2026年版 CCSPフラッシュカード: 8月1日施行の試験要綱に備える
CCSPの受験日が7月31日か8月1日かによって、使うべき試験要綱は異なります。2026年7月18日時点では、改訂版はまだ施行されていません。7月31日までは2025年10月版を使い、8月1日以降の試験には改訂版を使います。役に立つ2026年版 CCSPフラッシュカードが扱うのは、役割、混同しやすい概念の区別、コントロールの選択、手順、演習問題で繰り返し間違える点です。変わらない概念は1つのメインデッキに残し、8月の変更点だけを小さく追加し、シナリオ全体の判断は利用が認められた演習問題で鍛えてください。

受験日に合うCCSP試験要綱を選ぶ
ISC2のCCSP試験要綱ページには現在、両方の版へのリンクがあり、新しい要綱は2026年8月1日に施行されると説明されています。
| 受験予定日 | 使用する試験要綱 |
|---|---|
| 2026年7月31日以前 | 2025年10月1日版 CCSP試験要綱 |
| 2026年8月1日以降 | 2026年8月1日版 CCSP試験要綱 |
コースを買った日や勉強を始めた日ではなく、実際の受験日を基準にします。日程変更によって受験日が8月1日の境目をまたぐなら、要綱に依存するカードをすべて点検してから学習を続けてください。RTOとRPOの違いのような安定した概念は、そのまま使えるかもしれません。ドメインの出題比重、明記された例、サブドメインの範囲に関するカードは、新しい出典での確認が必要です。
2026年8月版の6つの平均出題比重でカバー範囲を確認する
ISC2の6月30日付の改訂発表によると、ドメイン、出題比重、サブドメインが改訂されました。公式要綱では、次の比率を「比重の平均」と表記しています。
| ドメイン | 2026年8月版の平均出題比重 | フラッシュカードで重視したい内容 |
|---|---|---|
| 1. クラウドの概念、アーキテクチャ、設計 | 17% | 役割、サービスモデル、設計原則、プロバイダー評価、AI/MLの概念 |
| 2. クラウドデータセキュリティ | 20% | データライフサイクル、ストレージ、保護手法、分類、保持、AI/MLデータ |
| 3. クラウドプラットフォームとインフラストラクチャセキュリティ | 17% | 構成要素、レジリエンス、コントロール、リスク処理、BC/DR |
| 4. クラウドアプリケーションセキュリティ | 16% | SDLC、脅威モデリング、テスト、サプライチェーン、API、IAM、LLMアプリケーションのリスク |
| 5. クラウドセキュリティオペレーション | 17% | ハードニング、監視、運用上のコントロール、フォレンジック、インシデント対応 |
| 6. 法務、リスク、コンプライアンス | 13% | プライバシー、監査、データに関する役割、リスク処理、契約、管轄 |
最初の3ドメインとドメイン6の平均出題比重は、それまでと変わりません。ドメイン4は17%から16%へ下がり、ドメイン5は16%から17%へ上がります。これらの比率は計画には役立ちますが、各ドメインから出る問題数が固定されるという意味ではありません。
価値の高いカードが100枚ほどあるなら、17/20/17/16/17/13を見るだけで、大きな偏りをすぐ見つけられます。ただし、これは最初の確認であって、枚数のノルマではありません。苦手なドメイン6には、慣れているドメイン2より多くのカードが必要かもしれません。また、明確な区別カード1枚のほうが、定義を写した5枚より広い範囲を実用的にカバーできることもあります。
AIは以前からCCSP試験要綱に含まれていた
8月版を「AIが追加された改訂」と呼ぶのは正確ではありません。2025年10月版の要綱は、すでにドメイン1で機械学習とAIを、ドメイン5でAI支援型モニタリングを挙げています。2026年8月版の要綱では、AI/MLがドメイン1の独立したサブドメインになり、ドメイン2にはデータセットとモデルの保護に特化した範囲が加わり、6ドメインすべての内容が改訂されます。
- ドメイン1には、クラウド脅威の検知と分析、データソースの検証と確認、SOAR、倫理、規制要件を扱う独立したAI/MLサブドメインが加わります。周辺の例でも、セキュア・バイ・デザイン、分離、不変アーキテクチャ、ハードニングがより明確に示されます。
- ドメイン2には、AI/MLのデータセットとモデルのプライバシーおよびセキュリティを扱うサブドメインが加わります。ストレージの例、データタグ付け、ハッシュの用途、法的保全の詳細も拡充されます。
- ドメイン3では、レジリエンスに関する例が明確になり、リスク軽減だけでなく、より広い概念であるリスク処理が使われます。
- ドメイン4では、アプリケーション、API、LLMのリスクに関するOWASPリソースが明記されます。SAST、DAST、CI/CD、サプライチェーンの完全性、Docker、Kubernetes、証明書管理も明示され、平均出題比重は16%に下がります。
- ドメイン5は17%に上がり、セキュア・バイ・デフォルト設定、セグメンテーション、運用標準、脅威インテリジェンス、インシデント対応、ペネトレーションテストが追加または拡充されます。
- ドメイン6では、プライバシー法、クラウドフォレンジック、監査、データに関する役割、データ所有権、契約上のセキュリティについて、より具体的な例が示されます。
これらは、公開されている学習範囲の変更です。新しい項目もあれば、具体化された項目や名称が変わった項目もあります。ある例が記載されなくなったからといって、その概念が試験から削除されたとは限りません。
LLMへの言及も、同じように慎重に扱う必要があります。改訂版のドメイン4は「Top 10 for Large Language Model Applications」を挙げていますが、ISC2は版を指定しておらず、個別のLLMリスクも列挙していません。一方、現行の2025年版LLMおよび生成AIアプリケーション向けOWASP Top 10には、プロンプトインジェクション、機密情報の漏えい、サプライチェーンの脆弱性、データおよびモデルのポイズニング、不適切な出力処理が挙げられています。これらの名称はOWASPによるものです。アプリケーションドメイン全体をTop 10の暗記問題にせず、リスクとコントロールの境界を学ぶために使ってください。
試験要綱を丸写しせず、範囲を絞ったデッキを1つ作る
公式の平均出題比重は整理には役立ちますが、上から順にコピーするための一覧として使うべきではありません。「クラウドで共通する考慮事項」のような1行でも、周辺の単語をすべて定義カードにすると、曖昧なカードが何十枚も生まれます。
メインデッキは1つにして、実用的な問いに答えられるタグを付けます。
- ドメイン:
d1〜d6 - カードの目的:
役割、区別、コントロール選択、順序、演習ミス - 出典の状態:
2025年10月、2026年8月、安定 - 見直しの状態:
要出典確認、要書き直し、高価値
要綱にある概念を説明できない、もっともらしい2つの選択肢を混同する、プロセスの順序を忘れる、利用が認められた演習問題で同じ間違いを繰り返す。このいずれかに当てはまるときにカードを追加します。すでに思い出して適用できる内容は、追加しなくて構いません。同じように範囲を絞る考え方はSecurity+フラッシュカードのガイドでも扱っています。AWS Solutions Architectのガイドでは、技術的なトレードオフをカードに変える例をさらに紹介しています。
CCSPの6ドメインすべてで役立つカードを作る
以下の問いはすべて、公開されている出題範囲をもとに独自に作成した学習例です。実際の試験問題をコピーしたものでも、受験後の記憶をもとに再現したものでもありません。
ドメイン1: 誰が判断を担うかを問う
役割と責任を問うカードは、「クラウドの概念、アーキテクチャ、設計」に向いています。サービスモデルと、判断を左右する手がかりが見える問いにします。
- 表: クラウドプロバイダーによるセキュリティ上の主張を受け入れる前に、具体的な根拠に基づいて評価するには何を2点確認すべきか?
- 裏: その主張を定義済みの要件に対応付け、該当するプロバイダーまたは製品のエビデンスが要件を満たしているか検証する。
8月以降に受験するなら、一つの学習事項に絞ったAI/MLの問いも追加します。
- 表: MLシステムによる脅威検知の出力を信頼する前に、何を確認すべきか?
- 裏: 分析に使用するデータソースを検証し、その妥当性を確認する。
この問いは改訂された出題範囲から直接作れます。5つのAI項目を1枚の自己採点しにくいリストに詰め込む必要はありません。
ドメイン2: 似た保護手法を区別する
クラウドデータセキュリティには、紛らわしい用語が数多くあります。区別カードなら、選択基準が本当に明確かどうか分かります。
- 表: 機密性の高い値を保護するとき、トークン化と暗号化の違いは?
- 裏: トークン化は、機密値をそれ自体には意味のないトークンに置き換え、元の値との対応関係を保護されたシステムに保持する。暗号化は鍵を使って値そのものを変換し、復号には対応する鍵が必要になる。
8月版の差分には、モデルに焦点を当てたカードも必要です。
- 表: 改訂版のドメイン2.9は、AI/MLのデータセットとモデルの両方について、どの二つの観点を挙げているか?
- 裏: プライバシーとセキュリティ。セキュリティについては、妥当性確認と検証が例として示されている。
ドメイン3: 設計を変える制約を思い出す
設計を左右する運用上の制約を一つ明示すると、インフラストラクチャの問題は解きやすくなります。
- 表: あるサービスは4時間以内に復旧する必要があり、許容できるデータ損失は最大15分分です。どちらがRTOで、どちらがRPOか?
- 裏: 4時間の復旧目標がRTO。15分のデータ損失許容時間がRPO。
続けて、提示された停止リスクやデータ損失リスクを減らすアーキテクチャを問う、コントロール選択カードを作れます。1つの設計が常に最善だと決めつけず、答えを具体的な要件に結び付けてください。
ドメイン4: 脆弱性をコントロールの境界につなげる
アプリケーションセキュリティのカードでは、SDLCの選択、テスト手法、API、IAM、ソフトウェアサプライチェーン、そして新たに明記されたLLMリスクを扱います。
- 表: LLMの未処理の出力を、コマンド、クエリ、ブラウザー操作へそのまま渡すのが危険なのはなぜか?
- 裏: 次のコンポーネントにとって、その出力は信頼できない入力だから。次のコンポーネントに渡すデータを検証してサニタイズし、そのコンポーネントが実行する後続の操作を制限して認可する必要がある。
これは、OWASPの「不適切な出力処理」をコントロールの観点から学ぶ方法です。プロンプトインジェクション、データポイズニング、過剰なエージェンシー(Excessive Agency)など、LLMリスクの境界を実際に混同する場合は、それぞれ別のカードにしてください。
ドメイン5: 運用の順序と証拠の扱いを学ぶ
クラウドセキュリティオペレーションでは、技術的に妥当な対応でも順番を誤ると不正解になり得るため、順序カードが役立ちます。
- 表: 証拠が含まれている可能性のあるクラウドリソースを変更する前に、インシデント対応担当者は何を調整すべきか?
- 裏: 承認済みプロセスに沿った封じ込めと証拠保全。状態を記録し、関連する証拠を保全し、証拠保全の連鎖を維持し、許可された変更を記録する。
インシデント対応と通常のインシデント管理を区別するカードも役立ちます。8月版はクラウドセキュリティオペレーションの中で、インシデント対応、脅威インテリジェンス、ペネトレーションテストを明記しています。古いドメイン5のカードは、簡単に点検してください。
ドメイン6: 法的な答えを管轄と契約に結び付ける
法務、リスク、コンプライアンスでは、どこでも通用するかのように法的な答えを1つだけ示すカードは危険です。問いの中に、適用される背景を入れてください。
- 表: クラウド顧客が証拠にアクセスし、計画的に契約を終了する必要がある場合、どの契約条項が重要か?
- 裏: 適用される契約と法律に照らし、監査権、クラウドデータへのアクセス、指標と保証、終了条件、データ所有権、セキュリティ要件を確認する。
データに関する役割のカードでは、owner(所有者)とcontroller(管理者)、custodian(カストディアン)とprocessor(処理者)を、それぞれ同義語としてまとめないでください。steward(スチュワード)も含め、8月版の要綱では各役割が個別に挙げられています。学習対象のフレームワークにおいて、各役割が何を決定し、何を実行するかを覚えます。
8月版の一時的な差分デッキを作る
8月1日以降に受験する人は、安定したカードを残したまま、小さなCCSP 2026年8月差分デッキを追加できます。第三者の要約ではなく、二つの公式PDFをもとに作ってください。
- 答えが出題比重、特定のフレームワーク名、サブドメイン、例の一覧に依存するカードをすべてタグ付けする。
- 新しいサブドメイン1.6と2.9について、焦点を絞ったカードを追加する。
- ドメイン4に、明記されたAPI、LLM、テスト、サプライチェーン、オーケストレーションの詳細が入っているか点検する。
- ドメイン5の17%という出題比重と、改訂された運用上の例を点検する。
- ドメイン3と6について、リスク処理、レジリエンス、プライバシー、フォレンジック、データに関する役割、契約の文言変更を確認する。
- 学習ノートに出典URLと確認日を残し、試験後に長く使えるカードをメインデッキへ統合する。
7月31日までに受験する人は、最終復習の計画をこの差分に置き換える必要はありません。現行要綱の概念理解にも役立つ場合を除き、8月版の内容は試験後の継続学習用に取っておきましょう。
利用が認められた演習問題の誤答を判断カードに変える
演習問題の誤答が役立つのは、プレッシャーの中で見落とした手がかりや、適用できなかった原則が分かるからです。問題文、選択肢、解説を丸ごとコピーすると、冗長なカードになり、教材の利用条件に違反する可能性もあります。
ライセンスを受けた演習教材、またはその他の形で利用が認められた演習教材だけを使い、短い誤答ログを残します。
- ドメインと、自分が下した判断を記録する。
- 利用が認められた教材の解説と信頼できる出典に照らして、訂正内容を確認する。
- 間違った選択肢がもっともらしく見えた理由を書く。
- 再利用できる手がかり、区別、順序のいずれか一つを取り出す。
- 自分の言葉でカードの下書きを作る。
- 別の利用が認められた演習シナリオで、その学びを試す。
たとえば、演習シナリオを通じて、共有責任の所在を確認する前にコントロールを選んでいたことに気付いたとします。そこから作るカードは、次のようになります。
- 表: 共有責任のシナリオでコントロールを選ぶ前に、どの事実を特定すべきか?
- 裏: サービスモデル、関係する資産とデータ、各当事者に割り当てられた責任、コントロールが満たすべき要件。
このカードなら、機密の試験内容を再現せず、判断パターンを残せます。ISC2の試験の秘密保持契約(NDA)では、書面による承認なしに試験の問題、項目、解答を開示または議論してはならないと定めています。教材の利用条件が個人メモを認めている場合に限り、利用許諾済み演習セット2のような非公開の出典ラベルを使ってください。試験ダンプ、記憶をもとに再現した問題、現行の実試験問題だとうたわれる問いは使わないでください。
詳しい演習問題をフラッシュカードに変える手順では、知識の穴、区別、順序、引っかけのパターンをさらに詳しく扱っています。
想起カードとシナリオ全体の演習を分ける
改訂版の要綱によると、CCSPは引き続き、試験時間3時間、100〜150問のCAT方式で、選択式問題と発展的問題が使われます。この情報は2026年8月版の公式要綱に記載されています。
フラッシュカードは、役割、コントロールの境界、法的用語、復旧指標を思い出しやすくします。しかし、情報が不完全で、複数のコントロールに妥当性があり、事業上の優先順位が変化し、時間制限もあるシナリオ問題全体を再現するものではありません。
次の学習手段を併用します。
- 個別の知識と繰り返し現れる判断の手がかりにはフラッシュカード
- シナリオ全体の判断には利用が認められた演習問題
- 運用上の背景にはハンズオン演習や実務例
- カバー範囲と最新用語の確認には公式試験要綱
カードは、その原則を思い出せたかを示します。初見のシナリオは、その原則を選び、適用できるかを示します。
FSRSのスケジュールを別の試験にしない
FSRSは、繰り返し想起する価値のあるカードを選んだあと、その復習タイミングを管理します。CCSPの出題比重を理解したり、技術的な正確さを検証したり、受験日を把握したりするものではありません。
実用的な2026年版 CCSP学習計画は次のようになります。
- 新しい出典からカードを追加する前に、期限の来たカードを復習する。
- 一つのドメインまたは一つの演習セットから、少数のカードを追加する。
- 実際に思い出せた答えに基づいて評価する。
- 曖昧なカードや、採点が何度も難しくなるカードは書き直す。
- 試験が近づいたら新規カードを減らし、複数分野を混ぜたシナリオに多くの時間を使う。
- 8月版の新しい内容が通常の復習に入るまで、差分を見える状態にしておく。
復習間隔を短くするためだけに、実際の出来より低い評価を選ばないでください。普通の日に終えられない速さでキューが増えるなら、価値の低いカードを削るか、新規カード数を減らします。FSRSで試験勉強する方法では、構築、安定化、最終復習の各段階を説明しています。1日に追加する新しいフラッシュカードの枚数では、見栄えのよいカード総数ではなく、使える時間から負荷を見積もる方法を紹介しています。
Flashcards Open Source Appをどう使うか
Flashcards Open Source Appの機能には、表裏カードの作成、ワークスペースデータと対応形式のファイル添付を使えるAIチャット、Again、Hard、Good、Easyで評価するFSRS復習があります。
CCSP対策では補助的に使います。出典を確認済みの試験要綱ノートか、利用が認められた演習問題の誤答ログを作り、AIチャットで一つの学習事項に絞ったカードを少数下書きします。その後、各下書きを公式の出典と照合し、自分で編集してください。残したカードはFSRSで復習します。シナリオ全体の演習には、引き続き適切な利用許諾を得た教材を使ってください。
スタートガイドでは、ホスト版アプリと、ほかの対応セットアップ方法を説明しています。
2026年版 CCSPフラッシュカードについてのFAQ
2026年7月はどのCCSP試験要綱を使いますか?
2026年7月31日以前の試験には、2025年10月1日版を使います。2026年8月1日以降の試験には、改訂版を使います。
ISC2が追加したのはAIの範囲だけですか?
いいえ。AI/MLはすでにドメイン1に含まれ、AI支援型モニタリングもすでにドメイン5に含まれていました。8月版ではAI/MLがドメイン1と2の独立したサブドメインになり、ドメイン4にLLMへの言及が加わり、ドメイン4と5の平均出題比重が変わり、6ドメインすべてで例または文言が改訂されます。
公式要綱の箇条書きをすべて暗記すべきですか?
箇条書きはカバー範囲の地図として使います。思い出せない知識、混同する違い、うまく説明できないコントロール選択、忘れる手順、確認済みの演習ミスをカードにしてください。
CCSPフラッシュカードで演習問題を置き換えられますか?
いいえ。カードは小さな対象の想起を訓練します。利用が認められた演習問題は、シナリオ全体の判断、選択肢の比較、時間配分、試験に近い条件での適用を訓練します。
8月1日以降も古いCCSPデッキを使えますか?
はい。ただし、事前の点検が必要です。安定した概念は残し、要綱に依存するカードを更新し、8月版の差分を追加し、公式PDFと合わなくなった記述を削除してください。
日付を確認し、必要最小限のデッキを作る
受験日に適用される要綱を確認し、6ドメインを現在の平均出題比重でタグ付けし、8月1日以降に受験する場合だけ差分デッキを作ります。役割、区別、コントロール、順序、確認済みの誤答をカードにしてください。小さな想起対象のスケジュールはFSRSに任せ、シナリオ全体の練習は利用が認められた演習問題で行います。
これで、2026年版 CCSPフラッシュカードの役割は一つに絞れます。難しい判断が必要なときに、適切なクラウドセキュリティの知識をすぐ使える状態に保つことです。