先日CISSP試験に合格した。
合格体験記はこちら。
この試験に向けた勉強の過程で、ほかの人たちの合格体験記を探して読んでいたが、その時にしばしば見かけたのが「合格にはCISSP的考え方が必要」という言い回し。
おそらく、CISSPの勉強をしている人の中にはモヤモヤを抱えている人もいると思うので、参考になるか自信はないが、私なりの解釈とかを書いていこうと思う。
NDAがあるので試験自体について述べるわけにはいかないので、あくまで公式問題集ベースの話という前提なので悪しからず。
CISSPとは
サイバーセキュリティの国際資格のひとつ。
まぁまぁムズめなので、勉強する価値はあると思う。
国内では(2022年1月現在)3000人ちょっとの資格保有者数なので、わりかしレアな資格にはなってくるが、情報処理安全確保支援士の次に目指すにちょうどいい難易度なので、興味がある人は受けてみるといいだろう。
受験料10万円だがな。
試験に関するネットでの風説
CISSPはちょっぴりレアな資格なので、ネット上で合格体験記を探してもそんなにたくさんは見つからない。
とはいっても、Qiitaでは5つか6つはサクッと見つかるし、個人ブログのような記事(弊サイトもそうだが)もいくらか存在している。
そういったサイトを見ていると、「この問題集を使った」「この参考書がよかった」「このWeb問題集オススメ」などと有用情報がたくさんあり、なかなか有用。本当に試験に役立ったので、先人たちに感謝したい。
ただ、ほとんどの合格体験記に共通なのだが「試験合格にはCISSP的考え方が必要だ」という言葉が多くのサイトに書いてあり大変気になった。
そして、恐ろしいことにこのCISSP的考え方なるものについて、詳しく触れてくれたサイトはまったく見つからないのだった。
これには大変困った。
「CISSP的考え方」に対する私なりの考え
正体は単なる「解法」
試験合格後、自分なりにこの考え方とやらについて結論付けることができた。ひとことでいうと
CISSP的考え方=問題文から答えを導くための思考方法
みたいなものと思っている。
「そんなことはわかっとる」
お怒りはごもっともだが、私はこれ以外に答えを持ち合わせていない。
ちょっと例を挙げてみると、算数のテストで因数分解するときには、定石の手順をイメージして、「これで解けそうだな」とあたりをつけて解き始めるだろう。
情報処理安全確保支援士の午後問であれば、サーバとエンドポイント間の通信経路を指でなぞりながら脆弱な部分を探したり、オーバーフローしそうな変数に鉛筆でマークをつけながらトレースしたりするだろう。
これらは答えを導くための、定型的な思考方法であり、この思考法がないと正解することはできない。
CISSP試験においても当然同じものは必要になる。
問題文に「Johnはmuchipopo社のセキュリティ専門家である。〇〇の問題があって××の対策を行う必要がある。次のうち、最も優先的に行うべき対策はどれか。」などと出題されるので、
- 選択肢を絞り
- 残った選択肢の構成要素を比較して
- 正解(最良の選択肢)を見つける
という手順を踏む必要があるのだ。
上の手順を正しく行うためには、正しい思考が必要で、それがひとくくりに「CISSP的考え方」と言われているということが今ではわかる。
「CISSP的考え方」を身につけるにはどうするか
聞くところによると、公式セミナーに出席すれば、講師がこの考え方なるものをじっくりと説明してくれるらしい。
とはいっても、そんな50万円もするようなセミナーをほいほいと受けさせてくれるほど日本の会社は教育熱心ではない。
それなら自腹で受講?ムリムリ!!
そうなるともう独学しかない。
そんな独学派はどうやって「CISSP的考え方」を身につければいいのか?
これまで受験勉強や社内検定、資格試験でやってきたとおりのことをするしかない。
そう、愚直に問題集を解くのだ。
CISSPの公式問題集には1300問もの想定問題が載っており、これらの中には単純な知識問題もあれば、前述の思考手順をガッツリ求めてくるような難解な問題もある。
特に後者については、じっくりと考えながら「なぜこの答えになるのか。そしてなぜ他は不正解なのか」を腹落ちするまで深堀りし続けるしかない。
そうすればすぐに気づくだろう。
(あくまで公式問題集により得られる知見としてだが)この試験が「論理的に正しい唯一の選択肢を選ぶ」のではなく、「一番マシっぽい選択肢を選ぶ」ものだと。
そう、一番マシな選択肢ではなく、「マシっぽい選択肢」を選ぶのだ。
このための思考過程こそが「CISSP的考え方」であり、問題を解くための思考法なのだ。
思考法を身に着けるためには、ほかの試験同様問題集を解いて脳みそをCISSPモードにチューニングして独特の思考法を習得するほかない。
私もこの考え方とやらをイチイチ説明したい気持ちはヤマヤマだが、
- セキュリティの総合格闘技みたいなテストで、技術とマネジメントも入り乱れており、非常に複雑な思考が必要
- 英語で解釈するパターンと、日本語訳で解釈するパターンで思考に差異が生じる
- おそらく個人のバックボーンで抽象→具体のイメージが異なるため、人によって思考方法が変わる
ため、言語化は無理。
(おそらくそのため、「CISSP的考え方」とかいうタンパクな表現がでまわっているのだろう)
ためしに例としてオリジナル問題を1問挙げると
ジャックはペンギンアロハインダストリーのセキュリティプロフェッショナルである。ある日、同社で公開中のWebシステムのOSSプラグインに重大な脆弱性が発見された。このOSSプラグインがなければシステムは稼働できない。ジャックが優先して行うことはどれか。
1.代替となるプラグインを探し、Webシステムに適用する
2.脆弱性を評価し、システムへの影響度を測定する
3.Webシステムを停止させてサービス提供を中断する
4.プラグインのみを停止し、最小機能でWebシステムを稼働するという問題があったとする。
正解はどれか?
↓
↓
↓
↓
↓
↓
「2」が正解。
なんで????となることもあるだろうから、簡単に解説すると
1・・・ジャックはあくまでセキュリティプロフェッショナルとして在籍しており、システムのアップデートや要件変更、構成変更はメイン業務ではない。また、脆弱性評価をせずにシステム変更をすることはできない。
3・・・Webシステムを停止させることは、サービス提供を不可能にすることであり会社にとって大きな損害になる。セキュリティの最終ゴールとは、事業を継続させて利益を生み出し続けること。つまり、エクスプロイトを完璧に防げるからといって、サービス中止して現在と未来の利益を失うのは下策。
4・・・問題文に「このOSSプラグインがないと稼働できない」って書いてる。よく読もう。
この点2は、発見された脆弱性の重大度を評価し、今後の対策考案フェイズでの土台にしようという選択肢だ。
セキュリティプロフェッショナルは何を隠そうリスクアセスメントと対策を実施するプロフェッショナルであるし、この評価過程なくしては他の対策も打ちようがない。
この選択肢は一番マシっぽい。
ということになる。
ここで大事なのが、問題文最後の「優先して」という表現。
ある程度問題集を進めた人ならピンとくるが、実はこの問題の出題形式では「最初に対応することは何か?」という意図で質問されている。
そうなると、脆弱性や脅威の大きさ、影響の評価が正解となってくる。
これがないと何も始まらないからね。
まったくもってシックリこないと思うが、これが「CISSP的考え方」=「問題を解くための思考法」の例になる。
「こんなのわかるわけねー!!」と思うかもしれないが、しっかりじっくりと問題集を解いていればいずれ身につくので、安心して愚直に苦しみながら勉強すればヨシ。
「CISSP的考え方」無しではどうなるか
ところで、この考え方がない状態で試験を受けるとどうなるのか。
これはあくまで私の周辺という観測範囲の狭いところでの情報になるが、「CISSP的考え方」に一家言無く受験していた人たちは、全員不合格であり(人によっては何回も落ちている)、確実に試験後にブチギレしていた。
ブチギレした人々がいう言葉は基本的に以下のとおりだ。
- 選択肢の中に明確な答えがない
- 正しい選択肢が複数ある
- 出題の意図が不明
- この試験はなんかオカシイ
これらの意見は私にとってはどれも的外れであり、残酷だが「単なる準備不足」で切って捨てられるようなもの。
上のブチギレ意見はいずれも、ある程度選択肢の絞り込みはできたけれど最終的な判断ができなかったり、知識不足・演習不足で問題文を正しく読めなかっただけに過ぎない。
特に前者の方は、「CISSP的考え方=答えを導くための思考法」がなかったために太刀打ちできなかったといういい例だろう。
CISSP試験は情報処理技術者試験の系譜を踏むものではなく、そもそも外国の試験。
必要な準備から間違っているパターンだろう。
結局やることは一つ
CISSP試験も結局は地球上に存在する1つの資格試験。それも四択問題。
合格したければセオリーに従ってひたすら問題集を回し、自分の中で思考順序を確立するしかない。
逆に言うと、それだけでいいということ。
ごちゃごちゃ言わんとさっさと問題集出して解こうぜ。
まとめ
「CISSP的考え方」という風説には非常に悩まされた。
あくまで私なりの考えを書いたものなので、あまり鵜呑みにはせず、愚直に問題集をまわしてくだされ。
コメント