実は競合する資格ではありません
この質問は常に受けますが、正直なところ、CISSPとSecurity+はあなたのCVの同じポジションを競い合う資格ではなく、キャリアのまったく異なるステージに位置しています。Security+はサイバーセキュリティ業界に入ろうとしている人を対象とした、ベンダー中立的なエントリーレベルの認定資格です。CISSPはISC2が提供するシニアレベルの経営・アーキテクチャ資格で、正式な認定を得るために数年の有給職務経験を必要とします。これら2つを直接比較することは、運転免許証とHGV免許を比較するようなものです。関連する分野ですが、レベルはまったく異なります。
この質問をしている理由が業界にまったく新しい人だからであれば、答えは簡単です。常にSecurity+を最初に取得してください。CISSPはまだ到達できず、仮に到達できたとしても、あなたのいる段階には適切な資格ではありません。
ほとんどの人が見落とす経験要件
これが人々を混乱させる詳細です。CISSPは、8つのCISSPドメインのうち少なくとも2つで、最低5年の累積有給職務経験が必要です(関連する学位または他の承認された資格がある場合、1年は免除できます)。その経験がなくても試験に合格して「ISC2アソシエイト」になることはできますが、経験要件を満たして承認されるまで、正式なCISSP認定は得られません。Security+にはそのような要件がありません。キャリアの初日から受験できます。
これが、ほとんどの人がSecurity+またはそれに相当する基礎知識を、CISSPがキャリアに関連するようになるずっと前に必要とする実用的な理由です。また、「CISSP相当、5年以上の経験」を求める求人広告が、Security+に言及するエントリーレベルの求人広告とまったく異なる理由も説明しています。これらは同じ候補者を対象としていないため、同じ短いはしごの段階として扱うことは、どちらかの現実的な期待を設定しません。
並べて比較
| Security+ (SY0-701) | CISSP | |
|---|---|---|
| レベル | エントリーレベル | シニア/経営レベル |
| 提供元 | CompTIA | ISC2 |
| 必要な経験 | なし | 5年(免除ありの場合) |
| 焦点 | 技術的基礎 | セキュリティ経営、ガバナンス、アーキテクチャ |
| 一般的な保有者 | ジュニアアナリスト、キャリアチェンジャー | セキュリティマネージャー、アーキテクト、CISO志向 |
| 更新 | 継続教育 | 継続教育(CPE) |
CISSPに直接スキップしたいと言う学生に私が伝えること
まれに、他の分野(プログラム管理、エンジニアリングリーダーシップ、軍事など)のシニア職から転職してきた学生が、「トップ」資格に見えるためにCISSPに直進したいと言うことがあります。私は毎回同じことを言います。CISSPは8つのドメイン全体にわたるセキュリティ経営知識の幅広さをテストするため、技術的基礎がなければ、実際に適用されているのを見たことのない概念を暗記することになります。これは学習方法としてはるかに難しく、耐久性が低く、経験要件を満たして正式な資格を保有することができない場合は役に立ちません。
技術的基礎を最初に構築してください。Security+相当またはそれに相当するもので、できれば実践的なトレーニングを伴います。その後、実際にそのレベルで活動しているときに、CISSPを経営レベルの知識を正当化する資格にしてください。これはCISSPを保有している人として言います。試験は、プレッシャーの下で実際に下さなければならなかった現実の決定に基づいて構築された判断に報酬を与えます。ライブインシデント、予算上の妥協、誰も署名したくないポリシー例外があります。その経験のバックログなしに、パターンを認識する代わりに抽象化を暗記することになり、それは準備するための非常に遅い、非常に信頼性の低い方法です。
合理的な順序
- Security+(またはISC2 CC) — 基礎的な用語と概念。
- 実践的な経験 — アナリスト職、BTL1のような実践的な資格、実践的なプロジェクト。
- 専門分野 — クラウドセキュリティ、ブルーチーム、GRCなど、キャリアがどこに進むかによって異なります。
- CISSP — 経験を積み重ねて経営またはアーキテクチャの責任を担うようになったら。
CISSPの対象となった後でも、それが努力する価値があるかどうか確信がない場合、賛成と反対の場合を分けて説明しています。CISSPは価値があるかを参照してください。Security+がこれらすべての前にどこに位置しているかのより詳しい説明が必要な場合は、Security+は価値があるかを参照してください。
よくある質問
職務経験がなくてもCISSPを取得できますか?
試験に合格してISC2アソシエイトになることはできます。その後、必要な経験を積み重ねながら正式なCISSP認定に向けて取り組みます。経験がなければ、正式なCISSP資格を保有することはできません。
CISSPはSecurity+より難しいですか?
はい。ただし、コンテンツの難易度だけではなく、CISSPはセキュリティ経営トピック全体にわたる幅広さと判断をテストするため、Security+のより定義しやすい技術的目標より詰め込むことが難しいためです。
キャリアチェンジャーは直接CISSPを目指すべきですか?
隣接する分野の関連経験が既にあり、ISC2がそれを認定することが可能な場合のみです。例えば、ITリスク、監査、またはセキュリティコンテンツのある実際のプログラム管理職です。それ以外の場合は、基礎から構築してください。
Security+はCISSPの経験要件にカウントされますか?
Security+自体は職務経験としてはカウントされませんが、CompTIAはCISSPの経験免除の1年を満たす特定のCompTIA資格の合意があります。ISC2の公式ページで現在のリストを確認してください。これらの取り決めは変わるためです。
これらのうちどれが現在のあなたの状況に本当に当てはまるか確信がない場合は、トライアルレッスンを予約してください。抱負的なステップではなく、現実的な次のステップを計画します。