CCSP合格しました
CCSPはCISSPと同じISC2が提供するクラウドセキュリティに特化した資格です。
ベンダーフリーなクラウドセキュリティの資格としてわりと高名です。
他の資格とのマップはNRISECUREさんの以下記事がとても分かりやすいです。
最近はISC2もCISSP+CCSPのダブル取得を推奨しています。
平均年収137,100米ドル=20,565,000円とかいう煽り文句もあり、ホンマかいなという感じです。
2023年6月にCISSP に合格し、ついで2024年2月にCCSPに合格しました。
そのためこの文章も CISSPをすでに取得している人向け のものになります。また、結構聞く、CCSPとCISSPどっちから取るべき、ということも書きます。
本人
- インフラ系のSEです。セキュリティコントロールの導入などのお仕事が比較的多いですが、興味の赴くままなんでもお仕事します。
- CISSP / 情報安全確保支援士 取得済
- 趣味は読書と勉強会
- CISSP取得のために勉強会を作って勉強しました
(今ではちょっと目的を変えて ISC2 Japan Chapterの公式WGになっているので、良かったらどうぞ。オンライン勉強会に参加すればもれなくCPEもらえます)
目的
- 最近仕事で扱うものがクラウドサービスばかりであり、クラウドセキュリティ関連の知識を向上させるため
- 社内でセキュリティが得意な人を増やすための教育の参考として
- CISSPのCPE積をさぼっていたので40CPEで逆転したかったため
まずお伝えしたいこと
CISSP ⇒ CCSP の順番の取得をおススメします
資格の難易度として、CISSPの方がCCSPよりも難しいとされているため、CCSP ⇒ CISSPの順番で受験しようとする方がいるかもしれません。
ただ、この試験は以下の特徴があり、CISSP ⇒ CCSPの順番をお勧めします。
特徴: CISSPとCCSPはベースとなる部分や難易度は同じで、その上であつかう知識の範囲にのみ違いがある
確かに、全体としてみればCISSP試験の方が範囲も広く難しいといえますが、正直それは表面的な知識範囲の差であって(それはそれで覚えるのが大変ですが)知識部分の違いにすぎないです。
CISSP試験を受けた方が誰しもが感じると思いますが、この「セキュリティ専門家としての考え方」の部分が一番難しいところです。
ここを身につけるのには、広範な知識範囲を外観して、問題を大量に解いた方が近道だと思います。CCSPの試験範囲だけでここを理解するのは正直難しいため、CISSPを先に受ける ことをわたしはお勧めします。(CCSPをとった人はどうせCISSPも取ると思いますし)
勉強方法
丁度8週間でスケジュールを立てて、その通り実践し合格しました。
| 週 | 内容 |
|---|---|
| 1W | ドメインガイド確認 + アプリ問題(domain 1) |
| 2W | アプリ問題(domain 2) |
| 3W | アプリ問題(domain 3) |
| 4W | アプリ問題(domain 4) |
| 5W | アプリ問題(domain 5) |
| 6W | アプリ問題(domain 6) |
| 7W | 間違ったところをNotionにまとめ、勉強会でアウトプット |
| 8W | 予備(& 間違った問題を気の向くまま復習したり) |
1. まずはドメインガイドをざっと概観
一番大事なのが、まずはドメインガイドで試験範囲を確認することです。
かなり詳細に試験範囲が書かれています。
例えば、ドメインガイドには以下のような記載があります。
クラウド環境における一般的な脆弱性
- OWASP Top10「The Top Ten Most Critical Web Application Security Risks」
素直に「一般的な脆弱性は、OWSP Top10を押さえておけばよい」、ということがわかります。
ちょっと古いですが、その分ポイントがシンプルにわかるので、このチートシートを中心に一般的な対策を覚えました。(もちろん今では別の対策が一般的なものもあるので注意)
全体的に見て、まったく知らない範囲についてチェックしました。
2. ISC2の公式アプリを1周し、間違った問題、知らない知識をチェック
問題としては自分はこの公式アプリが一番良いと考えています。
- ISC2の公式であり、問題の質が高い(公式以外の問題は特に「考え方」の部分が必ずしも正しいと限らない)※注 似た問題・同じ問題が本試験に出るわけではないです。
- 問題が常に更新されており、求められている知識がどれくらい最新の知識なのか がわかる(ハズ)
特に2つ目の部分は、あまりにも知識のアップデートサイクルが大きいIT系の試験特有の問題として、試験と今現在の知識が合わない という問題が発生しがちなため、常にアップデートがかかる公式問題に頼りました。
注: これはわたしの「きっとそうなはず」という思いであり、実際の試験問題がどうかはわかりません
6ドメインそれぞれ、250~300問くらいあり、1500問くらいあるので、結構なボリュームです。
わたしは、1週間に1ドメインで6週間のスケジュールを組みました。
また、英語でスラスラ解くほど語学力がないため、画面をキャプチャ+OCR+ChatGPTで成形するスクリプトを組んで日本語にしてから解きました(ChatGPTは4ならほぼ完ぺきだけど、APIが結構高かったので、3.5で。結構ハルシネーションが、、逆に注意深く問題を見ることができましたw)
問題をといていると、「あ、こう考えるのが確かに正しいや」とか「ああ、なるほどこうなんだ」と感心させられる場面が多かったです。かなり良問だと思いました。(もちろん少数の例外は、、)
以下の2つに分類し、必要な問題をprivateなNotionに書き写しました。
- 間違った問題+理解が深まる良問
- 知識として知らない問題
3. 「知識として知らない問題」について、詳しく調べてNotionにまとめる
特に以下などの知識がCISSP取得時には覚えなかった知識でした。
- クラウドの定義
- クラウドのセキュリティ標準(特にCSAなど)
- データセンターの設計
実はCCSP、クラウドサービスを利用する側だけでなく、提供する側の立場も試験範囲 なので、データセンターの設計の知識はかなり必要です。勉強になりました。
例えば以下のような感じで、Notionにつらつらノートを作りました。
NIST-500-292 NIST Cloud Computing Reference Architecture
https://www.nist.gov/publications/nist-cloud-computing-reference-architecture
クラウド関連の業態の分類
- クラウド・コンシューマー
クラウド・プロバイダーとのビジネス関係を維持し、そのサービスを利用する個人または組織。- クラウド・プロバイダー
関係者がサービスを利用できるようにする責任を負う個人、組織、団体。- クラウド監査人
クラウドサービス、情報システムの運用、パフォーマンス、クラウド実装のセキュリティについて独立>した評価を行うことができる当事者。- クラウド・ブローカー
クラウド・サービスの利用、パフォーマンス、提供を管理し、クラウド・プロバイダーとクラウド・コンシューマー間の関係を交渉する事業者。- クラウド・キャリア
クラウド・プロバイダーからクラウド・コンシューマーへのクラウド・サービスの接続と輸送を提供する仲介業者。
4. 勉強会でアウトプット
CISSP受験の時に始めたオンライン勉強会を今でも毎週実施しており、ここで1回発表タイミングをもらって、作ったノートをアウトプットしました。
誰かにアウトプットすると、知識の定着率が1000倍(当社比)なのでおすすめです。
5. 「間違った問題+理解が深まる良問」を気の向くまま解く
自分としては1.~4.でもう試験対策としては大丈夫な自信がありました。
予備として1週間とっておいたので、無理しない範囲で問題を解いたりしました。
試験当日
CISSP試験と違って、お昼の12時半から240分の試験で(CISSPは早朝から6時間、、、)なのでかなり心理的に余裕がありました。場所は新宿のPMOビル。
(このときは、仕事が大炎上しており、ほとんど休みなく働いていましたが、前日と試験日だけは会社スマホの電源を切って音信不通にしました。。。)
少し前に到着し、近所のタリーズでコーヒーを飲んでリラックス。眠くなると嫌なので、お昼ご飯は我慢しました。
試験の受付の方も、去年CISSPを受けたときと同じ人で、なんだか親近感がわきます。(この人、なぜかすごく機嫌がよくって、たまに受付で踊ったりしている)
身分証明が2つ必要なので、免許証+クレジットカードを提示。(前回は、マイナンバーカード+免許証を提示したら、「両方ともプライム証明書なのでNG」といわれて焦った)
CCSP試験は150問なので、50問/1hペースで1hごとに休憩をするプランで臨みました。
正直2回目なので、想定している難易度なら合格できるはず、と踏んでいました。20問くらい解いたところで、試験の難易度が想定通りであることが分かったため、あとはリラックスして試験を受けました。
受付に戻って結果を受け取る時はそれでも緊張しましたが、無事合格していました。
代々木まで移動して、マックでビックマックをほおばりながら勝利の余韻に浸りました。
(正直炎上プロジェクトの中、試験を受けるのが一番難関でした。。電源切っていたスマホを起動するのが怖かったですw でもプロジェクトも何とかなりましたw)
その他
日本語版公式CCSPドメインガイドは使いませんでした
日本語版の公式CCSPドメインガイド、非常に良い本だと思うのですが、残念ながら試験範囲と一対一対応していないため、短期間の試験対策としては使い勝手が悪く、購入したものの利用しませんでした。
多分CISSPを持っていない方が、CCSPから受けるには、この本をゆっくり時間をかけて読むべきかと思います。
資格を取ってすぐに役に立ちました
資格を取得した直後に、たまたまクラウドサービスの認証の話になり、FedRAMPやISMAP、CSAのスタープログラムの話とかを話して知っている感を出すことができました。
また、自社内の受けも良く、社内のセキュリティリテラシ向上の一助になれそうです。
以上。勉強してよかったな、と思える試験でした。おススメです。