はじめに
初めてのQiita投稿になります。
Cyber Security業界において、ISC2のCISSPで学ぶ「全体像」や「考え方」は、
Globalでのデファクトスタンダードになっています。
過去に、5ヵ月間で「独学」にて、CC→CCSP→SSCP→CISSPの順に合格しましたので、
今後、学習し受験される方の御参考になればと思います。
先ず、CISSP含め、全て「独学」で大丈夫です。
CC以外のSSCP、CCSP、CISSP何れも、ISC2認定資格保持者からの推薦や、ドメインに対する業務経験が合格の認定の際には求められますが、CCを受験される前段階、詰まり、ISC2 Candidateのような方であれ、CISSP含め、全て「独学」での合格が可能です。
CISSPなどは、昔は、会社の指示等で、それなりに高額の有償トレーニングを受講させ、
試験を受験させるパターンが多くありましたが、近年は市販の教材が充実しています。
尚、CISSP、CCSP、SSCP、CCの何れも、3年おきに、そのコンテンツの更新や、ドメイン比率が変わっていますので、また、試験自体も、例えば、私の頃は、CCSPは、4時間の試験で150問を回答するというものでしたが、最近は、3時間にて125問の回答に変わりました。CISSPは、6時間の試験で250問を回答するというものでしたが、最近は、CAT(Computerized Adaptive Testing)を導入して、3時間の試験で最低100問~最大150問を回答するかたちへ変わっていますので、下記の私の経験は、御参考程度にして頂ければと思います。
CC (Certified in Cybersecurity)
CCに関しては、既にCyber Security業界での経験が長く、実務経験もある方は、
CCの取得は不要かと思います。
これから、Cyber Security業界にてキャリアを積み上げて行こうとしている
実務未経験者の方に、ISC2への最初の入り口として、CCはお勧め出来ます。
現在もまだOne Millionのプログラムが継続されていますので、ISC2から、
CCの自己学習コースと試験が無料で提供されています。
先ずは、ISC2のアカウントを作成し、ISC2 Candidateに登録した上、無料でISC2オフィシャルのOnline Self-Paced CC Trainingを受講した上、CCを無料で受験してみて下さい。
私の頃は、CCのOnline Self-Paced Trainingは英語での提供でしたが、現在は、日本語でも提供されています。
公式 CC eTextbookも$24.95にて有料で提供されていますが、購入は不要かと思います。
公式 CC eTextbookも以前は英語での提供でしたが、現在は、日本語でも提供されています。
私の場合ですが、Online Self-Paced Training(当時は英語版)のみで学習し、CCを受験し合格しました。
CCの試験は日本語での受験が可能です。
実務未経験の方でも、学習は、ISC2オフィシャルのOnline Self-Paced CC Trainingの受講のみで大丈夫です。
こちらの30日間にもあるように、実務未経験の方でも、CCの学習に多くの時間を掛ける必要はありません。
Online Self-Paced CC Trainingの所要時間も、凡そ14時間に過ぎません。
Cyber Security業界にてキャリアを積み上げて行こうとしている
実務未経験者の方は、この年末年始休暇中に、是非、受講してみては如何でしょうか。
CCSP (Certified Cloud Security Professional)
私の場合、CCの後に、CCSPを受験しましたが、それはCloudの実務経験があった為です。
一般的には、難易度は、CC < SSCP < CCSP < CISSP の順に高くなって行きますので、もし、SSCPの取得も予定されている方は、CCSPの前に、SSCPを先に取り組むことをお勧めします。
特に、Cloudの実務経験が無い方は、そのようにすると宜しいかと思います。
但し、SSCP自体が少しlegacyな内容であり、一般的にはあまり需要が無い為、Cyber Security業界での経験が長く、実務経験もある方は、CCSPとCISSPの2つの取得のみに絞って問題無いと思われます。
尚、Cloudの実務経験が無い方は、CCSPの学習の前か平行で、AWS等、任意のCloudの学習をしてから、CCSPの試験に臨んだ方が、より理解が深まり、宜しいかと思います。
CCSPは比較的新しく、Cloudに焦点を当てていますので、既にCISSP保持者の方には、CCSPを後から取得する方々もいます。
私の場合ですが、公式のガイドブックを1回読んだ後、公式の問題集で学習し、CCSPに合格しました。
公式のガイドブックは、当時、日本語版が出た為、こちらの電子書籍を一読したのみです。
公式の問題集は、今でしたら、日本語版が出た為、こちらの電子書籍で宜しいかと思います。
私の場合、当時は、日本語版が無かった為、こちらの電子書籍を購入しました。
CCに合格し、年会費を支払い、ISC2 Memberになっていましたが、ISC2 Memberになると、ISC2 Member Benefitsの1つとして、Wileyの電子書籍が、50% offにて購入出来ます。
このWileyで購入した電子書籍はBookshelfのアプリやブラウザ上では日本語化が出来ないのですが、こちらのSybex Test Banks上になりますが、こちらからSybexを選択し、購入した当該電子書籍を選択し、Answerに答えて、Redeemすると、Google Chrome上にて、ブラウザの日本語翻訳を使用しながら、クイズ形式で問題を解いて行くことが可能になりますので、私は、この方法で、日本語化して公式問題集を解いていました。
CCSPに関しては、Cloudの実務経験があった方がより理解が深まり、望ましくはありますが、合格するという観点では、Cloudの実務経験が無くとも、公式のガイドブックを1回読んだ後、公式の問題集を解き、理解を深めることで、短期間にて十分に合格が可能です。
CCSPの試験は日本語での受験が可能です。
CCSPは、その学習内容自体が、非常に有意義なものになっていますので、お勧めします。
SSCP (Systems Security Certified Practitioner)
SSCPに関しては、上述のCCSPの際に触れましたが、SSCP自体が少しlegacyな内容であり、一般的にはあまり需要が無い為、Cyber Security業界での経験が長く、実務経験もある方は、CCSPとCISSPの2つの取得のみに絞って問題無いと思われます。
今現在、Cyber Security業界での実務経験が無い方も、CCSPとCISSPの2つの取得のみに絞って問題無いと思われます。
私の場合、SSCPに関しては公式のガイドブックは購入せず、公式の問題集のみで学習し、SSCPに合格しました。
公式の問題集は、CCSPの際と同じく、Wileyの電子書籍を、50% offにて購入し、Sybex Test Banks上へ展開し、Google Chrome上にて、ブラウザの日本語翻訳を使用しながら、クイズ形式で問題を解いて学習しました。
Cyber Security業界において、Regulation寄りではなく、実行(実装)寄りの方で、実務経験がある場合は、公式のガイドブックは不要かも知れませんが、もし購入するとすれば、こちらになるかと思います。こちらも同じく、Sybex Test Banks上へ展開すれば日本語化出来ます。
SSCPの試験は日本語での受験が可能です。
前述のように、実行(実装)寄りの方で、実務経験がある方の場合には、かなりの短期間にて、公式の問題集のみの学習で、十分にSSCPに合格が可能です。
CISSP (Certified Information Systems Security Professional)
CISSPは、CCSPと同じく、その学習内容自体が、非常に有意義なものになっていますので、お勧めします。
先述しましたように、Cyber Security業界において、ISC2のCISSPで学ぶ「全体像」や「考え方」は、Globalでのデファクトスタンダードになっています。
Cyber Security業界において、その方の職種が、Regulation寄りであれ、実行(実装)寄りであれ、Globalレベルでの「最大公約数」、「共通の認識、知見」が、CISSPの学習内容へ集約されています。
Cyber Security業界での「あるある」にはなりますが、専門外の方々へは、平易な言葉で御説明しないと話が通じない状況が多々あります。
しかし、御相手が、CISSP等を保持していると、話は早く、気兼ねなく、業界用語で会話することが出来ます。
CISSPの市販の日本語での教材は、公式のガイドブックや、公式の問題集を購入していましたが、どちらも版が古く、結局、どちらも実際の学習には使用しませんでした。
その為、私の場合、CISSPの学習は、公式のガイドブックは読まず、当時、最新の版であったこちらのWileyの電子書籍を、50% offにて購入し、Sybex Test Banks上へ展開し、Google Chrome上にて、ブラウザの日本語翻訳を使用しながら、クイズ形式で問題を解いて学習しました。
私の場合、上記の問題集のみで学習し、CISSPに合格しました。
尚、現在の最新の版の問題集はこちらなのですが、こちらは、現在、Sybex Test Banks上にて、Select your product:に選択肢として表示されませんでしたので、まだ、今現在は、Sybex Test Banks上へ展開し、Google Chrome上にて、ブラウザの日本語翻訳を使用しながら、クイズ形式で問題を解いて学習するようなことが出来ないかも知れません。
CISSPの試験は日本語での受験が可能です。
CISSPに限らずですが、ISC2の試験は、奇を衒った悪問や、意地悪な引っ掛け問題等は無く、正当な良問ばかりであり、きちんと公式問題集で学習し、理解を深め、覚えるところは覚えて、試験に臨めば、どなたでも普通に合格すると思います。難しくはありません。
おわりに
CISSPに合格したら、直ちに、Cyber Security Professionalかと言うと、残念ながら、全くそのようなことはなく、Cyber Security業界における「常識」を備えたという程度に過ぎません。
Cyber Security業界では有名なPaul Jerimy氏のSecurity Certification Roadmapがありますが、Cyber Security業界には数多くの職種があり、それぞれの専門分野にてCISSPよりも高度な専門的認定資格はいくらでもあります。
また、Cyber Security業界は、常に、Globalである為、基本的には、USやIsraelの最新技術を追うことになりますが、取り分け、Regulation系ではない、実行(実装)寄りのCyber Security ConsultantやCyber Security Architectの場合、インフラやアプリケーションの最新技術も常にキャッチアップし続けなければ、それらへの脅威防御対策の実装が出来なくなってしまいます。
資格に関しても、DoD(アメリカ国防総省)のDoD 8140で指定されているCertificationには、ISC2以外には、SANS(GIAC)、EC-Council、ISACA、CompTIA、Cisco Systems等があり、それらが軍事の実戦現場での素養として求められています(DoD 8140には指定されていませんが、MSSP、SOC系の方にはOffSecも人気があります)。
また、常に、USでの動向を追う必要がありますが、例えば、USでのCybersecurity Manager、Cybersecurity Engineer、Cybersecurity Architectに対しての需要数、年収、求められるスキル、要求される認定資格等は、Cyber Seekで把握出来ます。
CISSPに合格しても、Cyber Security業界における「常識」、「素養」のうちの1つを備えたに過ぎない為、Professionalであり続けるには、常に、最新のインフラ技術やアプリケーション技術、最新の攻撃手法、防御手法、自律化手法等々、追い続け、キャッチアップして行かなければならない状況にあります。
また、Cyber Securityに関しては、1つのエンタープライズに留まらず、広域には、金融市場への犯罪、軍事(戦争)、テロ行為、諜報活動等々、常に、Internet越しに様々な脅威に面しており、国際政治、地政学含め、様々な方面へのアンテナを常に張っていなくてはならない状況にあります。
長々と書いてしまいましたが、Professionalであり続ける為には、上記のような継続的な研鑽はCISSP取得後も必要なのですが、それでも、この業界の「常識」、「共通の認識、知見」を学ぶことは、御自身のキャリアにおいて有用かと思われ、CISSPの学習、取得は非常にお勧め致します。