【セキュリティ資格】CISSP合格体験記_202310_トレーニング有

1. CISSPとは

CISSP(Certified Information Systems Security Professional)とは、ISC2（International Information Systems Security Certification Consortium）が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。
Novell、Deloitte Touche Tohmatsu、大手ヘルスケアサービス企業その他主要企業において、CISSP認定資格の取得が情報セキュリティ関連業務従事者の必須事項とされています。
2004年6月には、米国規格協会（ANSI）よりISO/IEC17024の認証を受け、資格制度の全てのプラクティスがグローバルに認められ、 認定資格試験としての信頼度がより高くなりました。
CISSP認定資格は、情報セキュリティの共通言語とも言える『ISC2 CISSP CBK』を理解している情報セキュリティ・プロフェッショナルのみに与えられる資格です。
CISSP認定資格の取得は、国内外において、個人および所属組織の信用・信頼の獲得につながります。

ようはセキュリティの国際資格です。
わたしの在籍している会社のイケてるセキュリティ部門の方は皆さん持っているようで、わたしもとりたくて受験しました。

企業のCISOやそれを補佐する人物には必須の資格のようにされていて、セキュリティを仕事にされる方なら持っていて損はない資格だと思います。
実際に受験してみて、確かに知識は勉強ささるので勉強することにはとても意味があると思いました。

2. 受験形式

• 受験方法：CBT
• 問題数：250問
• 受験時間：6時間
• 受験言語：日本語可能
• 出題範囲　CBK®ドメイン
  1. セキュリティとリスクマネジメント
  2. 資産のセキュリティ
  3. セキュリティアーキテクチャとエンジニアリング
  4. 通信とネットワークセキュリティ
  5. アイデンティティおよびアクセス管理
  6. セキュリティの評価とテスト
  7. セキュリティの運用
  8. ソフトウェア開発セキュリティ
• 受験要綱：https://www.isc2.org/certifications/cissp/cissp-certification-exam-outline?queryID=c41b0b6eaff6986d68eb519386522bf8

とんでもなく範囲が広いように見えます。
実際広いです。
そして250問6時間というタフ試験です。。。
（正直もう一度受けろと言われたら無理です…）
当日はいかにして集中力を保つかも重要になってきます。
当日の様子は後述します。

3. 受験費用

• 749米ドル

第一関門です。。。
さらに認定日本語講師による公式のCBKトレーニングが開催されており、こちらも受けようとすると総額で50万円程度になります。

今回わたしは、会社でCISSPのトレーニング・受験費用をサポートしてもらえる施策が行われており、トレーニングを受けてから受験することができましたが、個人では正直なかなか厳しい金額と思います。
トレーニングは受けなくても受験のみすることも可能で、個人の場合はそちらの方がいいかもしれません。

ちなみにトレーニングはかなりしっかり教えてくれるので、受験に際しては相当有効であると感じました。
会社で支援してくれるようであれば、上司の方に相談してみるのがいいと思います。

4. 試験結果

今回、2023年10月3日にCISSPを受験してきて、無事に合格することができました。

涙がでるほどうれしかったです。
合格自体はできたのですが、各問題の正解不正解や点数も知ることはできません。
そのため、正直どこが合っていてどこが間違っていたのかわからず、手ごたえはあまりありません。

しかし合格はできたということは勉強方法自体は的外れではなかったということだと思うので、わたしの実施した勉強について書いていきたいと思います。

5. 教材

5.1 CISSP Official Student Guide

CBKトレーニングで配布される教科書です。

トレーニングなしの場合は以下のようなテキストで代用できるかもしれません。
以下の教材の中身はわたしは確認したことがないので、購入の際はよく調べてご購入ください。
高いです。

日本語

英語

5.2 公式問題集

おそらく必須アイテムです。
これをやらずに受かった日本人はいないのではないでしょうか。

現在は電子書籍版のみの販売のようです。

5.3 先人たちの知恵

先人たちの知恵は偉大です。
CISSPでは試験の一番最初にNDAに同意します。
（ここでNoを選択すると不合格になるらしいのでうっかりミスに気を付けてください）
そのため実際の試験問題については当然ながら記載できません。

そこで先人たちの記事を読み漁り、記事の内容から実際の試験問題についてイメージする作業をわたしはやりました。
勉強方法などもご自身にあった方法があると思うので、いろいろな人の記事を参考にご自身にあったものを見つけるといいと思います。

6. 勉強方法

6.1 公式トレーニング

公式トレーニング前は特になにも勉強していませんでしたが、トレーニングはかなりしっかり受けました。
講師の方のコメント１つ１つがけっこう重要なのでメモを取りながらあとで見返せるように受けることが重要だと思います。

6.2 教科書と公式問題集を１周ずつ

教科書と問題集をそれぞれ１周ずつ、時間を使いながら解いていきました。
わからない用語に付箋を貼りながら解いていき、その用語はしっかり理解できるように学習を進めましたが、ほぼすべてのページに付箋を貼ることになり、とても見づらくなりました。

用語の理解はとても重要だと思います。
技術の詳細とかそういうことを覚えるというよりは、そのものが、どのタイミングで、どんな目的で使用されるものなのかを理解することが重要だと思います。
個人的にはCISSPでは「目的」や「目標」を重視していたように感じるのでそのあたりは意識するといいかもしれません。

6.3 問題集２週目

問題集をひたすら解きました。
単語の理解はだいたい進んできますが、まだわかっていないものがどれなのかを確認する作業の意味もありました。

わたしはKerberos認証や、SAMLとかその辺を覚えるのがかなり苦手で苦戦しました。
使ったことある方はいいなあって思ってました。
あとは順番系、このあとに何をするべきかとか、最初に何をするべきかとかそういうのを覚えるのも苦手でけっこう間違えていたのですが、これも目的から入って、なぜそれをやるのかを意識したらある程度は頭に入っていったかと思います。

6.4 教科書と問題集パラパラ読み

最後の方は教科書はパラパラ読んで重要そうなものを覚えました。
ほぼ暗記作業です。
ほんとは理由とかつけながら覚えた方がいいと思います。

問題集は長文な問題に絞って解いていきました。
先人たちの知見から、CISSP的な考え方は問題集をひたすら解いていくことで習得できそうだったのでその習得を目指して解いていきましたが、正直CISSP的な考え方というものにあまりしっくりは来てないです。

この辺をやっていたら時間切れになりました。
この状態で本番を迎えます。

7. CISSP的な考え方とはなんだったのか

CISSP的な考え方という言葉が各所にでてきてどういうことかと悩みましたが

結局しっくりくる答えはありませんでした。

先人たちや認定講師の方によると経営を意識した目線とか、事業を見据えた目線とか、ビジネス的な目線とかそんなようなことらしいのですが、わたしは公式問題集の問題群から経営的な目線で見てなぜこの回答になるのかという答えを導けませんでした。
一番しっくり来たニュアンスとしては

「一番いい感じの選択肢を選ぶ」

これに尽きると思いました。
問題をしっかり読んで、選択肢をしっかり読んで、一番いい感じに見えるやつを選ぶ。理由はなんか後付けで考えて脳内で結び付けておく。
わたしは学習時にはこのくらいしかできませんでした。
これについては考えすぎるとハマりそうなので、とにかく理由をもって回答を選択するということを意識すればいいのではないかと思います。

8. 試験当日

8.1 持ち物チェック

• 免許証
• 保険証

この２点を身分証として持っていきました。
身分証２点を忘れると試験が受けれないらしいのでお気をつけください。

• inゼリー
• 水

こちらは任意ですが、飲み物は持って行った方がいいと思います。
わたしはもともとあまり朝ご飯を食べないので食事はinゼリーくらいでちょうどよかったです。

8.2 試験会場到着

わたしは8:00からの試験開始でしたが、7:20くらいに会場につきました。
到着後は会場では勉強はできませんということをすぐに伝えられ、荷物のロッカー格納、身分証の確認から、静脈登録まであれよあれよと進み、すぐに試験を開始することになりました。

8.3 試験開始

前述しましたが、最初にNDAの確認があります。
しっかりと締結する方を選んで進みます。

試験は250問6時間。
次の問題に進んでしまうと前には戻れません。

休憩時間は手を挙げて監督員の方を呼べば自由に取れますが、休憩中も試験時間は進みます。

わたしは半分の125問終わったところで１度だけ休憩を取りました。
水とinゼリーの補給、トイレとストレッチで３分くらいの休憩だったと思います。

正直集中力はもちません。
途中でほんとにもうだめかもと思いました。
あきらめずに頑張って最後まで解く忍耐力が求められます。

8.4 試験の解き方

解いていて絶対あってる！っていう自信のある問題はほんとに数問しかなかったです。
合ってるのか間違っているのか自信が持てない問題がかなり続くのでストレスフルです。
そのため、次に進んだ段階で前の問題は忘れる記憶消去術が使えれば使用を推奨します。

４択なので、なにか選べば25%で当たります。
見た瞬間にお手上げの問題はなんかそれっぽい響きの単語を選んですぐに次に行きました。

問題集通りの問題はたぶんなく、知識問題もそんなに多くない印象です。
考えさせられる系の問題がたくさんで、選択肢の中に明らかによくわからないことを言っているものがあったりするので、それを除外すればだいたい２択か３択になります。
あとは一番いい感じそうに見えるやつを選びます。
「いい感じ」の基準は自分の中で説明をつけて選択できるかどうかです。

9. 試験を受けての所感

結果、前述したようにCISSPの試験に合格することができました。
試験中はほんとに自信がなかったので、受かったと知ったときは涙がでそうでした。

そんな感じだったので、手ごたえは微妙でしたが、試験勉強自体は身になるものでしたので、
受けて損するものではないと思います。

皆さんの受験の一助になれば幸いです。