はじめに
セキュリティどころかIT実務経験ゼロの筆者が先日、CISSP試験に合格したのでまとめていきます。
学習期間は2ヶ月ほどです。
他の記事ではあまり言及されていない箇所を中心に、痒い所に手が届く的な感じでやっていきたいと思います。
お役に立てば幸いです。
逆に他の記事でも多く触れられている箇所は端折ることもあります。
筆者について
IT実務経験ゼロとはいえ、全くの初学者というわけでもなく、R7春の情報処理安全確保支援士試験に合格しています(未登録)。
試験の範囲も支援士試験と重なるところが多く、学習の効率は良かったです。
ただ、CISSPは知識を問う問題はほとんど出てこず、いわゆる「CISSP的」な問題が多く出題されるので、経験者と言えども対策は必須となるでしょう。
学習教材
試験対策に用いた教材の使い方と良かった点、悪かった点などをまとめていきます。
お得情報
多くの方が公式の日本語版の教材を試験対策に活用していらっしゃるようですが、筆者のおすすめは英語版をwileyで購入することです。
理由は以下の3つです。
- 安いこと
- 版が最新であること
- 英語に慣れておく事
まず、日本語版の方が英語版よりも安く購入することができます。
さらに、ISC2 Candidateに登録することでISC2の公式教材に対してwileyの50%オフコードがもらえます。
フォームを提出するだけで誰でもすぐに登録でき、最初の一年間は会員費無料です。
試験自体が約12万円と高額ですので、ケチれるところはケチりたいものです。
また、日本語版CBKは第4版の翻訳が2018年に出版されていますが、英語版は第6版で2021年に改定されています。
公式問題集も同様に、英語の方が版が進んでいます。
日本語版で合格された方も多くいらっしゃいますので、そこまで神経質にならなくても良いかも知れませんが、試験内容はもちろん最新版に準じて出題されます。
最後に、試験対策として英語に慣れておきましょう。
試験は日本語で受けられるとはいえ、日本語訳が分かりづらい場合は原文を見ることになります。
また、VerificationとValidationやRecovery、Restoration、Remediationなどの微妙にニュアンスの違う単語をしっかり区別して覚えておかなければなりません。
wileyならブラウザでも読めるため、ブラウザの翻訳機能が使えますので、原文との比較もすぐにできます。
Common Body of Knowledge (CBK)
CISSP合格記事を見ると多くの方がCBKを活用されていらっしゃいます。
筆者もそれに倣ってCBKを購入しました。
セキュリティ業界に転職したら実務でもCBKが役に立つかもという思惑もありました。
使い方としては公式問題集を1ドメイン解いた後に、CBKの該当ドメインを通読し、また公式問題集で同じ問題を解き、内容をCBK側にメモしていくというものです。
先に問題集から入ったのは、自身の既存知識と必要知識のギャップを知るため、CISSPはどの項目を重要視しているのか、その概念をCISSPはどう解釈しており、その解釈を我々に求めてくるのかを知った上でCBKを読むのが効率がいいと考えたからです。
また、多くの方はCBKを辞書的に活用されているようですが、CISSP試験はマネージャー的思考が試される試験です。
通読を選択したのは、マネージャー的思考を養うにあたり、CBKに包含される機序をカバーしておきたかったからです。
公式問題集
途中から使わなくなりました。
ほとんど全ての問題がlearnz appに収録されていることに気付いたので、そこからはlearnz appに移行しました。
wileyで買うと、1年間ブラウザでテスト形式で問題が解け、ブラウザの翻訳機能が使えますが、これはlearnz appでも同じことです。
公式問題集には略語がそのまま使われるので、何の略かを覚えておく必要がありますが、試験本番では略さずに表記されるので暗記の必要はありません。
Official Study Guide (OSG)
日本語版がありませんので日本語圏で使っている人は少ない印象です。
筆者はCBKを買ったのでOSGは購入していませんが、redditを見る限り海外ではOSG活用者の方が多そうです。
海外の評価を見ると「網羅的すぎる」という意見が散見されます。
先に述べた通り、CISSPは知識を直接問う問題はほとんど出てきません(全くのゼロではありません)。
OSGを購入していない筆者に確かなことは言えませんが、そういう意味ではCISSP試験との相性は良くないかも知れません。
また筆者がCBKで行った一冊を通読するという使い方も向かないかも知れません。
しかし筆者がもう一度最初から試験を受けるとするならばCBKよりもOSGを選ぶと思います。
理由はCBKの説明がふんわりしているからです。
CBKの説明は分かりやすくはあるのですが、良くも悪くも汎用性が高い記述ばかりです。
CBKは実務に役立つ教科書的な立ち位置ですので仕方ありませんが、試験対策としては明確な基準で一つの答えを導く必要があり、そこにギャップがあります。
このギャップは自ら他の教材と組み合わせて埋めていかなければならず、労力もかかりますし、なにより自分の考えが必ずしも正しいとは限らない不安が残ります。
learnz app
3ヶ月のサブスクリプション約7000円で2253問の問題演習と1072枚のフラッシュカードがついてきます(1ヶ月なら約2600円)。
問題は公式問題集とおそらくOSGの演習問題から来ていると思います。
問題とフラッシュカードにはブックマークをつける機能があります。
間違った問題をピックアップしたり、ブックマークのついている問題、まだ解いていない問題からランダムで出題するなどテスト機能も豊富です。
一番いいのは問題ごとに対応する章が表記されていることです。
公式問題集にはこの機能がなかったので、間違った問題に対応する章を見返して理解を深めるという使い方ができます。
ただし、公式問題集やlearnz appはあくまで知識の確認と充足に使うべきです。
CISSP試験本番ではこのような問題は出てきませんので直接的な試験対策としてはあまり役に立ちません。
また、試験準備スコアという指標が存在しますが役に立ちません。
筆者は60%くらいからスタートして、最終的に82%で止まりました。
Quantum Exams(QE)
CISSP試験対策のベストバイです。
約3万円と高価ですがその価値があります。
失敗した場合の再試験が付いてくるPeace of Mindを買うくらいならこちらに課金した方が効果的です。
非CAT版もありますが、是非CAT版を買いましょう。
ちなみにQE単体での割引はありませんが、WannaPracticeを買うことでQE用の割引コードが発行されるらしいです。
良いところ
3時間の耐久テストを試すことができます。
本番前に最大150問、3時間というストレスを体感しておくことが重要です。
特に100問を超えたところで試験が終了しなかった時の感情の乱れに慣れておきましょう。
また、CISSP試験よりも難しいというところも評価できます。
CISSP試験は過去問が無く、高額な受験料がプレッシャーになりがちですが、QEに慣れておけば試験本番では良い意味で肩透かしを喰らいます。
使い方
CAT試験受ける、問題を見直す、足りなかった知識と思考法をインプットする、またCAT試験を受ける。
これをスパンを開けて繰り返します。
隙間時間に10問クイズも解きました。
筆者は試験の2週間前に購入しましたが、もっと早く買っておけば良かったと感じました。
いくつかの注意点
まず、明確に間違っている問題がいくつか含まれます。
特にGDPRのData Processor関係の問題が壊滅的です。
他にも問題間で矛盾した説明がなされているものもありますので、解説に対しては批判的な姿勢で臨む方がいいでしょう。
次に、CISSP試験では聞かれないタイプの問題がまま含まれます。
フレームワークのフェーズの順番を暗記しなければならない様な問題がQEでは散見されますが、試験本番ではほぼ聞かれません。
筆者は1問そういった問題が出ましたが、暗記が必要な問題ではありませんでした。
また、同じ問題が繰り返し出てきてしまいます。
redditでは問題プールは約800問あるとされていましたが、ドメインに分けて満遍なく出題しなければならない試験の性質上、CATごとに見たことのある問題に出くわします。
問題を覚えてしまうのでCATとCATの間にはある程度期間を空けた方が良いでしょう。
最後に、点数は参考になりません。
QEでは1000pt上限で点数が表示されますが、この数字は当てになりません。
これはQE側もあまり参考にしないように言っていますし、redditでも600点くらいで合格した人がいれば、900点くらいとっていたのに不合格になった人もいます。
QEはあくまで試験になれることと、思考法の確立と定着を目的として使いましょう。
以下に筆者のCAT試験結果をまとめておきます。
| テスト回 | 点数 | 正答率 |
|---|---|---|
| 1回目 | 660.26 | 81/150 |
| 2回目 | 848.52 | 73/125 |
| 3回目 | 944.58 | 63/100 |
| 4回目 | 1000 | 70/100 |
| 5回目 | 1000 | 79/100 |
| 6回目 | 1000 | 82/100 |
覚えている問題がいくらか出たとは言え、1000点が出ている時点でこの数字が役に立たないことを示していますね。
ちなみに、CISSP試験では1000点中700点を取れば合格となりますが、問題によって配点は変わりますし、実際に700点を取るまで試験が継続されるわけではありません。試験終了時に統計的に700点を超えるだろうと予想される受験者が合格となります。
また、ドメインごとに10%強の割合で出題されますが、公式からは「全てのドメインで基準に達している必要はない」という説明と、「全てのドメインで基準を超える必要がある」という矛盾した説明がなされています。
こちらからはどちらが正しいかは図りかねますので、最悪を想定しておく必要があります。
つまりはCISSP試験では得意を伸ばすよりも苦手を潰す方が重要になるということです。
QEの解答レビューではドメインごとの正答率も表示されますので、それを参考に苦手分野を重点的に対策しましょう。
【追記】
試験に合格したのでQEのサブスクリプションを解約しようとしたところ、該当システムが見当たりませんでした。
サポートに連絡を取ってみると、サブスクリプションは自動更新されず、手動解約の手間は必要ないそうです。
learnz appの方は手動解約をしないと自動で更新されるので注意してください。
Youtube動画
- Andrew Ramdayalの50問
言わずと知れた動画です。
この動画でMOST、LEAST、BEST、Primary、First、Nextなどの単語に慣れておきましょう。
ただ、私はこの動画で説明される「すべてを包含する選択肢を選ぶ」や「一つしか選択できずそれ以外は実行しない」という考えに基づいた選択肢の選び方は使いませんでした。
- Andrew Ramadayalのmindset
こちらも同様に「すべてを包含する選択肢を選ぶ」や「一つしか選択できずそれ以外は実行しない」というテクニックが解説されていますが、筆者はこれをあまり当てにしていません。
- Kelly HanderthanのMindset動画
こちらの動画はCISSPとして組織内でどう振る舞うべきかの参考にはなるかもしれませんが、CISSP試験で問題に正解するのに役立つ知識や思考法を授けてくれるものではありませんでした。
- Pete Zergerの難しい問題に答えるには
この動画は非常に役立ちました。
問題文から選択肢を削ってく方法を実践的に解説してくれます。
CISSP試験は問題文から如何にキーワードを抜き出し、適合する選択肢を選ぶかがカギになってくると筆者は考えますので、自身の戦略を強化してくれる動画となりました。
- Gwen BettwyのTest Tips
試験を解く上でのTipsがまとめられています。
CISSP試験での選択肢の選び方の優先順位をインプットするのに最適です。
- Destination CertificationのMindMap
知識同士の包含関係がわかりやすくまとまっています。
CBKを読んだ後に別視点の解説が聞きたくて視聴しました。
メールアドレスを登録すればPDFをもらえます。
- Pete ZergerのCISSP EXAM CRAM
8時間と長尺ですが、CISSPの全ドメインが分かりやすく、かつ試験向けにまとめられています。
筆者は試験日の2日前に総復習として見ました。
ChatGPT先生
言わずもがなの大活躍でした。
無料版で十分に役に立ってくれます。
CBKの要約、公式問題集の解説、QEの解説、曖昧な知識の明確化、壁打ち、模擬問題生成などなど、あらゆる所でチャッピー先生は活躍してくれました。
時々間違うのはご愛嬌です。
ただし、問題側が間違っていることもありますのでどちらが正しいかは自分で判断する必要があります。
Geminiの方が問題に対して批判的に見てくれる気がします。
ChatGPTを使う上で重要なのは試験に合格できる様に、問題に対する判断基準を自身の中に確立することです。
そのためにAIをうまく使いこなしましょう。
当日
受験できるのは新宿か大阪だけです。
福岡は一応選選択画面には出てきますが、一切予約の空きが表示されません。
私は大阪で受験しました。
受験日の予約は結構流動的で数時間で席が埋まったり、キャンセルが出たりするのでこまめに確認するのが良いと思います。
大阪はピアソンテストセンター側のキャパが東京ほどないのか、早くに埋まってしまうので1ヵ月前には予約をしておきましょう。
梅田はダンジョンと聞いていましたので試験会場への行き方は事前に調べておきました。
こちらの記事が写真付きで分かりやすかったです。
試験は12:30から予約しており、30分前には来るようにとのことだったので、11:45に会場に到着しました。
席が空いているのでもう始められるがどうするかと聞かれ、早めに始めましたが、待つことも出来るようです。
本人確認にはマイナンバーカードとクレジットカードを用いました。
公式の説明にはマイナンバーカードにも署名が必要とありましたが、実際のところは要りませんでした。
クレジットカードは署名を確認されます。
また、名前が完全に一致しなければならないという要件があり、登録は英語表記、身分証明証には漢字表記だったので大丈夫かなと思いましたが、問題ありませんでした。
最初の30問は慎重に解くようredditなどでは言われており、筆者もそのつもりだったのですが、慎重に解くも何もない問題ばかりで、一問一分ペースを超えるくらいで解き進めました。
問題に関しては「これ以外が間違っているからこれしかないよね」という消去法的選択肢が多く、明確に一つの選択肢が抜きんでているというものはありませんでした。
そのため、正解しているという感覚は全くありませんでした。
そもそもCAT試験では50%の確率で正解できる問題が出るように、受験者の回答状況に合わせて出題される問題の難易度が調整されるので、この感覚は仕方ないのかも知れません。
時々簡単な問題が出てきましたが、だからと言って自分の解答状況が悪いとは思わなかったので、あまり気にしませんでした。
100問を解いたところで、100分弱ほど時間を残し画面が切り替わりました。
手応えはありませんでしたが、流石に100問時点で足切りされるほど悪いとは思わなかったので、このとき合格を確信しました。
画面の左上に計算機機能がありますが、使うような問題は出てきません。
原文表示もワンクリックですし、日本語訳と被らない位置にポップアップで表示されます。
解答を選択していない状況で「次へ」のボタンを押したらどうなるかはさすがに試していませんが、回答を選択するまではボタンがグレーアウトするとかの機能はなかったので、「次へ」ボタンを押す際は解答がしっかり選択されていることを確認するようにしましょう。
時々、クリックしたつもりでも選択できていない場合がありました。
合格後
前述の通り筆者には実務経験がありませんので、CISSP試験を合格したとは言えCISSPを名乗ることはできません。
ISC2 Associateとして6年間の猶予が与えられますので、その間に実務経験を積まねばなりません。
2-5営業日後に合格の確定がメールで送られてくるようです。
2営業日後に合格を知らせるメールが届き、Associateとして登録し$50の料金を支払い、その日の内にAssociateとして認められるメールが届きました。
今後はAssociateを維持するCPEを稼ぎながら実務経験を積んでCISSPを目指します。