- 1. CISM(公認情報セキュリティマネージャー)とは?
- 2. CISM vs CISSP vs CISA(最重要比較)
- 3. CISM試験の「難易度」と「合格率」
- 4. CISM試験の概要(出題分野・形式・試験日)
- 5. CISM合格に向けた「勉強方法」と「必須教材」
- 6. CISMの「受験資格」と「認定要件」
- 7. CISMにかかる「費用」全解説(受験料・維持費)
- 8. CISM取得のメリット(年収・転職)
- 9. まとめ
こんにちは。東証プライム上場企業で情報システム部のセキュリティ担当をしている、城咲子です。私はCISSP、CCSP、情報処理安全確保支援士(登録セキスペ)として、日々セキュリティの最前線で「守る側」の実務に携わっています。
セキュリティ対策というと、技術的な防御策(Firewall、EDRなど)を想像しがちですが、企業を本当に動かしているのは「マネジメント」です。
「セキュリティは技術ではなく、経営課題である」
この命題に応えるための資格が、今回解説するCISM(Certified Information Security Manager:公認情報セキュリティマネージャー) です。
「CISSPとはどう違うの?」「マネージャー経験がないと取れない?」「難易度は?」
この記事は、CISM資格に関するあらゆる疑問に答えるための**総まとめ(ピラー記事)**です。私自身、実務家(CISSP)として「マネジメント」の視点の重要性を痛感しており、CISMはキャリアアップに欠かせない資格と捉えています。
セキュリティ実務家の視点から、CISMの真の価値、他の資格との明確な違い、そして合格への最短ルートを徹底的に解説します。
1. CISM(公認情報セキュリティマネージャー)とは?
まず、CISMがどのような資格なのか、その基本から押さえましょう。
CISMの「曖昧さ」を解消! 3つのCISM
CISMの学習を始める前に、非常に重要な用語の整理をします。 「CISM」と検索すると、全く異なる3つのトピックがヒットします。
【本記事のトピック】ISACA®の CISM
- 正式名称: Certified Information Security Manager(公認情報セキュリティマネージャー)
- 概要: ISACA®(情報システムコントロール協会)が認定する、情報セキュリティの「マネジメント」に特化した国際的な専門家認定資格。
【別モノ】惨事ストレスの CISM
- 正式名称: Critical Incident Stress Management(危機的出来事ストレス管理)
- 概要: 消防士、警察官、救急隊員などが、悲惨な現場を経験した後に受けるメンタルヘルスケアのプログラム。「CISM 危機」「CISM 惨事ストレス」はこちらを指します。
【別モノ】軍人スポーツの CISM
- 正式名称: Conseil International du Sport Militaire(国際軍人スポーツ評議会)
- 概要: 「CISM 世界軍事選手権」などを主催する国際機関。
本記事で解説するのは、1.の「ISACAが認定する情報セキュリティマネージャー資格」です。
CISM資格の概要と国際的評価
CISMは、「情報セキュリティプログラムの管理、設計、監督」 に焦点を当てた、マネージャー向けの国際的なデファクトスタンダード(事実上の標準)資格です。
技術的な詳細("How")よりも、「なぜ(Why)」 それが必要で、「何を(What)」 すべきか、「どう(How)」 組織を動かし、リスクを管理するかに重きを置いています。
CISMは誰のための資格か?
CISMは、以下のような役割を担う、または目指す人にとって最適な資格です。
- 情報セキュリティマネージャー、管理者
- CISO(最高情報セキュリティ責任者) およびその候補者
- ITマネージャー、ITコンサルタント(セキュリティの責任を負う)
- 技術職(エンジニア)からマネジメント職へキャリアアップしたい方
私のような技術畑の人間(CISSP)がCISMの知識を学ぶことは、「なぜこの技術的対策が、経営のリスク低減に繋がるのか」を経営層の言語で説明する能力を格段に高めてくれます。
2. CISM vs CISSP vs CISA(最重要比較)
CISMの価値を理解する上で、CISSPおよびCISAとの比較は欠かせません。 私(城咲子)はCISSP保有者として、この違いを以下のように整理しています。
一言で言えば、「CISM=王様」「CISSP=建築家・将軍」「CISA=監査官」です。
| 資格名 | CISM (マネージャー) | CISSP (実務家/アーキテクト) | CISA (監査人) |
|---|---|---|---|
| 発行団体 | ISACA | (ISC)² | ISACA |
| 主な役割 | セキュリティプログラムの管理 | セキュリティ対策の実装・運用 | セキュリティ体制の評価・保証 |
| 視点 | 経営・ガバナンス | 技術・オペレーション | 独立・客観 |
| キーワード | 「なぜ」「何を」(Why/What) | 「どのように」(How) | 「適切か」(Is it right?) |
| 主な領域 | 1. ガバナンス 2. リスク管理 3. プログラム開発・管理 4. インシデント管理 |
1. リスク管理 2. 資産 3. アーキテクチャ 4. 通信 5. ID/アクセス管理 6. 評価/テスト 7. 運用 8. 開発 |
1. 監査プロセス 2. ITガバナンス 3. 調達/開発 4. 運用/レジリエンス 5. 資産の保護 (Security) |
CISM vs CISSP(マネージャー vs 実務家)
- CISSP (私) が「城を設計し、守る将軍」 なら、CISMは「国を治め、戦略を立てる王様」 です。
- CISSPは、8ドメインという広範な技術・運用知識(「どう守るか」)を求められます。
- CISMは、そのセキュリティ活動全体がビジネス目標に合致しているか、リスクは許容範囲内か、投資対効果はどうか、といった**「プログラム全体をどう管理するか」** を問われます。
- キャリアパス: 技術の最前線で活躍したいならCISSP。チームや部門を率い、経営層と対話するならCISMが強力な武器になります。両方持つことで、戦略と実務の両方を理解する最強の専門家になれます。
CISM vs CISA(ISACA兄弟資格)
- CISAが「評価する人(監査人)」 なら、CISMは「評価される人(当事者・管理者)」 です。
- CISAは、CISMが構築したセキュリティプログラムや体制が「適切に機能しているか」を独立した立場でチェックします。
- ISACAの資格ですが、役割は明確に異なります。「管理」したいならCISM、「監査」したいならCISAです。
3. CISM試験の「難易度」と「合格率」
CISM試験の難易度
CISMは、CISSPやCISAと並び、IT・セキュリティ分野における最難関の国際資格の一つです。
- 知識範囲: 広く浅いCISSPと比べ、CISMは「マネジメント」領域に深く特化しています。
- 思考法: CISMの難しさは、技術的な暗記ではなく、「ISACAが考えるマネージャーとして最も適切な判断はどれか?」という独特の思考("ISACA-ism")を問われる点にあります。
- 例えば、「技術的に完璧な対策A」と「コストとリスクのバランスが取れた対策B」があれば、マネージャーとしてはBを選ぶ、といった判断が求められます。
合格率と合格ライン
ISACAは、CISM試験の合格率を公式に発表していません。 (※一部の予備校データでは高い数値が出ていますが、CISA同様、高額な受験料を払うレベルの高い母集団であるため参考程度です)
- 合格ライン: 200〜800点のスケールドスコア方式で採点され、450点以上で合格です。
必要な勉強時間(目安)
- セキュリティ実務・管理経験者: 150〜200時間
- IT経験者(管理未経験): 200〜300時間
- 未経験者: 300時間以上(ただし、先にCISSPやCISA、セキュリティ+の取得を推奨)
私のようなCISSP保有者であれば、ドメイン2(リスク管理)やドメイン4(インシデント管理)は重複範囲が多いため、ドメイン1(ガバナンス)とドメイン3(プログラム管理)に集中することで、より短時間(100〜150時間程度)での合格も可能です。
4. CISM試験の概要(出題分野・形式・試験日)
試験形式と試験日
- 試験形式: CBT(Computer Based Testing)。4択の多肢選択式です。
- 問題数: 150問
- 試験時間: 4時間(240分)
- 試験日: 通年受験可能。全国のピアソンVUEテストセンターで、自分の都合の良い日時を予約して受験します。
- 言語: 日本語での受験が可能です。(CISA同様、原文(英語)併記が可能です)
CISM試験の4つのドメイン(出題分野)
CISM試験は、以下の4つの「ドメイン(業務領域)」から出題されます。 ※この構成比率こそがCISMの思想そのものです。
- ドメイン1: 情報セキュリティガバナンス (17%)
- セキュリティ戦略がビジネス目標と整合していることを確実にする。ポリシー、標準、組織構造の定義。
- ドメイン2: 情報リスクの管理 (20%)
- リスクアセスメントの実施、リスク対応(受容・低減・回避・移転)の決定。
- ドメイン3: 情報セキュリティプログラムの開発と管理 (33%)
- CISMの核となるドメイン。セキュリティプログラム(体制、人材、技術)を「どう構築し、維持・運営していくか」の実務。
- ドメイン4: 情報セキュリティインシデントの管理 (30%)
- インシデント対応体制(CSIRTなど)の構築、インシデント発生時の指揮、事後対応(フォレンジック、再発防止)の管理。
5. CISM合格に向けた「勉強方法」と「必須教材」
CISM合格には、ISACA資格特有の王道の学習方法があります。
必須教材①:CISMレビューマニュアル(CRM)
- 『CISM レビューマニュアル』(通称:CRM) ISACAが発行する公式テキストです。試験範囲のすべてを網羅しています。 ただし、CISA同様に非常に分厚く、文章も直訳的で難解です。辞書として、または予備校のテキストの補助として使うのが現実的です。
必須教材②:CISM QAE データベース(問題集)
- 『CISM レビュー質問・解答・解説データベース』(通称:QAEデータベース)
- (または書籍版の『CISM サンプル試験問題&解答・解説集』)
CISM学習の「心臓部」 です。過去問は公開されないため、ISACAが本番に準拠して作成したこの公式問題集(QAE)が唯一にして最強の対策ツールです。
戦略:
- QAEを解く(最初は全く解けなくて構いません)。
- 間違えた問題の「解説」を徹底的に読み込む。
- 「なぜその選択肢がマネージャーとして最適なのか」「なぜ他の選択肢は不適切なのか」を理解する。
- 理解が曖昧な箇所を、CRM(レビューマニュアル)で確認する。
この「QAE → 解説 → CRM」のサイクルを3周以上行い、QAEの正答率を常時90%以上にすることが合格への最短ルートです。
独学 vs 予備校(アビタスなど)
- 独学: メリットは費用を抑えられる点。デメリットは、「ISACA-ism」という独特のマネージャー思考を独力で掴むのが難しく、挫折しやすい点です。
- 予備校(アビタスなど): アビタス(Abitus) がCISA/CISM対策で圧倒的な実績を持っています。難解なCRMを噛み砕いた日本語テキストと、合格の勘所を教えてくれる講義は、特に「マネージャー経験が浅い」と感じる方にとって、時間対効果が非常に高い投資となります。
6. CISMの「受験資格」と「認定要件」
CISMは、試験に合格しただけでは「CISM」と名乗れません。合格後、5年以内に以下の実務経験要件を満たし、「認定申請」を行う必要があります。
5年間の実務経験(原則)
CISMの4ドメインに関連する5年間の情報セキュリティマネジメント実務経験が必要です。
※重要: このうち、最低3年間は、4ドメインのうち3つ以上のドメインにおける「情報セキュリティマネージャー」としての実務経験(管理職としての経験)が求められます。
実務経験の「免除(Waiver)」制度
「5年間も経験がない」という場合でも、以下の免除(代替)制度が利用できます。
| 免除(代替)となる経験 | 免除期間(最大) |
|---|---|
| 情報セキュリティ実務経験(一般) | 最大1年 |
| 関連資格(CISA, CISSP, FISMなど) | 最大2年 |
| 関連分野の学位(修士号など) | 最大1年 |
| 関連分野の学位(学士号) | 最大1年 |
※注意点:
- 免除は最大で2年間までしか認められません。
- 例えば、私(城咲子)がCISSPを保有している場合、「2年間」の免除が受けられます。
- その結果、「5年 - 2年免除 = 残り3年」 の実務経験(上記で述べたマネージャーとしての経験)が、いずれにせよ必要となります。
- CISMは「マネージャー」の資格であるため、最低3年間のマネジメント関連経験は免除できない、という強い思想の表れです。
7. CISMにかかる「費用」全解説(受験料・維持費)
CISMは取得にも維持にも高額な費用がかかります。 結論から言うと、受験時点でISACA会員になる方がトータルで安くなります。
(※料金は変動する可能性があるため、最新情報はISACA公式サイトでご確認ください)
① 初期費用(受験〜認定まで)
| 項目 | ISACA会員 | 非会員 | 備考 |
|---|---|---|---|
| ISACA年会費 | $135 | - | ※東京支部会費($50)等が別途必要 |
| CISM受験料 | $575 | $760 | 会員の方が$185安い |
| 認定申請料 | $50 | $50 | 合格後に必要 |
| (参考)予備校費用 | 10万〜20万円 | 10万〜20万円 | 別途 |
※受験料だけで見れば、会員になった方が($135 + $575 = $710)非会員($760)より安くなります。
② 維持費用(認定後、毎年)
CISM資格を維持するためには、「ISACA会員であり続ける」ことと、「CPE(継続的専門教育)ポイント」を毎年(最低20 CPE)および3年間(合計120 CPE)取得・報告することが必要です。
| 項目 | 年額 | 備考 |
|---|---|---|
| ISACA年会費 | 約$135 | ※東京支部会費($50)等が別途必要 |
| CPE維持管理費 | $45 | |
| 年間維持費 合計 (目安) | 約$230 (約3.5万円) |
CISMは年間約3〜4万円の維持費がかかる資格であると認識しておく必要があります。
8. CISM取得のメリット(年収・転職)
では、高額な費用と時間をかけてCISMを取得するメリットはどこにあるのでしょうか。
転職市場での圧倒的優位性
- 「マネージャー」への登竜門: CISMは、セキュリティエンジニアやアナリストから、セキュリティマネージャー、部長、CISOといった上級管理職へのキャリアアップを目指す上で、最も直接的で強力な武器となります。
- 経営層との共通言語: CISMの知識(特にガバナンスとリスク)は、「経営層の言語」 そのものです。技術的な詳細ではなく、ビジネスリスクとしてセキュリティを語れる人材は、あらゆる企業で求められています。
CISM保有者の年収目安
CISMが対象とするのは上級職であるため、保有者の年収水準は非常に高いです。
- セキュリティマネージャー: 800万〜1,500万円
- CISO / 部門長クラス: 1,200万〜2,000万円以上
特に、私のようなCISSP(技術・実務)とCISM(管理・経営)の両方を保有する人材は、戦略から実行まで一気通貫で見られる専門家として、市場価値は格段に高まります。
9. まとめ
CISM(公認情報セキュリティマネージャー)は、単なる技術資格ではなく、セキュリティを経営の視点で動かす「マネージャー」 のための国際標準資格です。
- CISMには3つの意味があるため、ISACAの資格であることをまず確認する。
- CISM=マネージャー、CISSP=実務家、CISA=監査人。
- 難易度は非常に高いが、鍵は「ISACA-ism」というマネージャー思考の習得。
- 学習の核は公式問題集(QAE) の徹底的な周回。
- 合格後、5年間の実務経験(うち最低3年はマネジメント経験)が必要。
- 維持費は高額だが、上級管理職へのキャリアパスを開く強力な投資となる。
技術的なスキル(CISSP)を土台に、CISMというマネジメントの視点を加えることは、組織全体を動かし、真のセキュリティ強化を実現するための最短ルートです。
この記事が、あなたのキャリアを次のステップへ進めるための一助となれば幸いです。
(関連情報)
- セキュリティマネジメントの対象となるサイバー攻撃の最新動向です。
- マネジメントの基盤となる法律・ガイドラインの動向も重要です。
