CISSP合格したので勉強法など

CISSP合格しました

セキュリティ関係の体形的知識をつけたい！！と思って高名なCISSPの試験合格を自分へのエサに勉強しようと始めました。
本を買ってすぐ炎上案件に放り込まれてしまい、ちゃんと勉強ができたのは2022/7～2023/4 の10か月間。試験の難度と比してかなり長い時間かけました。
結果として、セキュリティを中心とした仕事を作れるようになったり、お客さんと話すときに「教科書的な答えはこれですねー、でもｘｘがーとか」
「一般的なフレームワークではｘｘですね」とか、（一般的なスタンダードが自信をもってわかるので）わかってる感をだせるようになりましたｗ
目的が達成されてわたしは満足です。

本人

• インフラ系のSE。マネジメント系の仕事が多い。セキュリティ専門職ではないが、仕事でもセキュリティ系のミドルウェアの設計はしたりします。
• たまに比較される情報安全確保支援士は取得済み
• 趣味は読書
• CISSP取得のために勉強会を作って勉強しました。→ CISSPとIT資格の勉強会
  　※合格できたのは、勉強会でいつも一緒に勉強してくれているみなさまのおかげです！！

目的

• エンジニアとして特化分野つくるため。セキュリティの勉強のためのモチベーション装置として資格取得を目指そうと思いました。
• セキュリティの知識を再度洗いなおすため。（情報安全確保支援士のときは、あんまりちゃんと勉強せず試験料もったいないから受けたら偶然受かった）

先に伝えたいこと

日本語CISSP CBK 公式ガイドブックは、正直初めに読むには向いていない

翻訳がーといわれがちなこの本ですが、「翻訳以前にそもそもわかりづらい」です。内容は素晴らしいのですが。。よくあるのが、表題はAなのに、はじめからBの話が始まり、いつの間にかCの話になり、結局Aの話は出てこない、、、なんや！！と何度も思いました。（例えば「リスクマネジメント」という項の初めが「リスクアセスメントプロセスの最初のステップは、、、」とか、初学者はマネジメントとアセスメントの関係性がわからずに混乱する）
英語の最新版（日本語は2023年現在4th,英語版は6th) はそんなことないです。英語を翻訳ソフトで翻訳して読む方が、ずっとわかりやすいです。。
また、構成を除けばよい本なので、「全体を理解してからの」リファレンスとしてはとても役立ちます。

CISSPの問題は非公開なので、問題集のような問題は出てきません

公式問題集は実際の問題形式になれるためにあるのではなく、あくまで知識習得のための補助として活用すべきです。公式問題と実際の問題の形式は大体資格試験で同じになることが多く、そのために公式問題集を利用するケースがあると思いますが、CISSPはそうではありません。
NDAがしっかりしているせいか、問題形式を明かすコンテンツも無いようです（わたしもしゃべりませんｗ）

おすすめ勉強法

以下の感じで、問題集の正答率が90％超えるくらいなら、大体大丈夫なんじゃないかなーと思います。

ドメインガイドで試験範囲を確認する

CISSP、むっちゃ試験範囲広いのでCBKガイドの全分野を覚えるのは難しいです。すべてが出題範囲なわけでないので、まずは上記のドメインガイドで範囲をしっかり確認しましょう。

問題集を解いて知らない単語をリストアップして覚える

CISSPの試験問題は"top secret"なので当然この問題集も試験問題とは関係ないです。
ただ、繰り返し問題をといて、「選択肢に知らない単語がない」という状態にしておく必要があります。自分もそうだし、いろんな方に話をきいたりしてもやはり問題集が一番役に立ったと思います。

英語がスラスラいければ、以下の公式アプリがおすすめです。（わたしは読むのに時間がかかりすぎるので、画面キャプチャして一括OCRしました）

問題と並行して英語版のCBK referenceを適宜参照

個人的に日本語CBK公式ガイドブックよりこっちが超おすすめです。わかりやすいし、2版も版が上なので内容もかなり違います。
★また、用語関連は英語の表現を覚えておかないと、CISSPに限らず日本語訳に揺れがあるので詰みます（AssuranceだとかTrustだとかCertificationだとかVerificationだとかのノリがわかる必要がある、、、難しい、英語の試験かよ）

「CISSP的な考え方」をISCの動画を見て覚える

知識 + CISSPならどう考えるか？？みたいなことがとても重要です。ISC2公式の動画教材がとても役に立ちます。これは、有料の集合研修の宣伝用のエッセンス動画ですが、エッセンス凝縮され過ぎていて無料のこれだけでいいのでは？？（有料の研修受けてないで言ってますｗだって高いんだもの）とおもいました。

合計で3時間半くらいあります（早口過ぎて倍速無理w）が、絶対見たほうが良い。

おススメ補助教材

以下のyoutubuがおすすめです。英語ですが、youtubeの説明ページにPDFの資料があり、これがとても分かりやすいです。教材見ながらyoutube聞けばなんとなくわかるんじゃないかなと思います。

勉強会

わたしはこの勉強をしながら、「毎週一度勉強会で各ドメインを資料にまとめて発表しあう」という活動をずっとしていました。やっぱり人に説明したり、議論したりすると知識の深さがましたり、定着度が跳ね上がったりします。
※別に宣伝して私が得するものでもないですが、いまのところ参加者の合格率100%ですｗ

試験日の感じ

当日持って行ったもの

• コーヒー入りの水筒
• チョコレートひと箱
• 免許証・クレジットカード（身分証明用）

試験つれつれ

（勉強会のメンバーのいままでの合格率が100%であるため、もし落ちたらフラグ回収か、、？とかなりプレッシャーを抱えて試験に臨みました。。）

わたしはPearsonの西新宿センターで有休をとって月曜日に受けました。6時間の長い試験で体調を万全にしたかったので、日曜の夜に割り込みが入ることないだろ、という判断です。
前日はお酒も飲まず、直前の勉強もせず早めに寝ました。
長丁場の試験なので、「水筒に入れたコーヒー」「チョコレートひと箱」を持っていきました。

試験開始前にまず困ったのが、「試験会場のビルが施錠されていて入れない・・・・」
インターフォンっぽいのがあったので、とりあえず押してみると、英語でなんか聞かれたのですがわからず、、とにかくうなずいていたら開けてくれましたｗ

身分証明書は2つ必要なので、免許証とマイナンバーカードを出したのですが、両方ともプライマリな証明書だからダメ、とのこと（正直制度の意味わからぬ）。後ろに署名付きのクレジットカードを示してＯＫもらいました。
直前は勉強しない派なので、試験開始までぼんやりしてました。時間より早く始めてもいいよ、ということだったので、写真撮ったり静脈登録したり、入念なボディチェックのあと試験開始。

試験は250問を6時間。50問1セットと考えて1セット1時間ペース、3セットで一度長休憩で行こうと決めていました。
問題には、おおお、こういう問題なんだ、、、と面食らいました。なるほど、、これは問題集にして暗記されたら資格の意味にないわ、、みんな口が重いわけだ、、。（教育的で良い試験だと思いました。試験自体からの学びもありました）

50問解いたところで、まったくわからない問題1問。うーんひょっとしたら間違ってるかも3問。この時点で正直勝利を確信していました。あとは淡々と解いていくだけ。
（ただ、知識試験と違うので、観点が違ってたら全部間違ってるかも、、という不安は若干ありました。もし落ちたら、どんだけ勉強しても受からなそう、、）
後半ペースが速まって、4時間程度で退室。

カウンターに行くと紙が印刷されていて、、、
無事合格していました！！！、良かった、、、。けどこれで一区切りついちゃった、という残念な気持ちも若干ありました。

代々木のサイゼリアで昼ごはん食べながら勝利の余韻に浸りました。

最後に

資格試験にここまで準備して臨んだのは初めてでした。勉強前と比べて格段に知識がついたし、クライアントと話すのも（一般的なスタンダードが理解できるので）とても自信をもって話せるようになりました。
大きな成果です。
資格のモチベーション維持のために作ってみた勉強会でもいろんな方と出会いがあり、CISSPの試験だけでなく様々にお世話になりました。大変感謝しています。（正直試験合格そのものより価値があった気がする）

資格は資格にすぎませんが、でも受かってよかったですｗ