Jiacheng Fang氏, CISSP
セキュリティプロフェッショナルを目指してCISSPを取得
プロフィールを教えてください
大学でセキュリティを専攻し、2020年の卒業後に新卒で通信・IT企業に入社しました。主にクラウドネイティブのOSSセキュリティ製品の調査や実装業務を担当していました。その後、サイバーセキュリティ企業に転職し、クラウドの脆弱性診断業務を経験したのち、現在は日本の製造業系企業で脆弱性管理プログラムの運用管理および強化に携わっています。
CISSP取得に挑戦された理由を教えてください
私はこれまで、OffSec社のOSCP、OSWEやOSEPといった資格を取得し、攻撃者の視点を持つ実践的かつ技術力に強いこだわりを持ってキャリアを歩んできました。これらの資格は、攻撃側の技術力を何よりも重視しています。その専門性を磨いてきた私にとって、資格取得を通じて技術を学び、企業がさらされている脅威やそのインパクトを理解する助けになりました。
しかし日々の業務を担当するなかで、技術力だけでは企業のセキュリティ課題を根本的かつ現実的に解決できないという壁に突き当たりました。例えば、巨大な組織が保有する膨大な数のデバイスに対し、手動でのペネトレーションテストを実施して網羅的に脆弱性を発見するのは、時間的にもコスト的にも非現実的です。
そこで、「なぜこの技術が必要なのか」「どのような技術をどのように活用すればいいのか」「技術的なソリューションよりもっと良いものはないのか」といった点を学べるソースを探し始めました。そんなときに出会ったのが、業界のゴールドスタンダードとも言われるCISSPでした。もともと学生時代からCISSPの取得を目標にしていたこともあり、教材を購入して学習を開始しました。
マネジメントの経験や資格を持たなかった私にとって、CISSPの教材はリスクマネジメント、ガバナンス、資産管理など、実務で抱える数々の疑問に答えを示してくれるものでした。最初は業務の疑問を解消するために辞書のように使っていましたが、次第に「これは体系的に学ぶ必要がある」と感じ、本格的に資格取得に挑戦することを決意しました。
CISSP試験に向けて、どのように準備や勉強を進めましたか?
まず、最新の英語版公式教材を使い、AIに質問しながら全体を一通り読み進めました。章末問題を解きつつ全体像を把握し、公式問題集のドメイン別問題を解きながら関連個所を再読することで、記憶の定着を図りました。ここまでで3カ月以上かかりました。英語版の教材を使った理由は、利用できるリソースが圧倒的に多いためです。英語に少し自信がある方は、英語で学ぶことをおすすめします。
また、多くの合格者の体験記から、CISSPでは単なる知識ではなく「CISSP的な考え方」が重要だと学びました。その後は問題解説動画を参考に、「なぜその選択肢が最適解なのか」「マネージャならどんな決断を下すのか」を意識しながら模擬試験を解きました。間違えた問題は単に答えを覚えるのではなく、なぜ自分の回答が技術的視点に偏っていたのか、マネジメントの視点ではどう判断すべきかを考え直すトレーニングを繰り返しました。加えて、実務と関連付けながらCISSPの理解を深められたのは、試験対策として非常に有益でした。
本格的に準備を始めてから合格するまで、約5カ月かかりました。2025年3月ごろから本格的に準備を開始し、8月に受験して無事合格しました。なお、試験は日本語で受験しました。理由は、私自身が英語よりも日本語のほうが速く読めるからです。
CISSPの取得を目指している日本の受験者に向けてアドバイスをお願いします
まず「本質を理解すること」が重要だと思います。また、「挫折しても諦めない心」が非常に大切だと感じています。私は膨大な試験範囲と低い模試の正答率に何度も挫けそうになりました。しかし、たとえ不合格でも、学習で得た知識は現在の実務への理解に役に立っていると感じていますし、将来的にはその勉強を通じて得られるものの方が大きな財産になります。諦めずに、日々少しずつでも学習を続けることが、私をCISSPの合格へと導いたと考えています。
CISSP試験の準備と受験を通して、どのような学びがありましたか?
エンジニア出身の私にとって最も大きな学びは、「課題解決の視点が大きく変わった」ことです。以前は、問題に直面するとまず「技術的にどう解決するか」を考えていました。しかしCISSPの学習を通じて、一歩引いて「これはビジネスリスクの観点から見て、最優先で解決すべき課題なのか?」ということを意識し始めたのです。この意識の変化こそが、ビジネスの観点で問題解決に至るための重要な第一歩になったと実感しています。
技術的な手段で導き出した結論や報告が、実は必要のないものだったということもあります。一見、効果的に課題を解決できそうなことがあっても、実行すると新たな問題が生じたり、実行のハードルが高かったりすることもあります。技術導入だけでなく、ポリシーやプロセスの改善など管理的アプローチの有効性にも気づきました。
CISSP資格の取得は、ご自身のキャリアにどのような影響があると思いますか?
CISSPの取得が私のキャリアにもたらした影響は、まずサイバーセキュリティ専門家としてのネットワークが広がったことです。CISSPは国際的に認められた資格であるため、合格後は社内のCISSPホルダーから声をかけていただき、貴重なアドバイスをいただく機会が増えました。
もう一つは、キャリアの早い段階である20代のうちに「マネジメントの視点」という思考の軸を得られたことです。今後、引き続き技術力を極める道に進む中で、いつかはリーダーとしてマネジメント力を発揮する必要があると思っています。「この技術はどのビジネスリスクを低減するのか」を常に意識しながら技術力を強化し、技術と経営の橋渡しをする「ブリッジ」のような役割を担える人材になるための、より明確な道筋が見えました。
今後、どのようなキャリアを描いていますか? その時、CISSPなどISC2の資格はどのように役立っていくと考えますか?
OffSec社の資格を取得した当初は「攻撃者視点を持つサイバーセキュリティ技術者」を目指してきましたが、CISSPで得たマネジメントの視点により、「攻撃者視点を持ちつつ、企業の事業目標達成に貢献できるサイバーセキュリティ技術者」を目指すようになりました。単に攻撃者視点から優先順位を考慮してセキュリティ技術者としてシステムを守るだけでなく、企業の現状や課題を考慮したうえで、セキュリティを単なるコストではなく安全な事業展開を支え、セキュリティの真の価値を提供できる人材になりたいと考えています。
将来的には、CISSPの資格で学んだ技術以外の考え方を意識して業務に取り組んでいきたいと思います。さらに、資格維持のために必要な継続専門教育(CPE)の要件は、常に最新の脅威動向や技術を学び続けるモチベーションの一つとなり、私の専門性を維持するための重要な仕組みとして役立っています。CPEについては、社内のCISSPホルダーからは大学院の修士プログラムで修士号を取得することが最もCPEを取得しやすいと助言をいただきましたが、私にとってはISC2が展開する他の資格に挑戦することやイベントへ参加することがCPE取得の現実的な方法であると考えています。
ご自身の歩みを振り返って、これから同じ道を目指す人に伝えたいことは何ですか?
技術系のセキュリティのプロフェッショナルを目指すうえでは、「技術的な専門性を深めること」に加え、「技術力に固執せず、視野を広げること」の両立が重要であると考えています。
私自身、これまでセキュリティアーキテクチャ、クラウドセキュリティ診断、脆弱性管理というキャリアを歩んできましたが、それぞれの技術的なアプローチだけでは限界があることを痛感しました。例えば、セキュリティアーキテクチャの観点では、企業のネットワーク等を初期段階から安全な状態にすることに注力しますが、過剰にセキュリティ技術を導入し、堅牢性を追求しすぎると、かえってネットワークトラフィックが遅延し、ビジネス上の問題が生じることがあります。
また、クラウドセキュリティ診断においては、システムから多くの問題点を発見し、効果的な対策を提案しますが、その対策が非常に高いコストが発生するケースや、ビジネス上の利便性を大きく損うケースも少なくありません。
脆弱性管理においては、限られたリソースの中で膨大な数の脆弱性を発見し、迅速な修正をサポートすることが求められます。しかし、発見された数多くの脆弱性について、悪用の可否を検証し、担当者に技術的な解説を行い、修正が完了するまでサポートするのは、時間的にも人的リソースの面でも現実的ではありません。
深い技術的な専門性は、問題解決の強力な武器になります。しかし、それだけでは複雑なビジネス課題を効果的に解決できない場合があります。なぜその技術が必要なのか、組織全体で見た最適解は何か、という広い視野を持つことで、初めて技術に真の価値が生まれると考えます。
これらの経験から、技術的な専門性とマネジメントの視点の両方を理解し、常に学び続ける姿勢こそが、変化の激しいセキュリティ業界で価値を発揮し続けるための鍵になると考えています。
(インタビュー日:2025年10月)