文系エンジニアがClaude Codeで学習アプリを自作して3か月でCISSP合格した話
TL;DR
- 大学は英文科、セキュリティエンジニアとしての実務経験ほぼゼロの文系エンジニアが、3か月・1日平均30分でCISSPに合格した。
- 勝因は「毎日続けられたこと」。それを可能にしたのが、公式問題集を取り込んで作った自分専用の問題演習アプリ(Claude Code製)。
- この記事で一番言いたいのは、AIは「思考の代行」ではなく「ゴールのボトルネック解消」に使うと人間の能力を底上げできる、ということ。
1. 自己紹介
もともとはバリバリの文系で、大学では英語専攻。専攻は認知言語学や英語学でした。修士で情報科学をやりました。
以降は主にWebのバックエンド開発(Java / Spring Boot、Scala)。Web系の事業会社を経て、現在は新規にSaaSを立ち上げる会社でセキュリティ担当をしています。社会人4年目。
セキュリティの実務経験はほぼありません。きっかけは2023年ごろ、セキュリティインシデントの報道をよく目にして「面白い」と思ったこと(野次馬根性でもある)。そこから情報処理安全確保支援士を取った、という程度の距離感です。
受験要件の話
CISSPの正会員になるには「8ドメインのうち2つ以上で累計5年の実務経験」が必要です。自分はバックエンド開発がドメイン8(ソフトウェア開発セキュリティ)などに充当できますが、社会人4年目で年数が足りません。なので合格した今は、 Associate of ISC2からスタートします。学位(修士はいちおうラベルとして情報科学になってるので)1年分免除になるので、来年になって年数が貯まったら正会員申請の予定です。
2. なぜCISSPを受けたのか
前史:まずセキスペから
CISSPの前に、まずセキスペを受けていました。文系エンジニアという出自もあり、情報系の基礎・土台への不安があったからです。セキスペの午前Iは応用情報技術者レベル(午前IIはセキュリティ専門でもう一段踏み込む)なので、「基礎を固めつつ、野次馬根性も満たしつつ、AIの発展でセキュリティ需要も高まりそう」という動機でした。
当時はアウトプットの練習も兼ねて記事を書いたりもしていましたが、三日坊主で続かず…。とはいえ細々とセキュリティの勉強は続けていた、というのがCISSPに至る流れです。
セキスペの勉強法は、後でCISSPと対比するために書いておきます。
- 教材は1冊に絞って計画的に通読。使ったのは徹底攻略 情報処理安全確保支援士教科書(約600ページ)。
- 進め方は 1日20ページ通読+間隔反復。新規20ページに加えて「3日前」「7日前」に読んだ範囲も読み返すので、1日合計約60ページ。
- このペースで約1か月で1周できる計算で回していました。2025年1月くらいに勉強開始し、3周くらいしたはず。3周したあとは放置してしまっていて、試験直前に過去問演習(過去問?模擬試験?どっちか忘れた)をやりました。
- 得点としては午前は超ギリギリで受かり、午後はある程度余裕持って受かりました。ウェブ開発の実務経験のおかげで午後はある程度シチュエーションに親しみ持って解けた。
CISSPを選んだ理由
セキスペで土台を作った後、現職でセキュリティ担当になったのが直接のきっかけです。実務経験はこれから現場で積めるので、そのインプット側の軸としてCISSPの勉強もしておこうと考えました。狙いを分解すると
- 知識の体系化(いちばん大きい):担当になったはいいが実務未経験で右も左も分からない。広範なドメインを体系的にインプットできるCISSPはキャッチアップにちょうどよかった。
- 社内での箔・評価:正直に言えば「世間的にすごいと思われる資格で社内を威嚇したい」気持ちもありました。社内にセキュリティ人材が足りないという問題意識もあるようでしたのでちょうどいいかなと思いました。
- 国際資格である点:日本の枠を超えて通用するかも。外国語をやってきた身として、外資など世界で活躍する選択肢の足しになればと思った。
- 転職の保険:いざという時の選択肢として
3. CISSPとは(ざっくり)
- CISSP(Certified Information Systems Security Professional)はISC2が認定する情報セキュリティの国際資格。広く浅く、でも管理者目線で体系化されているのが特徴。
- 出題範囲は8ドメイン(CBK):①セキュリティとリスクマネジメント ②資産のセキュリティ ③セキュリティアーキテクチャとエンジニアリング ④通信とネットワークのセキュリティ ⑤IAM ⑥セキュリティの評価とテスト ⑦セキュリティの運用 ⑧ソフトウェア開発セキュリティ。
- 試験形式(2024年に変更あり):2024年2月から全言語がCAT(適応型)化され、日本語もCATで受験可能に。100〜150問・最大3時間(旧・固定形式の250問・最大6時間から短縮)。
- 自分は日本語・CAT方式で受験しました。
4. 3か月の学習スケジュールと戦略
戦略:公式問題集1冊を回し倒す
教材は CISSP公式問題集(CISSP Official Practice Tests)に一本化。「この1冊だけで合格する」という魂胆でした。
- 構成は8ドメイン×各約100問+模擬試験。これを毎日50問ずつ解く運用に。
- 50問/日なら約16日で1周(8ドメイン×100問÷50問)。あとはひたすら通読・反復して問題と解説を覚える。
- 時間は厳密に測っていませんが平日30分くらい。「時間」より「問題数(1日50問)」で管理していました。
- インプット教材を分厚く積むのではなく、問題演習ドリブンで覚えるスタイル(セキスペの通読メインのアプローチとは対照的)。
月ごとの流れと山場
- 3月:スタート。最大の山場がドメイン1の法律。米国の法律やアルファベット頭字語が全然分からず大苦戦。最初は50問解くのにかなり時間がかかりました。それでも何周もするうちにある程度覚えられましたが、ある程度捨ての気持ちではいた。
- 4〜5月:問題集を周回。各ドメインの正答パターンと解説を頭に入れていく。だいたい8割弱くらいの正答率になってきた
- 6月中旬:受験。
直前期の悪い見本と教訓
正直、自信がついたから受けたというより「もうアメリカの法律の勉強をしたくない、面倒だから受けちゃおう」という気持ちで、試験前日(金)の夜に衝動的に申し込みました。本当は日曜に受けたかったのですが満席で、やむを得ず翌日である土曜の正午に受験。
公式の模擬試験4セットは前々日から着手。終わったのが当日、家を出る直前。模試1・2は答えを丸暗記、3・4はギリギリ解いて間違えた問題だけざっくり確認、という状態でした。
なお模試(各約125問)は、初見で40分ほどで解いていました。練習でいちいち3時間かけたくないというめんどくささがあったため、さくさく解いてました。精度はある程度トレードオフで割り切っていました。
間違えたやつは覚えればいいから、直前詰め込みにちょうどいいかなと思ってました。
初回解いたときの正答率
模擬試験1:67.2
模擬試験2:73.6
模擬試験3:72.8
模擬試験4:当日家でる直前にやってたので計測できてない、一応電車乗ってるときに答え合わせだけした
マークシート的なHTMLファイルをClaude Codeに作ってもらってそこでやってました(localstorageに記録されるだけのシンプルなやつ)
教訓:
- システム上予約は前日でもできますが、席が空いていない可能性があります。余裕を持ってプラン立てて予約したほうがいいと思いました。
- 余裕を持って予約し、模試の完成度を上げてから臨めばよかったと後悔。こういうギャンブルはおすすめしません。でも12万円かけたギャンブルは流石に楽しかった。
5. ⭐本題:Claude Codeで自分用の問題集アプリを自作した
作ったもの
公式問題集を取り込んだ自分専用の問題演習アプリです。選択肢をポチッと選んで解けるUIにして、問題へのフラグ付けや間違えた問題の復習機能も付けました。設計の最優先は「スマホで布団でも通勤中でも昼休みでもポチポチ解ける」こと。
なぜ自作したか=ボトルネックの解消
もともとは「紙の問題集をひたすら通読すれば受かるだろう」というゴリラ的発想でした(セキスペでの成功体験もあり)。ところが公式問題集のKindle版が使いにくいのがネックで:
- 問題の注釈をタップ → 解答へジャンプするまでラグ。読み終えて戻るのもラグ。
- 1ページに収まるテキスト量が少なく読みづらい。
この「教材の使いにくさ」が、〈CISSPに受かる/そのために毎日勉強を続ける〉というゴール達成のボトルネックになっていると気づきました。ちょうどClaude Code(Maxプラン)を使い始めたので、「このボトルネックをアプリ自作で潰そう」と。
正直な後日談:英語版の公式問題集にはWiley/Sybexの無料オンラインテストバンク(まさに選択肢ポチ式・模試付き)が付いてきます。自作した後に知りました(日本語版に付くかは未確認)。そもそも公式アプリの存在を知らなかったのが、自作に踏み切った大きな理由でもあります。
Claude Codeでどう作ったか
正直、使い方に特別な工夫があったわけではなく、これを作り始めたのをきっかけにClaude Codeの使い方をどんどん覚えていった感じです。
アプリはCloudflareにデプロイして、Cloudflare Accessにより自分しか使えないようにしました。
Cloudflareは無料でも、個人利用なら使い切れないくらいの枠を提供してくれていてマジ神だなと思いました。
いちばん詰まったのはOCRの精度。問題文や選択肢が一部おかしくなることがありました。
- OCRライブラリや処理方法をいろいろ試して改善。
- 最終的には、問題にフラグを立てられるようにし、解いてる途中にOCRミスのある問題にフラグ → フラグ付きの問題だけをClaude Codeで一括再OCRして修正する運用に落とし込みました。
- アプリはこんな感じ。
勉強への効き目
- スマホで布団・通勤・昼休みにポチポチ解けるようになり、毎日の継続が一気に楽になりました。3か月間ほとんど休まず毎日。
- 約16日で1周できるペースで、周回数を回せてある程度定着した。
- 問題についてHaikuに簡易的な解説や、各略語がなんの略なのかという解説もつけて、これも役に立った。
- 復習機能も付けましたが、結局ゴリラなので全問通読していました。
こう勉強した方が良かった(反省)
- 脳死で全問通読ではなく、間違えた問題の重点復習をやるべきでした。だいぶ無駄な時間の使い方をしてしまったと感じています。
- 選択肢レベルで理解が浅い箇所も多かったので、「理解が浅い/覚え直すべき分野」の要注意リストを作って重点的にやる方が効率的。
- 実際、試験前日に模試を解きながら「分からない」をObsidianにメモ → メモをインプットにClaude Codeで直前チートシートを作成 → 会場へ向かう電車で見る、はやりました。が、着手が遅すぎた。最初からやるべきでした。
けっこう曖昧な理解のやつが多いんだなーと気付かされた。
これはメモの一部で、この下にさらに結構続いてます
6. 試験当日
会場・本人確認・持ち物
- 会場は大阪のテストセンター。
- 本人確認は写真付き身分証2点:マイナンバーカード+パスポートを使用。
- スマホは試験中は電源OFFにしてロッカーへ。着信・アラームで、電源が切れてても鳴る設定とかもあるかもしれないのでそこはしっかりOFFになってることを確認しましょう。
試験中の体感
- 100問で終了(CATは最短100問で終わる)。所要は約110分。模擬試験で早めに解くくせをつけていたおかげで、本番はゆったり時間つかって解けた。というか、本番が難しくてわりと考え込まざるをえなかったという感じもする。
- 日本語訳の質は、公式問題集よりも本番のほうが良かった印象。ただ「英語の原文とニュアンスが全然違うのでは?」と感じる箇所もありました。
- 難易度の体感:公式問題集・模試に比べて本番はだいぶ難しく感じました。自信を持って答えられた問題はかなり少なめ。これがCAT方式(解けると難度が上がる)ゆえかもしれません。事前にその方式のことは知ってたとはいえ、ちょっとプレッシャー感じた。
ここでの教訓:完成度を極めすぎなくていい
どれだけ事前対策しても、本番は結局ある程度「自信のない感じ」で解くことになります。なので事前勉強の完成度が極まるのを待ちすぎなくてよい。時間を費やしすぎず、ある程度仕上がったらさっさと受けてしまうのもアリだと思いました。
終了 → 結果判明の瞬間
100問で終了し、受付で結果の紙を渡されました。紙が裏返しだったので少し怖かった。すぐには見ず、ロッカーから荷物を取り出すときにその紙をしまうために見て、合格と分かりました。受付エリアは静かにすべき場所なので叫べませんでしたが、正直心の中でガッツポーズ。会場フロアから1階へ降りるまでの間にテンションが爆上がり、予約前日に取ったり、衝動的に受けたのもあってドーパミンが出てとても楽しかったです。
7. 合格のコツ・解き方
- Think like a manager(管理者目線で答える):CISSP名物のセオリー。恥ずかしながら当日、会場へ向かう電車で見かけて急いで意識しました。技術的に正しい選択肢より「管理者として最初に取るべき行動」を選ぶ観点は終盤で効きました。
- 選択肢の絞り方=仲間外れを探す:4択のうち、カテゴリやレイヤーが他と違う選択肢を見つけて切る(もしくはそれが正解と判別する)というのはよくやってました。
- 本番はじっくり英語原文でニュアンス確認:時間に余裕があるので、基本的に英語の問題文・選択肢も読んでニュアンスを確認しました。全部を読む必要はないですが、即答できなかったり自信が少しでもないやつについては英語のほうも見るようにした。
- 略語(頭字語)の覚え方:3文字をそのまま丸暗記は難しいので、それが何の略か=展開した正式名称(フルスペル)を押さえると、意味と結びついて覚えやすい。
8. 結果と振り返り
- 結果:合格(Associate of ISC2 としてスタート)。
- 一番効いたこと:毎日コツコツ続けられたこと。そしてそれを可能にした自作アプリ。継続のハードルを下げたのが勝因かと思います。
- 遠回りだったこと:間違えた問題の復習を疎かにしたこと。要注意リストでの重点復習を最初からやるべきでした。
9. これから受ける人へ/この記事で言いたいこと
受ける人へ
- 文系・セキュリティ実務未経験からでも、毎日続けられる仕組みさえ作れば十分狙えます。
- 事前対策の完成度を極めすぎなくていい。本番はどうせ自信のない感じで解くことになるので、ある程度仕上がったらさっさと受けるのもアリ(ただし予約は余裕を持って、模試はちゃんと仕上げて)。
- 受験料にちょっと足すとPeace of Mind バンドルというやつで、不合格になってももう一回受けられるやつがあるみたいなので、メンタル的に結構おすすめしたい。
最後に:AIは「ボトルネック解消」に使うと人間を強くする
「AIが発達すると人間の思考力が落ちる」という批判はあります。実際、普段の仕事でAIに任せている部分も多く、自分の力が落ちる怖さは自分も感じています。
でも今回のように、「人間が達成したいゴールのボトルネックを解消する」使い方なら、AIは人間の可能性を高めると思います。自分の場合は「教材の使いにくさ」というボトルネックをClaude Codeで潰し、試験のためのインプットを円滑にした=結果として自分自身の知識と合格を底上げする方向に使えました。
AIを「思考の代行」ではなく「ボトルネック解消」に使うというような線引きを、これからも意識していきたいです。
今後について
- はやく正式会員になってバッジもらいたい
- CPEはさっさと稼いじゃおうと思う
- 合格できてちょっと嬉しくなったので、近いうちにCCSPを狙いつつ、セキュリティ方面でどういうことをやりたいか見つめ直そうと思います。
- ガバナンスに寄るよりは、最新のセキュリティ関連技術を触って手を動かしてみたい気もする。
- Claude Codeとそこらへんの計画は一緒にたてつつ。ハンズオン形式でペンテストとかも試したりしたいかも。