- 1. 一目でわかる!CISSP vs CISM vs CISA 比較表
- 2. CISSP (公認情報システムセキュリティプロフェッショナル) とは?
- 3. CISM (公認情報セキュリティマネージャー) とは?
- 4. CISA (公認情報システム監査人) とは?
- 5. 【シナリオ別】インシデント発生!3者の動き
- 6. 難易度・実務経験・費用はどう違う?
- 7. 【結論】あなたのキャリアパスに最適なのはどれ?
- 8. まとめ
こんにちは。東証プライム上場企業で情報システム部のセキュリティ担当をしている、城咲子です。私はCISSP (公認情報システムセキュリティプロフェッショナル)のほか、CCSP、情報処理安全確保支援士(登録セキスペ)を保有し、日々セキュリティの設計・実装・運用の実務に携わっています。
セキュリティ分野のキャリアを考え始めると、必ずと言っていいほど目にする3つのアルファベットがあります。それが「CISSP」「CISM」「CISA」です。
セキュリティ資格の全体像やキャリアパスについては、まず「情報セキュリティ資格ロードマップ:初心者からCISSPまでステップアップ!現役専門家が徹底解説」をご覧いただくとして、特にこの3つの資格は、セキュリティ・ITガバナンス分野における国際的な最難関資格として知られています。
「どれもマネジメント層向けって聞くけど、具体的にどう違うの?」
「技術者の自分が、次に目指すならどれ?」
「自分のキャリアプランに最適なのは?」
私自身、CISSPを取得した実務家として、これらの資格の違いは常に意識しています。
結論から言えば、この3つの資格は、ユーザー様の洞察通り、以下のように明確に役割が分かれます。
- CISSP: 実装もわかるリーダー / ジェネラリスト(手を動かす技術も理解し、全体を指揮する)
- CISM: 管理に特化したマネージャー(経営の視点で、セキュリティ体制を構築・管理する)
- CISA: 評価・検証する監査人(独立した立場で、体制が適切か保証する)
この記事では、現役CISSPである私の視点から、この3つの資格の「思想」「役割」「難易度」「キャリアパス」の違いを、どこよりも明確に徹底比較します。
1. 一目でわかる!CISSP vs CISM vs CISA 比較表
まずは全体像を掴みましょう。この3つの資格は、発行団体と思想が異なります。
| 比較項目 | CISSP (公認情報システムセキュリティプロフェッショナル) | CISM (公認情報セキュリティマネージャー) | CISA (公認情報システム監査人) |
|---|---|---|---|
| 発行団体 | (ISC)²(アイエスシー・スクエア) | ISACA(イサカ) | ISACA(イサカ) |
| 思想 | セキュリティの実装・運用(実務家) | セキュリティの管理(マネージャー) | 情報システムの監査(監査人) |
| 役割 | 実装もわかるリーダー (ジェネラリスト) |
管理に特化したマネージャー (経営視点) |
評価・検証する監査人 (独立した評価者) |
| キーワード | 「How(どのように)」 (どう設計し、守るか) |
「Why/What(なぜ/何を)」 (なぜ管理し、何をすべきか) |
「Is it right?(適切か)」 (どう評価し、保証するか) |
| 主な対象 | ・セキュリティ技術者 ・アーキテクト ・実務リーダー |
・セキュリティ管理者 ・CISO(最高情報セキュリティ責任者) ・経営層と現場を繋ぐマネージャー |
・システム監査人 ・内部監査部門 ・GRC担当者 |
| 実務経験 | 5年間 (1年免除あり) |
5年間(うち3年は管理経験) (最大2年免除あり) |
5年間 (最大3年免除あり) |
【城咲子の視点:城で例えると…】
- CISSP: 城の設計図を引き、防衛部隊を指揮する将軍。石垣の積み方から兵士の配置まで、実務(How)を熟知しています。
- CISM: 城ではなく、国全体を統治する王様(または宰相)。防衛(セキュリティ)が国益(経営)にどう貢献するかを考え、予算や法律(体制)を整備します。
- CISA: 隣国から派遣された、または王様から任命された査察官。城の防衛体制が「本当に機能しているか」「計画通りか」を厳しくチェック(監査)します。
2. CISSP (公認情報システムセキュリティプロフェッショナル) とは?
役割:実装もわかるリーダー / ジェネラリスト
私自身が保有する、最も思い入れのある資格です。CISSPは、(ISC)²が提供する「セキュリティプロフェッショナルのための共通言語」とも言えます。 まずは「CISSPとは?- あなたのキャリアを次のステージへ導く「世界最高峰」のセキュリティ資格」でその全体像を掴んでいただくのが良いでしょう。
守備範囲:「広く、深い」8ドメイン
CISSPの最大の特徴は、その圧倒的な守備範囲(8ドメイン) です。
- セキュリティとリスクマネジメント
- 資産のセキュリティ
- セキュリティアーキテクチャとエンジニアリング
- 通信とネットワークセキュリティ
- アイデンティティとアクセスの管理 (IAM)
- セキュリティの評価とテスト
- セキュリティの運用
- ソフトウェア開発セキュリティ
(具体的な学習内容については、私の【CISSP】勉強自分ノートや、暗号技術に特化した【CISSP演習問題】非対称鍵暗号を完全マスター!も参考にしてみてください。)
思想と価値:「How(どのように)」
CISSPは「どのように(How) セキュリティを実装し、運用し、管理するか」という実務的な視点を重視します。机上の空論ではなく、「手を動かす」技術者やアーキテクトの視点を深く理解した上で、チームやプロジェクトを導くリーダーシップが求められます。
巷では「CISSPは「意味ない」のか?」といった議論もありますが、私はその真の価値は、取得後のキャリアにあると断言します。実際、「【年収2,000万円も】CISSPの価値を徹底解説!取得後のリアルなキャリアパスと年収テーブル」で解説している通り、その市場価値は非常に高いものです。
こんな人におすすめ
- セキュリティエンジニア、アーキテクト
- インフラエンジニアでセキュリティの専門性を高めたい方
- 技術的なバックグラウンドを持ち、将来的にマネジメントにも関わりたい方(私のようなパターンです)
3. CISM (公認情報セキュリティマネージャー) とは?
役割:管理に特化したマネージャー
CISMは、ISACAが提供する、情報セキュリティ「マネジメント」 に完全に特化した資格です。
守備範囲:「経営」と「管理」に特化した4ドメイン
CISMはドメインを4つに絞り、マネジメントを深掘りします。
- 情報セキュリティガバナンス
- 情報リスクの管理
- 情報セキュリティプログラムの開発と管理
- 情報セキュリティインシデントの管理
CISSPのような技術的な実装詳細はほとんど問われません。その代わり、「どうやって経営陣を巻き込むか」「セキュリティ投資対効果をどう説明するか」「セキュリティ体制(プログラム)をどう構築・維持するか」といった、純粋な管理業務に焦点を当てています。
思想と価値:「Why/What(なぜ/何を)」
CISMの思想は「なぜ(Why) そのセキュリティ対策が必要なのか」「経営目標達成のために何を(What) 管理すべきか」という、徹底した経営・ビジネス視点です。技術(How)は、あくまでその目的を達成するための手段の一つと捉えます。
こんな人におすすめ
- 現役のセキュリティマネージャー、管理者
- CISO(最高情報セキュリティ責任者) を目指す方
- 技術職から完全にマネジメント職へ移行したい方
- 経営層と直接対話し、セキュリティ戦略を立案したい方
より詳しい解説は、こちらのピラー記事もご覧ください。
4. CISA (公認情報システム監査人) とは?
役割:評価・検証する監査人
CISAもCISMと同じISACAが提供する資格ですが、役割は全く異なります。「監査」のプロフェッショナルです。
※注意: セキュリティニュースで聞く「CISA KEV(悪用が確認された脆弱性リスト)」は、米国の政府機関(Cybersecurity and Infrastructure Security Agency) の略称であり、ISACAの資格CISAとは全く別物です。
守備範囲:「監査プロセス」が中心の5ドメイン
CISAのドメインを見ると、その役割は明確です。
- 情報システム監査のプロセス
- ITガバナンスとITマネジメント
- 情報システムの調達、開発、導入
- 情報システムの運用とビジネスレジリエンス
- 情報資産の保護(=セキュリティ)
CISAにとって「セキュリティ(ドメイン5)」は、監査対象の一つに過ぎません。中心はあくまで「監査プロセス(ドメイン1)」であり、独立した客観的な立場から、ITシステム全体が適切に管理・運用されているかを評価します。
思想と価値:「Is it right?(適切か)」
CISAの思想は「それは適切か(Is it right?)」の一言に尽きます。CISSPが「構築する側」、CISMが「管理する側」であるのに対し、CISAは「評価・保証する側」として、明確に一線を画します。
こんな人におすすめ
- 監査法人(Big4など) でシステム監査に従事する方
- 企業の内部監査部門、監査役室の方
- GRC(ガバナンス・リスク・コンプライアンス)担当の方
より詳しい解説は、こちらのピラー記事もご覧ください。
5. 【シナリオ別】インシデント発生!3者の動き
3つの資格の役割の違いを、具体的なシナリオで見てみましょう。 「自社サーバーがランサムウェアに感染した!」 というインシデント発生時…
CISSP(実装リーダー)
- 「現場の指揮官」 として動きます。
- 「ネットワークを即時隔離しろ!」「フォレンジック(証拠保全)チームを招集!」「EDRのログから侵入経路を特定急げ!」
- 技術的な判断を下し、封じ込めと復旧の実務を主導します。
CISM(管理マネージャー)
- 「経営への報告者」 として動きます。
- 「被害範囲は?」「ビジネスインパクト(損害額)はいくらか?」「経営会議で報告する資料をまとめろ!」「広報部門と連携し、外部公表の準備を!」
- インシデント対応プロセス全体の進捗を管理し、経営判断を仰ぎます。
CISA(監査人)
- インシデント対応中は静観します。(※対応の独立性を担保するため、通常は監査人が直接介入しません)
- 【インシデント収束後】
- 「なぜインシデントは防げなかったのか?」「インシデント対応マニュアルは遵守されていたか?」「再発防止策は有効か?」
- 事後レビュー(監査) を行い、経営層や取締役会に報告書を提出します。
6. 難易度・実務経験・費用はどう違う?
難易度と勉強法
- 難易度: 3資格とも同等(最難関レベル) です。問われる思考が異なるだけです。
- CISSP: 8ドメインという圧倒的な知識範囲と、技術・管理の両面から問う思考力。その難しさの詳細は「CISSPの難易度は高い?偏差値70の壁と情報処理安全確保支援士など他資格との違いを徹底比較」で解説しています。
- CISM/CISA: ISACA独特の**「ISACA-ism」**(マネージャー/監査人として最適な考え方)を掴むのが最大の壁。
- 勉強法:
- CISSP: 公式ガイドブック(CBK)や問題集で「広く深く」学習します。具体的な勉強法は「【CISSP合格体験記】私が一発合格した勉強方法とタイムマネジメント術を全公開」に、効率的な学習ツールとして「【CISSP合格者が厳選】Udemyおすすめ講座3選」にまとめています。
- CISM/CISA: 公式レビューマニュアル(CRM)と、公式問題集(QAEデータベース) を徹底的に周回し、「ISACA-ism」を叩き込むのが王道です。
取得のハードル:実務経験要件
ここが重要な違いです。
- CISSP: 8ドメインのうち2つ以上の分野で合計5年間の実務経験。(4年制大学卒などで1年免除あり、実質4年)
- どのような業務が実務経験として認められるか、その具体的な書き方については「CISSPの実務経験を完全ガイド!認められる業務範囲から証明・申請の書き方まで具体例で解説」で詳しく解説しています。
- CISA: 監査・管理・セキュリティ分野で合計5年間の実務経験。(学歴や他資格(CISSPなど)で最大3年免除あり、実質2年)
- CISM: セキュリティマネジメント分野で合計5年間の実務経験。
- (最重要) このうち、最低3年間は「管理職(マネージャー)」としての経験が必須。
- (他資格(CISSP, CISAなど)で最大2年免除あり。しかし、最低3年間の管理経験は免除不可)
結論: CISMは「マネージャーであること」が明確に求められるため、認定ハードル(実務経験)が最も特徴的と言えます。
費用(受験料・維持費)
- 3資格とも高額です。
- 受験料: ISACA会員/非会員などで変動しますが、概ね $700〜$900前後(約10〜13万円)です。
- 維持費: 3資格とも、年間維持費(年会費+CPE維持費) がかかります。ISACA/ (ISC)² の会員であり続ける必要があり、年間約3〜4万円のコストを見込む必要があります。
- (参考)「CISSPのCPEクレジットを効率的に稼ぐ方法7選」で紹介している方法は、CISM/CISAのCPE稼ぎにも応用できます。
7. 【結論】あなたのキャリアパスに最適なのはどれ?
結局、あなたはどれから目指すべきでしょうか? 私(城咲子)からの具体的なロードマップ提案です。(キャリアパスの全体像は資格ロードマップ記事もご参照ください)
パターンA:技術畑のエンジニア(私と同じタイプ)
- 現在地: インフラ、ネットワーク、開発、セキュリティ運用などの実務家。
- 結論: まずは CISSP から。
- 理由: あなたの技術的な強みを活かしつつ、セキュリティの全体像(8ドメイン)を体系的に学べます。「実装もわかるリーダー」として、現場での信頼と市場価値が最も高まります。
- 次のステップ: CISSP取得後、マネジメントへ進むならCISM、監査視点を持ちたいならCISAへ進むと、最強のキャリアが築けます。
- CISSP取得後のキャリアと年収については「CISSP取得後の年収はいくら?転職市場での価値と具体的なキャリアパスを徹底解説」でも詳しく解説しています。
パターンB:マネジメント志向・CISO候補者
- 現在地: IT部門のマネージャー、プロジェクトリーダー、経営企画、CISO室。
- 結論: CISM を最優先で。
- 理由: あなたのミッションは「経営とセキュリティを繋ぐ」ことです。CISMは、そのためのガバナンス、リスク、プログラム管理の知識を最も直接的に学べます。
- 次のステップ: CISM取得後、技術的な裏付けや実務家との共通言語を持つために CISSP を取得すると、鬼に金棒です。
パターンC:監査・ガバナンス・コンプライアンス担当
- 現在地: 監査法人、企業の内部監査部門、法務・コンプライアンス部門。
- 結論: CISA 一択です。
- 理由: CISAはあなたの専門業務(監査・評価)に直結する唯一の資格です。ITガバナンスの評価基準と監査プロセスの知識は、すぐに実務で活かせます。
- 次のステップ: CISA取得後、「評価される側」の視点を理解するために CISM や CISSP を学ぶと、より深みのある監査・助言が可能になります。
8. まとめ
CISSP、CISM、CISAは、どれが優れているかではなく、「役割」が全く異なる資格です。
- CISSP (実装リーダー): 「How」を突き詰め、現場を指揮するジェネラリスト。
- CISM (管理マネージャー): 「Why/What」を問い、経営視点で組織を動かすスペシャリスト。
- CISA (監査人): 「Is it right?」を検証し、独立した立場で保証を与えるスペシャリスト。
私自身はCISSPとして実務に軸足を置いていますが、CISMの「経営視点」やCISAの「監査視点」を学ぶことは、自分の業務を客観視し、より高いレベルへ引き上げるために不可欠だと感じています。
あなたの目指すキャリアに応じて、最適な資格を選び、最強の武器を手に入れてください。この記事が、その第一歩となれば幸いです。
(関連情報)
- CISSPについて、より深く知りたい方はこちら。
- CISM資格について、より深く知りたい方はこちら。
- CISA資格について、より深く知りたい方はこちら。
