CISSPの試験をうけて受かりました。想定していたよりも短期間で合格できた喜びで受験記というのを書きます。一部でも参考になれば幸いです。
CISSPについて
有名な人気セキュリティ資格です。IT試験の中では受験料が飛び抜けて高額で、5年以上の関連する業務経験必須、試験は6時間と、ハードルは色々高いと思います。
- よくある資格ランキングではだいたい4~5位ぐらにいます。→よさそう
https://www.techrepublic.com/article/highest-paying-certifications/ - CISSPが、英国の修士号標準と同等であるとみなされました→よさそう。
https://japan.isc2.org/blog2020/cissp-comparable-to-uk-masters-degree-standard.html - 航空自衛隊がCISSPの資格保有者を募集!→よさそう
https://twitter.com/jasdf_pao/status/1508277703073435660
私
- サーバーとかDBとかのITインフラのエンジニアをしています。
- セキュリティを専門の職にしたことはありません。
- セキュリティが厳しいお仕事は、とにかくがんじがらめで自由がないし、楽しくないし、苦手だなというイメージでした。
- 英語は嫌いではない。
- 中年
動機
- 難関CISSPかっこいい・うらやましい
- 勉強したらセキュリティ界隈が好きになれるかも
- 名刺にCISSPって書いたらお客さんが私の話をいまより聞いてくれるようになるかも
- しばらくやっていた競技プログラミングが完全に伸び悩んでしまったので、次なる目標としていいなと思ってはじめました。
学習について
学習方針
行き当たりばったりで始めたので特に方針はなかったのですが、試験は習うより慣れよが楽なので、CISSPもそれでいくつもりでした。
動画教材
これしか見ていませんがおすすめできます。
CISSP Exam Cram Full Course (All 8 Domains) UPDATED - 2022 EDITION!
英語ですが、ゆっくり話してくれるのでわかりやすい。意外とCISSPは難しくなさそうと思えたのはPeteさんの動画のおかげです。説明欄に資料が全部ついています。この資料だけでもとても価値が高いです。
書籍教材
CISSPは人気なので(英語の)本はたくさんあります。英語の公式ガイドブックを買いました。
(ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide & Practice Tests Bundle
テキストと問題集のセットです。どちらも2021年刊行。オンラインで1年間練習問題にアクセスできる権利がついてきます。私は問題練習はオンラインでやって、紙の練習問題は使うところまで行けませんでした。オンラインと書籍の問題が同じかどうかは不明ですが、問題数が違うので多分違います。
日本語だとCISSP CBK公式ガイドブックがあります。Amazonで27,500円と高価な本です。英語の本読むのが辛くて素直に日本語の本を買っておけばよかったと後で思いました。ただ日本語の本は内容が少し古いです。
勉強方法
以下を行ったり来たりする感じでやりました。後半は受験日を無理っぽい日付にセットして自分を追い込みました。
- 動画視聴(Pete動画)
Peteさんの動画は全部見ました。英語なので辛いですが発音はとてもわかり易いと思います。これが無料なのはすごいです。全体の雰囲気を掴むのにはとてもいいと思いますし、大事なポイントも強調されています。 - 練習問題
結局これが一番効果ががあったかもしれません。雰囲気がわかるのでいいと思います。英語でやりました。単に日本語の問題集をもってなかったのと、アメリカ生まれの試験は英日翻訳の品質問題で難易度が上がるケースがままあるからです。結果的に無駄にハードモードになったと感じています。8割ぐらいやりました。 - 動画の付属テキスト(Pete資料)
動画で使われているPeteさんのスライド資料は説明欄から別途ダウンロードできるので、一通り読みました。練習問題で出てくるトピックがたくさん取り上げられていると思いました。良い資料です。これは本当に良い資料です。英語辛かったらDeepLが助けてくれます。 - ガイドブック
ガイドブックもDeepLの力を借りて半分ぐらい読みました。とくに私はドメイン序盤が難しかったので頑張って読みました。Peteさんの資料だと簡潔すぎてわからないところが理解できたりもしました。しかしながら、投入したワークに対して効果が一番低かった対策であったという印象です。 - Discord
こちらのCISSP勉強会discordチャネル に参加しました。問題集だけやってりゃどうにかなるべと思っていた私が考えを改めるきっかけになりました。また再受験無料キャンペーンを教えていただいたのもここです。ありがたいです。
勉強時間
2ヶ月ぐらいです。詳細はメモっていないので不明です。前半1ヶ月は色々疲れていたのでダラダラ問題を解いていました。2ヶ月目に入ってDiscordに参加して月末に試験を受けると決めてからは、気合が入って仕事以外の時間はだいたいお勉強をやっていたと思います。
受験について
試験内容については語れないのでその周辺について書きます。
試験予約
Pearson VUEでCISSPが受験できる会場が限られているようです。
私のときは選択できる日本の会場は大阪1箇所と東京2箇所だけでした。
2022/10末までに受験すれば2022年末まで再受験無料キャンペーン!をやっているというのを知ったのが2022年10月初旬、10月末に1回目の予約を入れてましたがほぼ枠が埋まっている状況でした。1ドルは150円前後と急騰しているときで、カード引き落としは12.5万円でした。予約状況と為替に注意しましょう。
会場下見
私の試験は7:30前集合でしたが、朝早いとビルの電気が消えてたりして入り口がわからなくて迷います。下見をおすすめします。
体を大事に
Pearson VUEはクッションや目薬やのど飴の持ち込みを認めているようです。持ち込んだら体が楽かもしれません。私は試験1回で老けた気がします。
意外だったこと
CISSP受験とは別に意外だったこと、学んだことなどです。
インフラとセキュリティの重なりは大きい
独学で勉強するなら最初にCISSPのドメインガイドブック(日本語)というのをチラ見することをおすすめします。
オフィシャルセミナーの内容だそうですが、あなたがインフラエンジニアなら、CISSPはそんなに難しくないと感じるかもしれないです。結構知ってる内容が多いんじゃないでしょうか。
私は難しかったなという印象ですが、それでも半端な勉強でどうにかなったのは、インフラとセキュリティは重複部分が大きくて、最初から知ってることが結構あったからかなと思います。
CISSPについて誤解していたところ
ろくに調べないで始めるのが悪いのですが、誤解していたことがたくさんありました。
- 高度に技術的で詳細な情報セキュリティの知識が求められるのではないか
想定よりもかなり広く浅くでした。練習問題にはコーディングも解析も出てこないし、実技もないです。主催の(ISC)²も、以下のように言っています。
CISSP認定資格は「幅10マイル、深さ1インチ」と表現されることがあり、サイバーセキュリティの幅広い範囲を網羅していることを意味しています。
- 莫大な勉強量が必要とされる超難関資格なのではないか
広く浅くなので膨大な情報量を一字一句覚えるような難しさとか、なにか複雑な問題を解くという難しさはないです。合格点というのが設定されている以上、そこそこ間違えても失敗は許容されるわけで、むしろ優しさがあります。 - CISSPに合格するとハッキングなどができるようになるのではないか
そういう内容ではありませんでした。マネジメント寄りだった。 - セキュリティ業務経験5年とか全然してないから無理なのでは
専業セキュリティ屋5年が求められているわけではありませんでした。「CBK8ドメインのうち2ドメインに関連した5 年以上の業務経験がある」だけです。とても幅広いので無関係な業務を探すほうが難しいぐらいなのでは。 - 推薦がないと取れないのでは
試験に受かっても審査に通らないとバッジがもらえず、申請には業務経歴とともに推薦が必要という壁があります。でも推薦者がいないかわいそうな人(私も)には、試験の主催団体ISC2 が推薦者になってくれるという、とても優しい仕組みがあるので問題ないです。
最後に
試験料すごい高いですけど学びはありました。スルーしがちだった脆弱性情報に意識がいくようになりましたし、にわかですがセキュリティ語れるようになりました。やって良かったと思います。セキュリティの仕事に関わっていきたいです。受験するみなさんはうまくいきますように。インフラエンジニアとセキュリティプロフェッショナルの未来に幸がありますように。