先日CISSP(Certified Information Systems Security Professional)を受験し無事に合格した。
これから受験しようとしている・受験を悩んでいるという人たち向けに、私が行った試験対策について残そうと思う。
試験の内容については、例のごとくNDAがあるので述べることはできないので、あくまで私の勉強方法+αについてのみ書いている。そこんとこ悪しからず。
CISSPとはどんな資格?
資格の概要
この記事を見ている人なら当然知っているだろうが、CISSPはアメリカのISC2という団体が実施している国際資格のこと。
サイバーセキュリティの専門資格だが、技術というよりはマネージメントより。
CISSPのPはプロフェッショナルのPなので、エンジニアでもマネージャーでも社長でもなく、プロフェッショナル(?)になるための資格ということになる。
日本の資格ホルダーは2022年1月現在で3000人ちょいしかいないので、国内ではけっこうレアな資格にはなるが、海外ではわりかしメジャーっぽい。
調べてみると、世界中では15万人以上が資格保有しているっぽい。
ちなみに国別の保有者数は下のURLから見られる。
登録者の半数強がアメリカの人らしい。
ちなみに、隣国中国は3866人、韓国は2122人。台湾は465人いるよう。
CISSP一人だけの国も多々ある(コンゴ、ジブラルタル、ほかにもいろいろ)。
登録者が一体何者なのか非常に気になるところ。軍人?
試験の難易度
個人的意見にはなるが、世の中の評価ほど難しい試験ではないと思う。
ネット検索をすると「応用情報と同程度かそれ以下の難易度」という記事があったが、これは完全にエアプなのでスルー推奨。
CISSP試験は支援士試験より確実に難しい。
情報処理技術者試験の系譜を踏んでいないことも理由にあるが、セキュリティに関する抽象的な考え方はもっと深いものを求められるし、決まりきった設問と解答のパターン(「改ざん防止→耐タンパ性!」みたいな)もほぼないからだ。
それに加えて、試験対策もやりづらい。
ハウツー本はないし、日本語の問題集は世界に1冊しかない。
ただ、だからといって合格するのがめちゃくちゃ大変かといえばそんなほどでもない。
こちらのサイトでは、支援士試験の偏差値を「67」としているが、CISSP試験もこれに則るとしたら、個人的には+2で「69」くらいのイメージ。
偏差値60台後半からの+2はなかなかハードではあるが、67までたどり着いた人であれば、+2くらいなんてことはなかろう。
支援士程度の前提知識がある人が順当に勉強すれば、そんなに時間をかけなくてもすぐに合格圏に到達するだろう。
支援士試験に合格した?さっさとCISSPの勉強を始めよう!
学習開始前のスペック
サイバーセキュリティ経験としては、デジタルフォレンジックとかいうニッチな領域に多少専門性があり、あとは事業会社での技術的なセキュリティ運用。合わせて5年ほど。
保有資格は情報処理安全確保支援士とGIAC認定(GCFE)。愛読書は日経ネットワーク。
セキュリティやネットワークの基礎はアッサリとはわかっているというレベル。
業務経験や保有資格からわかるように、けっこうというかガッツリと技術系セキュリティなので、企業のポリシーとかガバナンスといったマネジメント分野のことはさっぱりという状態から勉強を始めた。
使用した教材
別ページにまとめた。
学習の記録
CISSP受験を決意
ある日、思い立った。
「そうだCISSPを取ろう!」
情報処理安全確保支援士を取得してからというもの、「この資格で満足してていいのかなぁ」「転職や副業の案件探しでハク付けできるような資格があったほうがいいかもなぁ」と漠然と思っていたところ、妻が子供と帰省して急にヒマになったので、なんか勉強でもするかーとなったのがきっかけ。
公式ガイドブックの通読→即挫折
ひとまず、公式ガイドブックを入手し、資格試験のセオリーとしてパラパラと読み始めたが、あまりの情報量に2時間ほどで心が折れる。
その分厚さもさることながら、内容も文字ばかりで超退屈。一向に理解が進まない。
ただの睡眠導入ソリューション。
多分内容自体はしっかりしたものなのだろうが、あまりにも分厚すぎたのよね…
このガイドブックはまさしくセイバーセキュリティ用語辞書。
これを読んで勉強するのは、「ニホンゴマナビタイ」と話す外国人が、勉強のために国語辞書を読み込むようなもの。
ドラゴンボールとか読んでたほうがずっと身になるだろうよ。
そういうことでこれを読み通すことはあきらめた。
学習方針の決定
CISSPは難しい資格だとは方々でいわれているものの、所詮は資格試験。それも4択。
できるだけ少ない勉強量でさっさと合格したかった。
ネット上の数少ない合格体験記を漁り、自分なりに合格への最小公約数的要素を特定し、最終的に学習方針を
- 公式ガイドブックは無視する
- ひたすら公式問題集を解く
- 用語は暗記アプリで通勤中に暗記する
に定めた。
ひとまず、サイバーセキュリティに関する体系的な勉強は置いておいて、試験に合格することだけを目標に据えるスタイル。
実際の学習スケジュール
下のスケジュールで学習を行った。
勉強開始からきっちり40日で学習を完了しており、合計勉強時間は60~70時間ほど。(通勤時間含む)
これでも子育て世帯なので、勉強可能な時間は通勤中と会社の昼休み、あとは子供が寝た後の夜間程度であり、結果的にフルコミットしている。(独身のうちにもっと勉強しておくべきだったよ…)
| 1日目 | 公式問題集-問題演習1周目- | ドメイン1から解き始める |
| 20日目 | 公式問題集-問題演習1周目- | ドメイン8まで解く 各ドメイン正解率:60~78% 全ドメイン平均:66% |
| 21日目 | 公式問題集-問題演習2周目- | ドメイン1から再度全問解き始める |
| 34日目 | 公式問題集-問題演習2周目- | ドメイン8まで解く 各ドメイン正解率:74~86% 全ドメイン平均:82% |
| 36日目 | 公式問題集-模擬試験1- | 正答率:81% |
| 37日目 | 公式問題集-模擬試験1- | 正答率:96% |
| 38日目 | 試験申し込み | 「これはいけそうだ!」と思い試験に申し込む。 なんと受験は2日後。 |
| 39日目 | 公式問題集-模擬試験2- | 正答率:73% 落ちるかもと不安に |
| 40日目 | 受験 | ピアソンプロフェショナルセンターで受験 合格する |
CISSP試験の攻略情報(※すべて個人の感想です)
公式問題集を解くうえで意識したこと
公式問題集はなかなかよくできており、各ドメインごとに100問程度の問題と、模擬試験(125問)が4セットもついている。
合計して1300問もあってなかなかのボリューム感。
問題を解くうえでは、一問一問を丁寧に解くように心がけ、正解の選択肢だけでなく間違った選択肢の内容もしっかりと考察して、「なぜこれが答えなのか」を論理的に導けるように意識した。
結果として、これは正しい解き方だったと思っている。
知ってのとおり丸暗記で受かるようなヤワなテストではないので、情報処理技術者試験の過去問道場よろしく、1時間で100問以上を回答するようなやり方は絶対ダメ。
あと、各ドメインの単語は暗記アプリに突っ込んで通勤中にひたすらまわし、夜は問題演習をするという流れだったためか、インプットとアウトプットのバランスが非常によく、効率的に学習を進めることができたと感じている。
結果、各ドメインを2周したあたりで、成長曲線における2回目のブレイクを体感して受験を決意できた。(たいていの資格試験は2回目のブレイクで合格ラインに到達と個人的に思っている)
それと、問題集を解くうえでの脳みそのチューニングという観点では以下のQiita記事が最高に役立つ。
なんかもうタイトルの時点でだいぶおかしな人をイメージしてしまうが、記事自体はクオリティMAXなので熟読することを推奨する。
ただ、CISSP試験において、この人と私は同じくらいの勉強時間であるものの問題演習スコアは私の遥か上をいっており、おそらく地頭がめちゃくちゃ良い。簡単には真似できないと思っておいた方がいい。
それと、問題集を解くときには1問ごとに
- 〇・・・問題の意味がわかって、答えも理解したうえで正解(復習の必要低)
- △・・・問題の意味がわからなかったけど、なんか正解
- ▲・・・問題の意味はわかったけど、不正解(意図の読み間違え?単純ミスなら大バカ者)
- ×・・・問題や選択肢がイミフで不正解
を記録していき、最終的に下のような形で表計算ソフトにまとめておいた。
これは結果的にめちゃくちゃ良かった。
簡単な表だが、成長や進捗を十分可視化できるため、モチベーション維持や受験タイミングの見切りに良い効果アリ。
ちなみに、上の〇とか▲とかはこちらを参考にさせてもらった。
用語の暗記について
用語の暗記にはネットで評判のAnkiというアプリを使用。
PIEDPINというCISSPお勉強サイトの用語をコピペして単語帳(csv)を作り、それをiPhoneアプリにインポート。
ひたすら通勤中とお昼休みにまわした。
合格に必要な用語の大半はこれでまかなえたと感じている。
このサイト、なんだか日本語が怪しかったり、若干間違えもあったりして信頼性はそこまで高くないが、試験に受かるだけなら問題ない。
用語の知識なんて7割方合っていれば問題は解ける。
ただ、問題集を解いていると、カバーできていない用語も出てくるので、以下のサイトでカバー。
個人サイトであり、「 あくまで備忘録程度で、内容の正確性は保証しません」と書いてある。間違っているのかもしれないが信じてこのまま理解してOK。
必要なのは最短努力で試験に受かることで、完全無欠の知識を手に入れることじゃないでしょう?
あと、これらだけでは不足もあるので、以下のサイトでも追加カバー。
特にIPAのサイトは必須用語「BIBA」「Bell-LaPadula」などをわかりやすく解説していて超オススメ。
家スタディのサイトは、IPAよりも簡潔でわかりやすいので、そちらを先に読んだ方がいいかもしれない。
CISSP的な考え方とやらについて
あと、CISSPの合格体験記をネットで調べていると、必ずと言っていいほど「合格にはCISSP的な考え方が必要だ」という言説をよく見かけた。
なんとも意味の分からない言葉で、調べても調べてもその考え方とやらは見つからない。
さらには「公式セミナー(50万円)を受講しなければCISSP的考え方は身につかない」と書いた記事もあった。
50万円?????????
( ゚Д゚)ハァ?
私は会社では雑魚の下っ端。CISSPセミナーを恵んでいただけるほどの評価や期待などない。人並みの財力すらない。
私の保有資産で一番高いものはTOSHIBAの乾燥機能付き縦型全自動洗濯機である。
無い袖は振れないので、結局愚直に公式問題集に取り組むことに。(最終的にこれは正しかった)
そして最終的には「あぁこれがCISSP的考え方ってやつかぁ」と見切ることができた。
完全自己流!迷った時の問題解法9か条(※個人の感想です)
問題集をまわす過程で重要そうな考え方をメモしていた。
誰かの役に立つかもしれないので晒しておく。
ちなみに私がメモしていたのは主に見出し部分で、あとはブログを書きながら適当に追記したものになる。
あと、これらは勉強中に私なりに言語化したものなので、もしも流用するとしたら額面どおり捉えないでほしい。
演習の過程で自分なりの表現に変えていき、最終的にマイ〇か条を作るのがいいと思う。
補足だが、これらは公式問題集を解く過程でメモしたものであり、本番試験のことは考慮されていない。(NDAあるからね!)
1.回答ミスの半数は問題の重要ワードの読み落とし
問題文は全文が重要キーワード。
雑魚資格試験とはそこが違う。エイヤッは厳禁!
ゆっくり慎重に読め。
2.視点は常にビジネス目線
CISSPはつよつよセキュリティエンジニアではない。
CISSPはビジネスを護るためのセキュリティプロフェッショナルだ。
エンジニアリング面での最良の選択をするのではなく、ビジネスにおける最良を常に選択する。
3.残り二択になれば①重大な方②マネジメント目線の方を選ぶ
CISSPはビジネスのために働いている。だから、①ビジネスにおいて影響度の大きな判断を常に強いられる。
そして、②エンジニアとしての考えは捨て、マネジメント目線で物事を判断していく必要がある。
4.わずかな文章表現は気にしない。答えは論理的に導ける。
大事なことは言葉の意味を考察することではない。
論理的に導けるように問題は作られている。
5.全く知らない用語は考えてもムダ。フェイクと思って割り切る。
十分な学習をしてもわからない用語というのは、運が悪かったか、そもそも解かせる気がない問題と思っていい。
無視しろ。どうせ25%の確率で正解する。
6.エスパー問題は数パーセントある
「えっ、そこっすか?」はどんな試験でもある。
出題者が間違ってクソ設問を作ってしまうのだ。
人間が作問する以上仕方がない。無視しろ。諦めろ。みんな解けない。
7.論理的かつ具体的な唯一の回答を選ぶ。なければ段階的に抽象化して一番マシなのを選ぶ。
ほとんどの問題は論理的に回答を選べる。(思考を放棄しなければ)
見つからないとしたら用語や概念の抽象化が足りていないだけ。
もっと各用語をふわっとした感じにして考え直せ。
8.用語が抽象的で意図がつかめない?もう一段階抽象化するか、文脈上当然に付随する概念を付与する。
登場する用語の抽象化を繰り返す方法と、文脈から読み取る方法がある。
文脈から読み取るというのは、「社内サービスで自らパスワードリセットができる→そりゃ当然本人がパスワード再設定するよな」と推測(憶測?)するような感じ。
9.南斗白鷺拳では南斗鳳凰拳に勝てない
なぜシュウはサウザーに勝てなかったのか?
視力を奪われていたからという説がある。
このサイトから引用すると
事実、ケンシロウが水影心で使用した伝衝烈波に太刀打ち出来なかったのは、目が見えないからである。
伝衝烈波自体が強力な技とも考えられるが、レイが手こずったのは足の動きを封じられていたからだし、いくら北斗神拳伝承者でも本家より極められる事はないと思う。間合いを保とうが、意表を突こうが、また、気配を消せようが心眼が養われようが、やはり盲目の時点で不利なことに変わりはない。
「この道場で奴と互角に闘えるのはオレ一人」
これは、アニメ版でシュウが名乗り出た際にサウザーがラオウに言った言葉だ。
よく考えて欲しい。アニメ版のみとはいえ、サウザーはサウザー。
「敵は全て下郎」がモットーであるサウザーがこのような発言をするのは物凄いことである。
「倒せる」ではなく、「互角に闘える」ということは、南斗最強であるサウザーも認める強者であるということだ。
盲目でなければ、サウザーにも負けず劣らずの実力があったということ。
このように、かつては南斗六聖拳として同格の強さを誇っていたシュウとサウザーだが、北斗の拳本編ではどうだっただろうか?
そう、シュウは完敗した。
手も足も出ずに(?)サウザーの南斗鳳凰拳に敗北したのだ。
その理由について、上のサイトではシュウが盲目となった故に敗れた可能性が示されている。
こんな北斗の拳トークから、CISSP試験についていったいどんなことが示唆されるというのか?
簡単なこと。
目をつぶらずに英語を読め。
PrimaryとかMustとかPriorとかFirstとか、最低限その辺のニュアンスだけでもいいから、英語を読め。
そして本番試験
本番試験はピアソンのプロフェッショナルセンターで受けることになる。
日本では大阪と東京の2か所にしかなく、遠方の人は泊りがけで受けに来る必要がある。
当日の持ち物
6時間の長丁場テストなので、軽食は必須。
ただ、試験開始したらあんまりお腹はすかないし、食べ過ぎて頭がぼーっとするのは最悪なので、腹ペコを回避する程度の量でいいと思う。
私はトッポ1/2箱と100円くらいのチョコブラウニー1/2本を食べた程度だった。
身分証としては運転免許証とマイナンバーカードでクリア。
ピアソンでの試験で必要な身分証については以下参照。
私はいらなかったが、試験室はちょっと涼しめなので、寒がりの人は薄手の上着を持って行ったほうがいい。
ただ、冷房直撃席に配置されるとたいていの人は6時間以内にお腹ピーピーすると思うので、なんにしても上着はあったほうがいいかもしれない。
あと入室時に眼鏡を毎回試験官に渡してチェックしてもらうことになるが、私のメガネフレームは子供に捻じ曲げられてぐちゃぐちゃだったので結構恥ずかしかった。
いざ試験開始
テストを始める直前には、試験内容への同意がある。
英語で「同意するならYESを押して進んでね」的なことが書いてある。
ちなみに、ここでNOを選ぶとその時点でBAD END(不合格&試験費用も返ってこない)を迎える。
いつも凡ミスばかりのそそっかしい人は、この瞬間こそ山場。
試験開始後は、120/190/220/あたりで休憩をする。
休憩中は、脳みそに血を通わせるために通路でひたすらダイナミックストレッチ。
掃除のおばちゃんに「えっ?」みたいな感じで見られていたが、その辺は割り切って無視。
最終的に5時間ほどで解答完了。
解き終わった瞬間は「絶対に落ちた。二度と受けない。受験料はムダ金だった。けどもしかしたら受かっているかもしれない」と頭の中がグルグル。
精神的・肉体的に極度に疲弊していたためだろう。明らかに正気を失っていた。5時間は長すぎたのだ。
結果レポート
試験官を呼び、終了したことを告げると、「あちらの窓口で結果のレポートを受け取ってください」と言われる。
レポートを裏返しで渡され、ドキドキしながらめくってみると・・・なんと「おめでとうございます」の文字が!!!!
嬉しさのあまりその場でガッツポーズ!
(翌日にはエンドースメントの案内メールが届いていた。)
まとめ
合計60~70時間の勉強時間で合格できた。
我ながら非常に効率的な学習パターンを実践できたと満足している。
ひとえに公式問題集のクオリティの高さのおかげだった。
ただ、受験当時の知識量・解法スキルは万全のものではなく、もう一度受けて必ず受かる自信はない。
おそらくギリギリだったのではなかろうか。
「安全に一発合格したい」という人は私のスケジュール・スコア感よりもうちょっと上のレベルまで演習を進めて受けた方がいいと思う。
あと、CISSP的考え方とかいうおかしな言説に惑わされる必要はない。
セミナー無しでも十分合格可能なので、余計なことを考えずに愚直に丁寧に公式問題集を解こう。
受験する人はぜひとも一発合格目指して頑張ってください!世の中のイメージほど難しい試験ではないから、ちゃんと勉強すれば必ず受かるよ!!
コメント
初めまして。コメント失礼します。
CISSP受験を検討しています。とりあえず公式問題集を買い、これから勉強開始しようとしていたところです。
お尋ねしたいのですが、記事にある「暗記アプリ」はどんなアプリを使われてましたか。またどういう使い方をされてましたか。ぜひ参考にさせていただきたいです
こんにちは。ブログをご覧いただきありがとうございます。
使っていた暗記アプリは、「Anki」です。
有料でクセもありますが、優秀なツールです。
使い方は
・PCでドメインごとの単語リスト(csv)を作ってスマホと共有
・通勤中や昼休みなどのスキマ時間にひたすらスマホで暗記アプリをまわす(薄く広い理解を目指して←四択資格なので)
・単語リストは基本的に「PIEDPIN」というCISSP対策サイトの用語集からコピペして作成し、問題集からもいくらか追加
・単語リストは学習を進めながら都度最適化
といった感じです。
ブログのトップからTwitterアカウントがありますので、
そちらからご連絡いただければ、個別でもお答えしますね!
早速ご教示いただきありがとうございます。
参考にさせていただき、合格目指します