はじめに
ISC2 CCSP(Certified Cloud Security Professional)に、2回目で合格しました。
CISSPと重なっている範囲が多いので、CISSPの次に取ると良いとされている資格ですが、クラウド特有の概念をしっかり理解していないと歯が立たず、筆者にとってはかなり手強い試験でした。
本記事では、学習プロセス、初回不合格の原因、再挑戦で実施した対策について記録していきます。
筆者について
- 社内のセキュリティに関する施策・戦略を立案し、推進・運営する人
- キャリアの大半は、製造業の品質保証畑で育ちました
(ので、クラウド・インフラ周りの知識はそもそも乏しい) - IPA 情報処理安全確保支援士(登録セキスペ)に合格(2021年10月)
- ISC2 CISSP 取得(2023年3月)
- この時に勉強会へ参加し、いまも継続して参加しています!
- ProSec-IT履修(2023年10月〜2024年9月)
初回受験時の取り組み
LearnzApp ISC2 Official Exam Prep Appをサブスク登録、隙間時間にスマホでぽちぽちやっている状態でした。
LearnzApp ISC2 Official Exam Prep App
- 練習問題 各ドメイン1周
- Practice test 1~5回
- よくわからない問題は、解説読む&再度解く
試験直前、KPIもそんなに悪くなかったので、試験前はけっこう自信満々でした。
| 項目 | スコア |
|---|---|
| Overall Readiness Score | 70% |
| Practice Test | 74% Ave. |
Readiness Score :
LearnZapp 独自の準備スコア。試験の準備状況を効果的に評価できる指標。
初回受験→不合格
落ちたがな...。
しかも、6ドメイン中5ドメインが合格ラインに届かない、逆にすがすがしい不合格でした。
| ドメイン | 成績 |
|---|---|
| 1. クラウドの概念、アーキテクチャ、設計 | あと少しで習熟 |
| 2. クラウドデータセキュリティ | 基準未達 |
| 3. クラウドプラットフォームとインフラストラクチャセキュリティ | 基準未達 |
| 4. クラウドアプリケーションセキュリティ | 習熟 |
| 5. クラウドセキュリティオペレーション | あと少しで習熟 |
| 6. クラウドガバナンス | あと少しで習熟 |
ちなみに、不合格の時はこんな感じのプリントを渡されます。
再挑戦に向けてやったこと
初回の不合格を受け、試験範囲をより深く理解するために以下の対策を実施しました。
Official Study Guide
試験範囲を体系的に理解するために、購入しました。ISC2メンバーは半額になるプロモーションコードが付与されるので、円高でも気にせず買えました。
また、購入すると練習問題2回分がついてきます。しかも、内容はLearnzAppの8回分のいずれとも違いましたので、後半 練習問題難民になっていた筆者にとってはありがたかったです。
(ISC)2 CCSP Certified Cloud Security Professional Official Study Guide, 3rd Edition
ISC2 CBK Suggested References
ISC2からCBKのReferenceとして掲載されている資料・書籍がいくつかあります。
クラウドについて体系的に学習し直すために、年始のPcktのセールを利用していくつか購入しましたが、こちらはざっと眺めるだけに終わりました。
ベンダー試験用解説書籍(AZ-104)
勉強会メンバーのみなさまからのありがたいアドバイスを受け(いつもありがとうございます!)、実際の環境をイメージしやすくするために AZ-104(Azure Administrator)用の書籍を購入しました。CCSPで問われていることが、実際どのように実装されているのか知ることができ、参考になりました。
Microsoft認定資格試験テキスト AZ-104:Microsoft Azure Administrator
ChatGPT Plus
誤答した問題やよくわからない問題をノートにまとめていたのですが、解説や上述の書籍では理解できないものがあった(用語のずれとか)ので、後半に導入しました。永遠の壁打ち役として、大いに活躍してくれました。
(問題文)
A. XXXXXX
B. YYYYYY
C. ZZZZZZ
D. WWWWWW
という問題に対して、私は
A. XXXXXX
と回答しました。理由は以下の通りです。
・〇〇と考えたから
しかしながら、答えは
B. YYYYYY
でした。私の考えで間違っている部分を指摘してください。
また次回からどのように理解すれば、同じような問題に対して正しく回答できるか教えてください
これらを駆使して、直前のKPIはこんな感じでした。練習問題のスコア自体は、あまり伸びておらず、若干不安はありました。
| 項目 | スコア |
|---|---|
| Overall Readiness Score | 96% |
| Practice Test | 77% Ave. |
再受験
無事合格しました。
不思議と、初回受験時にひたすら感じていた掴みどころのなさを感じることは、ほとんどありませんでした。確信を持って答えることができた問題が格段に増えた印象でした。
何がダメだったんだろうか?
CISSP+αというイメージで少し勉強すれば合格できると舐めてかかっていたことです。CCSP特有の知識が問われる部分は、練習問題集を解くことでカバーできるだろうと高を括り、練習問題集に頼り切っていたことが大きな敗因でした。
実際受けてみたときの印象は、
「CCSP(クラウド)というレンズを通してCISSPの考え方を見てる」
という感覚でした…。ただただピントが合わなかったですw
結果的に、根本的な理解が不足しており、違う角度から飛んでくる初見の問題に対応しきれませんでした。
- 練習問題集とおなじ類型の設問が、全くなかった
- 設問の意図を読み解けないものがあった
- 知らない単語もちらほら
- 文脈から読み解こうとするも、以下が邪魔しました
- やや違和感のある翻訳
- カタカナそのまま
- クラウド特有の考え方やよく用いられる技術の理解度が乏しかった
- 周辺知識が必要なケース
(例:HIPPAやHITECHにおけるビジネスアソシエイト契約) - 用語に関するもう一段深い知識が求められるケース
(例:FISP140-2のレベル要件)
- 周辺知識が必要なケース
特に「1. 」について、問題集と同じ問題が出ないことは、翻訳された方がはっきり明言しています。
違和感の部分を深掘りしてみる
初回受験時、CISSPとCCSPでどれくらい違いを感じたかというと、
- 「野球」 と 「ソフトボール」
- 「サッカー」 と 「フットサル」
- 「四人麻雀」 と 「三人麻雀」
- そしてローカルルールありありのUNO、貧民…
くらいのギャップを感じました。
どれも基本的なルールは同じですが、戦略やプレイヤーとしての立ち振る舞いかたは、けっこう違います。いずれしかプレイしたことない人は、小さなギャップにいちいちつまづく転ぶので「え、ぜんぜん違うのやけど?」という印象になります。
一方、どちらも経験ある人にとっては、無意識にこのギャップを乗り越えられるので、「どちらもそんなに変わらんよ」という感想になる。
無理やり例えると、こんなイメージでしょうか。
合格したいま現在、私の認知も後者に傾きつつあります。
何が効果があったのか?
いろいろ参考書を買い揃えましたが、それでも、「問題解く」→「解説読んで理解する」というアプローチは変えませんでした。ただし、理解する方法を少し工夫しました。
即効性があったのはChatGPTを使った壁打ち
LearnzAppの解説やOfficial Study Guideは、結構さらっと触れるだけで終わっている場合も多かったので、物足りなさを感じた時にはChatGPTに解説を求め、対話形式で理解を深めることで、知識の定着度が向上しました。
筆記を導入して記憶に留める工夫
誤答をノートにまとめ、試験直前の振り返りにも活用できるようにしました。
毎週のCISSP勉強会で知識のアップデート
なにより、CISSPの勉強会に継続的に参加することで、関連知識を常に最新の状態に保つことができました。これが何気に一番大きかった気がします。
さいごに
この記事でお伝えしたかったことは、以下の3つです。
- クラウドの概念にあまり触れてこなかった人は、CISSP持っていたとしても、決して舐めてかからずしっかりとStudy Guideなどを読んで立ち向かった方がよい、(そんなやつは私しかいない)
- 初回まったく歯が立たなくても、うまく対策することで合格できる!
- 同じ志を持った方々がそばにいると、落ちた時のアドバイスなどももらえるし、なによりモチベーションが維持できる(再掲します↓)
これからCCSP受験を目指す方や、1回目落ちてしまった方の参考になれば幸いです!
以上