はじめに
CISSP試験に合格しました。(2024/4/30)
独学で勉強を進めるにあたって、色々な方の合格・不合格体験記を参考にさせていただいたので、私も忘れないうちに感想を書いておこうと思います。
CISSPとは
CISSPとは、Certified Information Systems Security Professional の略で、(ISC)2が実施しているグローバルな情報セキュリティの認定資格です。
セキュリティの資格は数多くありますが、その中でも範囲が膨大でマネジメント寄りの思考が求められる資格となっています。(赤枠)
学習については公式からトレーニングが提供されており約50万円と高額です。
(自分は試験費用の約11万円のみ)
試験内容
問題は以下の8つのドメインから出題されます。
| ドメイン | 内容 |
|---|---|
| 1. セキュリティとリスクマネジメント | 法律、プライバシー、ガバナンス |
| 2. 資産のセキュリティ | データライフサイクル、メモリの種類、メディアの安全な廃棄手法 |
| 3. セキュリティアーキテクチャ | セキュリティを抽象化した概念の理解(セキュリティモデル)、暗号技術、物理セキュリティ |
| 4. 通信とネットワーク | ネットワーク(OSI, TCP/IP)、無線、ケーブルの種類 |
| 5. IAM | 認証のタイプ、アクセスコントロール、ID管理(SSO,ID連携) |
| 6. セキュリティの評価とテスト | 監査計画、テストの種類、モニタリングの種類、BCPとDR、ペネトレーションテスト |
| 7. セキュリティ運用 | 証拠保全、フォレンジック、ロギング、構成管理、インシデント管理、脆弱性管理 |
| 8. ソフトウェア開発セキュリティ | 開発手法、成熟度モデル、プログラミング、ソフトウェアの評価、セキュアコーディング |
マルウェアの隠し方やメディアの安全な廃棄等を学ぶ際に、メモリなどの低レイヤーも改めて勉強したのですが、セキュリティの視点があることで普通に学ぶよりも楽しくできているなと感じました。
また、各種フレームワークや、これから業務で関わりそうな分野の体系的な知識を身に付けられたのもよかったです。
(参考:CISSPドメインガイドブック)
受験のきっかけ
1.最初に知ったセキュリティの資格がCISSP
2.知名度が高く権威的である
3.社内で取得が推奨されている
4.範囲が膨大なため、プライベートで自分に余裕があるうちに取得しないとタイミングを逃しそう
昨年度はGW明けくらいから仕事が忙しくなってきた印象だったので、忙しくなる前にと思い4月に試験を予約しました。(予想に反して今年度の4月は忙しかったです)
受験の目的
受験にするにあたって以下を心がけて学習を進めました。
- セキュリティの基礎を習得する
- 正しい情報源を参照し仕事に活かせるようになる
- ビジネス・技術のバランス感覚を持てるようになる
- ベストプラクティスを理解する
ベストプラクティスを理解した上でそれには固執せず、ビジネス要件を踏まえてその時点での最適解を柔軟に導けるようになるのが理想です。
自分のこと
- セキュリティ2年目
- コードちょっと読み書きできる
- 資格
- 個人情報保護士
- 情報セキュリティマネジメント
- AWS クラウドプラクティショナー
合格までのスケジュール
去年の夏くらいからまったり技術の基礎(暗号・NW関連)を身に付けはじめ、1月からCISSPに特化した学習を始めました。
| 日付 | 内容 |
|---|---|
| 2023/5,6 | 暗号技術入門、マスタリングTCP/IP読了 |
| 2023/12 | 合格体験記を読み漁る |
| 2024/1 | 年末年始にCISSP公式問題集を解いてみる |
| 2024/2 | TryHackMeで気分転換(結果的にドメイン6の勉強になる) |
| 2024/3 | 試験を予約 |
| 2024/4/29(前日) | 公式問題集で模擬試験87% |
| 2024/4/30 | 本番 |
学習を進める中で業務や社内規定に対する理解度があがったなという実感があり、学習することの意義を感じながら継続することが出来ました。
学習リソース
まず、巷で「CISSP副読本」と呼ばれている本を2冊読みました。
セキュリティの技術は、暗号技術とネットワークで構成されているといっても過言ではないので、この2つを先に身に付けることで発展的な技術が理解しやすくなると思います。
1.暗号技術入門 第3版 秘密の国のアリス
暗号技術入門の鉄板。
共通鍵/公開鍵暗号方式、ハッシュ、デジタル署名、SSL/TLSなどについて初心者にもわかるよう丁寧に説明されている本です。
2.マスタリングTCP/IP 入門編
ネットワークの基礎を身に付けるため。ネットワークが分からないと攻撃方法やアクセス制御等について正しく理解するのが難しい。
3.PEDPIN
こちらのビデオについているPDFがなかなかいい感じにまとめられており、情報を整理するのに役立ちました。(英語訳が併記されていないので日本語で覚えないよう注意!)
4.CISSP公式問題集 Kindle版
唯一の日本語版問題集です。こちらをメインに学習しました。1000問以上あります。
ドメイン毎に、
予習 → 公式問題集 → 反省&復習
を3周くらい繰り返しました。問題集の丸暗記にならないよう、ドメイン全体で問われていることが習得できているか意識しながら取り組みました。
| - | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|---|
| 1周目(%) | 70 | 81 | 71 | 57 | 64 | 64 | 75 | 57 |
| 2週目(%) | 85 | - | 90 | 81 | 85 | - | - | 89 |
| 間違えた問題の見直し | - | 〇 | 〇 | - | - | 〇 | 〇 | - |
5.NIST文書
IPAに和訳がまとまっているページがあるので専門用語が出てきたときは適宜参照していました。
6.晴耕雨読さんのCISSP勉強ノート
他の方の合格体験記に頻繁に登場する勉強ノート。
最初に読んだときは説明が簡易的すぎると思ってしまったのですが、
試験前に読み返したところかなりよくまとまっていて感動しました。
こちらはテキストとして扱うのではなく、自分で調べてまとめたノートの最終形態として目指すべきノートだと思っています。(体系的に理解が進むとこれくらい簡素な説明の方が良いと思えるようになる)
7.英語テキストと問題集
授業についているPDFがおすすめです。こちらを翻訳しながら自分なりにノートをまとめていきました。公式テキストはかなり高く購入できなかったため、体系的な知識がまとまっているこちらのPDFにはかなり助けられました。
試験では自動翻訳が変な場合が多いので、単語は英語で覚えることをお勧めします。
(公式問題集では、AdministratorとCustodianどちらも管理者と訳されていたり、Integrityが完全性ではなく整合性と訳されていたり、Chain of Custody(証拠保全)が管理の連鎖(笑)と訳されている場合がある…)
英語の問題集については実力をはかる目的で2セットを1周しましたが、考えさせられる問題が多く、やっておいて良かったと思います。
8.TryHackMe
最初は気分転換のつもりだったのですが、ドメイン6でペネトレーションテスト手法が出てくるので、MetasploitやBurpsuite,Wiresharkなどのツールやペネトレーションテストのイメージ(偵察→列挙→侵入→権限昇格→横展開など……)が具体的に出来るようになり結果オーライでした!
↓ TryHackMeで学習した内容をまとめているのでよかったら読んでみてください。
公式問題集の解き方
範囲が膨大なため、効率という面ではすでに理解した問題の復習をしないことが重要です。以下のようなスプレッドシートを作成し、2,3周目に理解できていない問題だけ確認できるようまとめました。
また、他の方の合格体験記にも記載されている通り、CISSPの試験はIPAの試験のように過去問が公開されておらず、過去問やこの公式問題集から出題されることもないので、問題の丸暗記は全く意味がありません。そのため、各問題についての理解度を記録し、理解度を上げていくことを重視しました。
公式問題集を解くうえで分からない単語があれば都度調べてまとめます。
こんな単語どこで使うんじゃーという感じのものも多いですが、大事なのは暗記ではなく、概念とメリット/デメリットの理解をしてシチュエーションによって使い分けできるようになることだと思っています。
2周目からは英語で読んで問題を解くようにしていたため、分からない単語があったらまとめるようにしていました。セキュリティの専門用語などは一般的な辞書にないような使われ方をすることがあるので、英単語として覚えておくと良いです。
試験前後
前日
前日に解いた公式問題集模擬試験#1の正答率は86%でした。ちょっと安心。
しかし、高額であること、落ちたらこの膨大な範囲をもう一度勉強し直さなければいけないことにプレッシャーを感じてなかなか眠れませんでした。
前日眠りにつく前に読んだmokeddaさんの合格体験記に、自分と同じような試験直前の心境が綴られており、自分も失敗しても死ぬわけじゃないし、受かったらラッキーなだけだと言い聞かせ、なんとか眠りにつくことが出来ました。
私はセキュリティの専門家ではなく、CISSPの資格がなければ職を失うわけでもありません。よく考えてみると失敗してもお金と時間以外は失うものはなく、成功したら新しいキャリアが期待できるかも知れません。そう思うと肩の力が抜けて楽になれました。
当日
当日は7時半集合だったので、5時に起きて余裕をもって到着。
移動中にまとめたメモと試験の心構え(CISSP的考え方)をまとめたノートを見ながら会場に向かいました。
問題については言及出来ないのですが、迷ったら以下を意識して解くよう心掛けました。
「CISSP的考え方」
- CISSPは技術者ではなくリスクアドバイザーである
- CISSPは上級管理職が意思決定できるように情報提供を行う役割である
- CISSPは問題を修復する役割ではない
- ビジネスを止めてはいけない
- 資産価値を超える対策は行わない
- 人の安全が最優先
- 早い段階からセキュリティを考える
- 一部分の技術的解決よりも包括的な管理とプロセスを重視すること
感想
セキュリティマネジメントに求められる知識は範囲が膨大かつ技術のスピードがはやいので、1つ1つバラバラに覚えるのは至難の業です。
CISSP試験では、現在では使われていなさそうな抽象的なモデル、アーキテクチャなどを覚えさせられるのですが、そういったセキュリティを構成する抽象的な概念を理解することで、大量にある知識を分類し、紐づけ、整理することに役立つと感じました。
もちろん暗記も必要なのですが、それよりもそれらを構成する要素を分解し、整理するといった作業を求められているような気がしました。
業務を通してもこういった知識体系は自然と身につくものだと思うのですが、自分は急いでキャッチアップする必要があり、業務で出てきたワードを毎回調べて覚えている時間はなかったので、集中して取り組んで良かったなと思います。
CISSP には、情報セキュリティにおける理論やメカニズムを理解するだけでなく、その知識を体系的かつ構造的に整理し、状況に応じた適切な判断を行うための、合理的かつ実践的な「知識」と「理解度」が求められます。(CISSPドメインガイドブックより)
さいごに
最後まで読んでいただきありがとうございました。
基礎知識は身についたと思うので、これから仕事を通して理解を深めていければなと思います!
おまけ
気分転換にGoodnoteでまとめたりもしました。
