIT・監査系資格と組み合わせると市場価値が向上する。
CISA(公認情報システム監査人)との併用
- CISAは情報システム監査の専門資格であり、CISMと組み合わせることで「セキュリティ管理+監査」の専門性が向上。
- 企業の内部監査・セキュリティ監査の分野で高く評価される。
CISSP(公認情報システムセキュリティ専門家)との併用
- CISSPは技術寄りのセキュリティ資格、CISMは管理寄りの資格。
- 技術・管理の両面に強い人材として、CISOやセキュリティ責任者のポジションを狙える。
PMP(プロジェクトマネジメント資格)との併用
- セキュリティプロジェクトのマネジメントスキルを強化できる。
- CISM取得者がPMPも持っていると、ITセキュリティプロジェクトのリーダーとしての評価が高まる。
高収入を目指せる
CISM資格を取得すると、情報セキュリティ管理者としての市場価値が向上し、高収入を狙える。
CISM資格保持者の年収の目安
| 地域 | 平均年収 |
|---|---|
| 日本 | 800万~1,200万円 |
| 欧米 | 10万~15万ドル(約1,500万~2,200万円) |
- 特に外資系企業・金融機関では、年収1,500万円以上の求人も存在。
- セキュリティ責任者(CISO)クラスでは、2,000万円以上の報酬も期待できる。
財務・経営系資格一覧
公認会計士
税理士
中小企業診断士
簿記検定
ファイナンシャル・プランニング技能士
証券アナリスト
簿記能力検定
建設業経理検定
経営士
ファイナンシャル・プランナー
実用数学技能検定
DCプランナー
DCアドバイザー
マーケティング・ビジネス実務検定
MBA
不動産証券化協会認定マスター
モーゲージプランナー
銀行業務検定試験
BATIC(国際会計検定)
CPA(米国公認会計士)
米国公認管理会計士
米国税理士(EA)
PMP試験
CISA(公認情報システム監査人)
CIRP(サーティファイド・IRプランナー)
シニアリスクコンサルタント
ITコーディネータ資格認定制度
ファイナンシャル・リスクマネージャ
アクチュアリー資格試験
二種外務員資格試験
CIA(公認内部監査人)
CFA(CFA協会認定証券アナリスト)
ホスピタリティ検定試験
イベント業務管理者
ファシリティマネージャー
PRプランナー資格認定制度
プロジェクトマネジメント資格
VEリーダー認定試験
販売士検定
セールススキル検定試験
セールスレップ資格認定制度
販路コーディネータ資格認定制度
交渉アナリスト
CISM(公認情報セキュリティマネージャー)
