CISSPの勉強をして、模試で安全圏まで行くようになったので、忘れないうちに記事に、、、
2023/12/19 CISSP合格しました
(試験内容についてはNDAがありますので勉強方法のみの記事です)
はじめに
CISSPとは(ISC)2(アイエスシースクエア)が実施している情報セキュリティのグローバルな試験になります。2022年7月時点で、全世界で約156,054人 日本で3,699人程度の認定者がおります。
ITSSにおいてはLv4になります。
ITSSLv4の試験 比較
| 試験名 | 受験費用 | 維持費用 | 受験資格 | 更新備考 | コメント |
|---|---|---|---|---|---|
| CISSP | 749.00USD | 年間125.00USD | 業務経験5年 大卒などは4年 詳細はこちら |
3年間で120ポイント(このうち30ポイント分はグループBでも可)のCPEクレジットを取得すること。 年会費は125米ドルを毎年の認定サイクルの開始時までに支払うこと。 | マネジメントよりの試験 国際資格 |
| CASP+ | ¥58,035 | 年間50.00USD | なし | 再受験による認定など複数方法あり 詳細はこちら |
CISSPとよく比較される 技術よりの試験 国際資格 |
| 情報処理安全確保支援士 | 7,500円 | 3年で140,000円 | なし | 継続認定には定められた講習を受ける必要がある 登録手続き |
マネジメントよりの試験 4試験中2試験が筆記形式 日本の国家資格 |
CISSPはマネジメントよりとされている記事が多い
汎用的な資格
試験前のレベル
私の事前知識としては、関係しそうなものは下記です。
関連しそうな資格
・ネスペ
・CompTIA CySA+
業務経験
・脆弱性の管理経験
・IT運用全般
(ID管理、内部監査、NW運用、SOCなど)
・データセンター的な管理
(物理的セキュリティ、アクセスの管理、消火施設)
・セキュリティソリューションの導入
(NWのセキュリティ設計など)
・ちょっとしたアプリ開発
(RPAなど業務改善を10回程度コーディングしたことあるくらい)
プライベート
・一時期、初心者向けの常設CTF問題を解いていた
・オフェンシブセキュリティ系の書籍をたまに読んでた
→HackTheBoxなどは全く解けないくらい
・インフラ系をぼちぼち触る(AWS/VMなど)
・本を読みながらPythonコーディング
近い経験の方は、特に参考になるのではないかと思います(お恐らく、、)
勉強方法(本題)
・どのくらい点数が取れそうか確認
PIEDPIN
勉強用サイト
練習問題があるのでおすすめ
最初に一回受けてみて、自分がどのくらいとれるか見てみた
6割程度最初の段階で点数が取れた
苦手分野として米国やEU当たりの法律が苦手だった。
・CISSPの概要をつかむ
CISSP 勉強ノート
すごく簡潔にまとめられている
公式本は読むものではなく辞書ということだったので、
簡潔にまとめてあるサイトとしてこちらを読んだ
・PIDEPINを受けてみて、どのくらい身についたか確認
→米国やEUの法律が苦手だった
・米国法を覚える
CISSP的米国法まとめ
これはすごくわかりやすい
米国法が苦手ならおすすめ
GLBA
FISMA
EEA
連邦量刑ガイドライン
DMCA
・PIDEPINを受ける(定期的)
一分野勉強したら間で行うくらいのスピード感で定期的に
→セキュリティモデルが苦手だった
・セキュリティモデル
Qiita記事を読んでみたりしたが、あまりピンとこず
CISSP CBK公式ガイドを読んだ
イメージとして、複数のセキュリティモデルが適用できる
Bibaを使っているならMAC(強制アクセス制御)ではないとはならない
強制アクセス制御(MAC)をロールベースアクセス制御で実装(SELinux:MACでRBACのオプションがある)
任意アクセス制御(DAC)をロールベースアクセス制御で実装(Windows環境:DACでユーザグループを使う)
セキュリティモデルAをもとにセキュリティモデルBが当たっているであったり、
セキュリティモデルCのルールを使う/使わない みたいな感じ
なお、MACとDACだけは共存できなさそう
視点が違うモデルは共存できそう(実装されているとは限らないが)
Biba完全性モデルとBell-LaPadula機密性は比較して覚えた
単純→Read スター→Write 強化スター:呼出→その他
下記サイトおすすめ
Bell-LaPadulaとBiba
下記サイトでもOKだがCISSP CBK公式ガイドのほうが網羅的でわかりやすい気がする
セキュリティモデルの例
Bell-LaPadulal
Biba
Clark and Wilson
Brewer and Nash
(Chinese Wall)
たくさんあるが頑張って覚える、、、
(普段使わない用語だからある程度イメージつくまでがきつい)
・CISSPで出てくる単語がわからない
PIDEPINの単語索引をCSVに変換し、問題用プログラムを作成
→単語をひたすら覚える
単語例
口頭証拠排除の原則(Parol Evidence Rule)
悪魔の双子攻撃(Evil Twin)
ポリモーフィズム
ファーガンテスト
デューディリジェンス(Due Deligence)
データ損失防止
ソリッドタイプドア
ジャストインタイムプロビジョニング
・細かく分野ごとに弱点を確認
CISSP公式問題集を解きながら解説を読み込む
→意外とKerberosが苦手だった
・Kerberos認証のことが苦手な場合
CISSPの公式本だとKerberosの名前がAAA(認証,認可,監査)由来を匂わせるような記載がある
Microsoft公式サイト Windowsの認証
・Active Directory ドメイン内の認証
Kerberos
・NTLM
レガシーアプリケーションの認証
Microsoft公式サイト IPアドレス用Kerberosの構成
既定でホスト名が IP アドレスの場合、Windows はホストの Kerberos 認証は試行しません。 NTLM などの他の有効な認証プロトコルにフォールバックします。
Kerberos認証のステップ
- ユーザがKDCに認証情報を提供する(AESによる暗号化)
- クライアント/TGS鍵が生成される
- TGTが生成される(あわせて、暗号化された対象鍵がクライアントに送られる)※クライアント側ではTGTを受理(インストール)し、自身のパスワードで対象カギを複合する
- クライアント/サーバチケットが生成される
- ユーザがサービスにアクセスする
===========省略===========
Kerberosの弱点
・KDCが単一障害点
・鍵がKDCより盗まれた場合、ユーザのなりすましが行われる
・パスワード推測に体制がない
Kerberosのまとめ
・AAAの3要素とギリシャ神話の3つの頭を持つKerberosをかけている?(かもしれない)
・ADでのドメイン間のSSOの実現を行う
・TGTというチケットでサーバクライアントアクセス用のチケットを発行する
・ADでKerberosが使えない場合、NTLM認証が行われる
(IPアドレスによるアクセスだとSPNのホスト名がわからないっぽい)
・PIDEPIN模試を解く
→安全圏
** 他にも都度都度分からないものは、内容を納得するまで確認 **
・CISSP 公式問題集で最後の追い込み
だいたい、こういう記事では結構な数往復したほうががいいとあるが
しっかり一つ一つ理解して進めれば一往復でも問題なさそう
※ 試験前はノートで分からない単語は走り書き程度のメモして見返すくらい
個人差がある&結構試験の値段が高いので、不安な人は2往復してもいいかも
曖昧な部分を補強
SDLCの流れ
→似たようなSDLCがたくさんあるが、
要件定義、設計、コーディング、テスト、運用監視くらいアバウトに覚えた
コモンクライテリア EAL1-EAL7
https://www.ipa.go.jp/security/jisec/about/knowledge/about-eal.html
SW-CMM CMMI
似ているが若干違うので抑えておく
米国法,NIST SP800関連など
→用語や流れがあいまいなところを覚えていく
特に米国法はこれ何だったっけになりがちだった
NIST SP800は雰囲気を読むだけ
53がコントロールということだけCISSP CBKに
特によく出ていたので覚えたくらい
→特にガバナンス系とかコントロールが弱かったのでCISSP公式本を読んだ
ほかのNISTはあまり細かくは覚えなかった
CISSPを落ちた人の記事を読んでみたり、配点を調べたり
→ガバナンス系がもともとは配点多いとかいう記事が
どこかにあったため、ドメイン1を特に追い込んだが、
下記の記事だとそうでもない?(不明)
CISSP公式を斜め読み、気になるところだけ少し読む
(1時間くらいで読み終わるくらいの速度)
・CISSP的考え方
CISSPの考え方とは?
試験前に読むとよいらしい
企業目標を達成するためのセキュリティ
安全な状態などない
すべてはお金で説明
組織の一員としての判断
CISSPの試験当日
・遅れないように起きる
→1時間前に到着で意外とちょうど良かった
早めに行って新宿のピアソンセンター近くのコンビ二でチョコのスティック(ブラウニー)と飲み物買った
・休憩が取れる
→半分位で一回休憩取った(集中が切れたタイミングとかでよさそう)
・試験は前の問題へ戻れない
→どっちみちその時に分からなかった問題は見返しても分からないくらいの気持ちが大事(たぶん)
・半分くらいの時間で全問解けたので、考え過ぎなければ時間は大丈夫そう
→最初は結構時間を気にしていたが、テンポよく回答していったらだいぶ時間があまった
・日本語の意味が分からない(翻訳が意味分からない)ものはどれだけ考えても分からない
→絶対ありえないものを選択肢から消す+一番それっぽいものを選ぶ
CISSP公式書籍
公式書籍は高いが、受験費用や研修費用に比べたら、買っておくべき
CISSP公式問題集
おすすめ。
これを解くのは必須
CISSP CBK公式ガイド
すべて読むような本ではない
辞書として、苦手分野の補強に使う
たまに公開情報では、あまり見当たらないような説明のされ方をされている
おわりに
書籍+受験費用が高く、自信があったが、1年ほど後ろ倒ししてしまった
CISSP CBKの範囲の広さという意味では難しいかもしれないが、
サイバーセキュリティや情報セキュリティに携わっているなら、あまり臆しなくてもよさそう
ドメイン1が個人的には一番業務で使わない知識で大変だった
ネットワークセキュリティやソフトウェアの開発など何かしら業務でよく使うドメインは
あまり勉強しなくてもサラッといけるかもしれない
やっと、CISSP合格できたので、これからはデジタルフォレンジックやペンテスト、
マルウェア解析のスキル可視化を頑張って行きたい(高い、、、)