#記事執筆のきっかけ
クラウド・セキュリティの国際資格であるCCSPを2020年6月に受験して合格し、7月に認定完了となりました。まだ日本人合格者数が少なく、ネットに日本語での受験記が非常に少ないので、書いてみます。CCSPの参考書の要約ではなく、受験記ですので、その点はご了承ください。
#CCSPとは?
CCSP(Certified Cloud Security Professional)は、(ISC)² (The International Information System Security Certification Consortium) と CSA (Cloud Security Alliance)が共同で開発したクラウド・セキュリティに特化したベンダー・ニュートラルな国際資格です。同じ略称の資格がCiscoにかつてあったCCSP(Cisco Certified Security Professional)とは全く別物です。
なお、CSAが単独で開発したCCSK (Certificate of Cloud Security Knowledge)と言うクラウド・セキュリティの資格もあります。CCSPよりも楽に取得できるようで、先にこれを取る方も多いようですが、私はいきなりCCSPを取ることにしました。
#筆者の業務と保有資格
インフラ系セキュリティを担当し、職種としてはアーキテクト。元々はUnix屋で実務経験あり。ネットワークはリーダとしての経験のみ。CCSP受験時点で、Linuxのベンダー・ニュートラルな国際資格LPICは101/102, 201/202, 303(エンタープライズ・セキュリティ)を保有。また、CCSPと同じ(ISC)²の国際資格であるCISSP(Certified Information Systems Security Professional)は2014年2月に取得済み、実務でも役立っている。
#CCSP受験のきっかけ
2018年暮れの(ISC)² Japan主催のセミナーで、CCSPの存在と日本人合格者がまだ5名しかいないことを知る。その後、資格紹介セミナーで(ISC)²の方と話す機会があり、CISSPを持ってれば全ての認定条件の代わりになることを知る。
ちょうどその頃、実務でもクラウド前提のセキュリティの理解が求められつつあり、CCSPは良い学習教材になりそうだと思うようになる。また、CISSPは持ってるものの、2013年に受験したときのCBKは結構、前世代的で、知識のアップデートの必要性も感じていた。
どうやら自社(日本)にはまだCCSP合格者がいないと言うことも分かってきて、ならば第一号を目指そう!と。
#CCSP概要
CCSPについて(ISC)² Japanの公式な説明はこちらにありますので、ざっくり概要だけまとめます。
- ピアソンVUEのテストセンターで受験するCBT(Computer Based Testing)である。
- 認定には、テストでの合格の他、実務経験が必要だが、前述の通り、CISSPを保有している場合、テストだけ合格すればOK。
- 推薦状(エンドースメント)が必要で、監査対象にもなりうるが、CISSPなど他の(ISC)²資格を持ってれば免除。
- 問題は全て4択で、記述問題はない。
- CBK(Common Body of Knowledge)と呼ばれる6つのドメインが試験範囲。
- 2020年4月以降、試験問題は英語か日本語を選択可能。日本語を選んだ場合、英語の原文も併記される。
- 試験時間は3時間で、125問。ちなみに、CISSPは6時間で250問(拷問)。
- 合格は1000点満点中700点。
- 試験問題は公表されておらず、口外も不可。
- 公式な教科書、問題集は英語版しかない。後述。
- 受験料は599米ドル。つまり、日本円で60,000円以上。落ちると痛い額。
- 合格者数は、2020年7月1日時点では29名(米国は4,223名)、2021年1月1日時点で日本人42名(米国は4,708名)、2021年7月1日時点で日本人86名(米国は5,114名)と徐々に増えているがまだまだ少ない。
- 合格後も、勉強や講演、執筆などを継続的に行うことで、CPE(Continuing Professional Educations)と呼ばれるクレジットを3年で90ポイント稼ぎ、かつ、年会費125米ドル支払う必要あり。CPEも監査対象になるため、記録を残しておくべし。
#受験勉強
##試験内容の概要
前述の通り、CBKと呼ばれる6つのドメインについて学習し、7割の正答率が必要です。CBKドメインは以下の通り。ベンダーニュートラルな資格ですので、CCSPの勉強をして合格したからと言って、AWS, Azure, GCP, IBM Cloudなどを使いこなせるようになるわけではありません。しかし、クラウドとその周辺のIT技術を体系的、抽象的に眺めることから始め、クラウドに特有、または、オンプレと同様なセキュリティ・リスクについて、インフラ、アプリ、運用など様々な観点から学べます。また、クラウドに関わる各種法律についても俯瞰して学べます。
- Cloud Concepts, Architecture and Design
- Cloud Data Security
- Cloud Platform & Infrastructure Security
- Cloud Application Security
- Cloud Security Operations
- Legal, Risk and Compliance
##受験勉強と合格、認定までの流れ
私の場合、途中で試験範囲(CBK)の改訂と試験時間の短縮があって、教科書も大幅に更新されて買い直したり、受けようと思ったら実業務が忙しくなって延期したりで、結局、勉強開始から1年ちょっと経って受験となりました。日本語の受験記も見当たりませんでした。皆さんはもっと早く取れるように、参考までにまとめます。
2018年12月 (ISC)² Japan主催のSecure Summit Japan 2018に参加、CCSPと言うクラウド・セキュリティの資格があることを知る。(が、前提条件など、あまり詳しく調べず)
2019年3月 (ISC)² JapanのNight Tokyoで資格紹介があり、(ISC)²の方とお話しして、CISSPを持ってればCCSP認定の前提条件はクリアされることを知る。
2019年4月 CCSP Official Study Guide(ペーパーバック版: 352ページ)をAmazonで購入。
2019年5月 毎年、仲間と行ってる11月の「日本酒と紅葉とローカル線の旅」までに合格と言うモチベーションを持ち、Official Study Guideで勉強開始。ノートに書いてまとめて蛍光ペンでマークする感じ。
2019年8月 Official Study Guideを章末問題含めて一読完了、11月の受験を予約。が、しかし、CCSP CBKが改訂されたことを少し遅れて知る。こちらを見て、ん・・・結構、変わってるな・・・。さらに同じタイミングで、試験時間が4時間から3時間に短縮(問題数は125問のまま)されたことも知る。
2019年9月 CCSP Official Practice Tests(ペーパーバック版: 349ページ)をAmazonで購入。
2019年10月 Official Study Guide読解を2巡し、Official Practice Testsをやってみる。結果、トータルで正答率ギリ7割、Official Study Guideにない内容がかなりあり、不安がつのる。また、CBK改訂も気になり、Official Study Guideも2nd Editionの発行が予定されていることを知る。試験時間が3時間125問に短縮され、かつ、英語のみ、と言う点も不安が大きい。(CISSPは6時間250問で日本語、英語併記だったが苦しかった)
2019年11月 会社から受験料補助があっても、合格しないともらえない。上記の状況から、60,000円以上をドブに捨てる気がしてきて、10,000円のキャンセル料を支払い、受験直前にキャンセル。翌2020年3月末で勤続25年を迎えるため、それまでの合格を新たなモチベーションに。気を取り直し、やっぱりOfficial Study GuideとPractice Testsだけでは合格は難しいと思い、Guide to the CCSP CBK(Kindle版: 504ページ)を購入。
2019年12月 CCSP Official Study Guide 2nd Edition(Kindle版: 341ページ)が出たので早速購入。結構、内容変わってる。これはキャンセルして勉強し直しが妥当。CBKもちらちらと見始めたが、結構、退屈な内容で気力持たず、モヤモヤしながら新年を迎える。
2020年2月 本業務で3月からの監査受審がアナウンスされ、CCSPの勉強どころではなくなり、3月中の合格も諦め。
2020年3月 LinkedInにCISSP, CCSPの良いビデオ教材(英語だけど1ヶ月無料)があることを知る。また、Udemyにも、買える値段でビデオ教材(英語)があることを知る。監査対応の待ち時間にちょこちょこ視聴。
2020年4月 監査対応を終え、ざっとOfficial Study Guide 2nd Editionを読み終える。そうこうしているうちに、日本語(英語併記)での受験が可能となった。これはラッキー!
2020年5月 LinkedInのおまけテストをやり、Offical Practice Testsを再受験(去年やったけど問題はほぼ記憶なし)、ドメインごとのテストトータルで87%程度の正答率。よし、これなら行けそうだ!と言うことで受験申し込み。新型コロナウィルスの緊急事態宣言明けで混んでる様子。間違えたところや、そんなのOfficial Study Guideには書いてなかったぞ、と言うポイントをExcelにまとめていく。
2020年6月 総仕上げ的に、Official Practice TestsのExam 2回を受験、86%, 90%の正答率で、ある程度の自信を得る。
2020年6月16日 新宿のピアソンVUEテストセンターにて受験、無事合格。CBTだが、画面には合否は表示されず、ドキドキしながら、受付のおねーさんのところに行き、紙で合格の結果をもらう。不合格の場合は知らないが、少なくとも合格の場合は点数は書かれていないので、余裕があったか、ギリだったかは不明。
2020年7月7日 会社からの受験料補助の関係上、7月に入ってからエンドースメント処理を完了。CISSPを既に持ってるので、実質、いくつかチェック入れて提出するのみ。
2020年7月15日 無事にCCSP認定の通知を受け取り、同日、Acclaim(現在はCredly)からデジタルバッジも発行される。
2020年10月27日 (ISC)²本部から認定証とメンバーカード、(物理的な)バッヂが送られてくる。
##ざっくりとした感想
CCSPを受験し、合格した経験から、ざっくりと感想をまとめてみました。
- Official Study Guideでは、クラウド・セキュリティにいきなり入るのではなく、まず、クラウドとは何ぞやから入るので、普段、クラウドをそれほど使っていない人にとっては良い入門になり、普段から使っている人にとっても、きちんとした定義付け、特徴を叩き込まれるので、とても良いと思います。
- クラウドにおけるセキュリティ・リスクは、全てがクラウド特有のものと言うわけではなく、オンプレとなんら変わらぬ部分も多くあります。その辺りを区別して理解できるようになるところが、CCSP認定を通じて得られた最も重要なスキルと思っています。
- どんどん新しいサービスが登場し、キャッチアップが大変なクラウド界隈ですが、CCSPで学ぶ内容は体系的に整理され、汎用性の高いものです。個々のクラウドベンダーのサービスの勉強は別途、必要ですが、長くどこでも使える知識の方に主眼を置きたい方にはオススメです。
- CISSP保有はCCSP認定の前提ではありませんが、随所にCISSPで学ぶ内容を要求されます。いきなりCCSPを目指すのは避けて、まずは一般的なセキュリティ、リスクについて学び、CISSPを取った方が良いと思います。
- 私はCISSPは持っていましたが、取得したのが2014年で、その後、試験内容が大幅に改訂されました。当時のCISSPは、モデムやフレームリレーなどの古い技術が試験範囲にあるのに、スマートフォンは一切登場しない内容で、クラウドも全く述べられれいませんでした。その意味では、CCSPの勉強をすることで、最近のセキュリティ・リスク動向、最近のCISSPの勉強も少し兼ねられたかと思います。言い換えると、今のCISSPを持ってれば、比較的、楽にCCSPを取れるんじゃないかなと思います。(英語での勉強のハードルはありますが)
- Wiley社から出てるOfficial Study Guide, Practice Tests, Guide to the CBKはやはり3つとも購入された方が良いと思います。そして、買うなら必ず最新版を購入すべしです。
- CISSPも同じことが言えますが、表面的な用語の丸暗記では合格は難しいです。抽象的な概念を理解し、選択肢の記載を読み解いて、正解を導き出すことが求められます。4つから2つに絞るのは難しくありませんが、最後に1つに絞るのが結構大変です。
- 日本語での公式トレーニングや怪し気な教材を使わない限り、日本語で全範囲が網羅された教材はありません。カッチリと書かれた結構長い英文を辞書を引きつつそれなりのスピードで読めないと苦しいです。また、受験は日本語で可能ですが、直訳で読みにくいので、併記の英語ベースで読み、日本語は補助的に使う程度が良いと思います。
- Official Study Guideでは、普段見慣れない単語が頻発します。法律用語などの他、他の平易な単語でも言い換えができそうな難しい形容詞、副詞も多いです。受験勉強開始時点では、日本語での受験ができなかったので、単語帳を作ったりもしましたが、結果として受験時期が遅れ、日本語での受験(英語併記)ができたので、単語の暗記までは要りませんでした。
- CCSP受験の3時間125問は、もちろん疲れますが、時間配分的にはそれほどきつくはありません。CISSPの6時間250問は、体力、頭脳的に限界です。笑
##使用教材の紹介
私は個人で購入できる額の教材のみを用いて学習し、日本語の(ISC)²公式CCSP CBKトレーニングは利用しませんでした。Wiley社の公式教材は必須、その他は任意かな、と思います。たまに、(ISC)²主催でCCSPチャレンジセミナーが無料で日本語で開催されるので、参加すると良いです。
Wiley: (ISC)² CCSP Offical Study Guide
Wiley社から出ているCCSPの(ISC)²公式教科書です。英語版しかなく、2021年12月時点で、2019年12月発行のSecond Editionが最新版です。Amazonのリンクは[こちら](https://www.amazon.co.jp/Certified-Cloud-Security-Professional-Official-dp-1119603374/dp/1119603374/ref=dp_ob_title_bk)。ペーパーバック版、Kindle版ともあります。2020年8月のCBK改訂で、かなり内容が書き換えられているので、初版を買わないように注意が必要です。
- これは必ず読みましょう。精読しましょう。比較的、物語調で書かれており、それほど退屈せず読めます。
- Chapter 1から11まであり、前述のCBK 6ドメインと1対1対応してるわけではありませんが、各ChapterにCBKとの対応が書かれています。
- Chapter, Section, Subsectionのような形で構造化されていますが、1つ1つが結構長く、似たような話が何度も出てくるので、構造に注意して読むと良いです。
- 前述した通り、CISSPはCCSPの前提資格ではありませんが、CISSPで学ぶような抽象的なセキュリテイ、リスクの概念に慣れてないと、読み進めるのに苦労するかもしれません。
- ITに関わってる人なら、登場するIT用語はよく見かけるものが多いですが、法律用語はなかなかそうは行きません。辞書を頻繁に引くことになり、そのうち、覚えてしまうと思います。実際の受験で日本語を選んでも、妙な直訳で読みにくいケースもあるので、併記される英語の方で意味が理解できるようにしておくべきです。
- 普段、見慣れない難しい形容詞、副詞が結構、登場します。これらも辞書を引かないと読み進めるのは苦しいです。実際の受験では、日本語を選択すれば良いので、無理して覚える必要はないと思います。
- 巻頭と各Chapterの終わりに練習問題があり、回答の解説もまあまあ丁寧です。ただ、この本の問題はやや簡単過ぎます。実際の試験はこのレベルの問題は多くありません。
- 各Chapterの終わりにWritten Labsと言う実践的な課題も用意されています。が、私はそこまでは手を出す時間はありませんでした。
- 裏表紙の記載を見落とさぬよう。無料のTest BankのURLが載っています。内容は私が使ったときと現在で変わってるようですが、Bonus TestやFlush Cardなど、本には記載のない内容が含まれます。
Wiley: (ISC)² CCSP Offical Practice Tests
Wiley社から出ているCCSPの(ISC)²公式問題集です。英語版しかなく、2021年12月時点で、2020年1月発行のSecond Editionが最新版です。Amazonのリンクは[こちら](https://www.amazon.co.jp/CCSP-Official-ISC-Practice-Tests-dp-1119603498/dp/1119603498/ref=dp_ob_title_bk)。ペーパーバック版、Kindle版ともあります。これも必ず最新版を買いましょう。
- こちらも必ず買って全問題を解き、間違ったところは解説を精読しましょう。
- CBK 6ドメインに沿った形で問題があり、さらに、全ドメインを対象としたPractice Examが2回分あります。Practice Examは受験前の仕上げ的に活用し、高得点を取って、自信を持って臨むのが良いと思います。私は、前述した通り、2019年11月に初版をやってみて、トータルで70%ちょうどくらいしか取れず、受験を見送り、その後、2020年6月の試験5日前くらいに2nd Editionで時間測ってやってみて、Exam 1が86%、Exam 2が90%くらい取れて、無事に合格しました。
- Official Study Guideのどこを見ても載ってないような内容を問われる問題が結構ありますので、特に解説をしっかり読み、メモにまとめておいた方が良いです。
- この本の裏表紙にも無料のTest Bankへのリンクが書かれていますが、内容は本と同じようです。
Wiley: (ISC)² Guide to the CCSP CBK
Wiley社から出ているCCSPの(ISC)²公式のCBK、つまり、試験範囲が網羅的に書かれている書籍です。Amazonのリンクはこちら。ペーパーバック版、Kindle版ともあります。これも買うなら最新版を買いましょう。私が買ったのは2016年5月発行の2nd Editionで結構古かったのですが、その後、2021年7月に3rd Editionが出たようで、それが上記リンクです。
- 私が買った2nd Edition前提の話ですが、、、この本は、一応、買いましたが、辞書的に使っただけで精読しておりません。正直なところ、かなり退屈な内容で、読み進めるのは辛いです。
- これを完読したとしても、下に書いた教材でテストをやってみると、全くこれに出てこない内容もあったりして、結局は、考えて答えろ、ってことのようなので、おそらく辞書的な使い方で良いかと思います。
- この本にのCBK各ドメインごとに練習問題が付いています。これは結構難しいです。本番試験まで20日ほどしかない時期にやってみましたが、76%程度しか取れませんでした。
LinkedIn: Become a Certified Cloud Security Professional (CCSP)
LinkedInが提供するCCSPの英語ビデオ教材で、アカウントを作れば、1ヶ月無料枠で視聴できます。詳細はこちらを。CISSPの復習もしたいなら、別途、こちらを。
- 英語のリスニングがある程度できるのなら、お勧めします。
- 私はそれほどリスニングが得意ではないのですが、CaptionやTranscriptもあり、それと、何と言っても講師のMikeさんの英語がむちゃくちゃきれいで、アナウンサーのようによどみなく読んでくれるので、聴きやすいです。
- Wiley社のOfficial Study Guide, Practice Tests, Guide to the CBKには見当たらない内容もちょこちょこ含まれますので、何かメモしつつ聴き、試験前に見直すのが良いと思います。
- 各Chapterごとに簡単な確認テストがありますが、難易度は高くなく、よく聞いてれば解けるものが多いです。
- 講師のMikeさんはStudy Groupの運営もされてるようで、CCSP Study Groupもあります。スケジュールに沿った学習やチャレンジ問題などの出題もサポートしてくれますが、私はあまり利用せず。
Udemy: CCSP - Certified Cloud Security Professional
Udemy提供の英語のCCSPビデオ教材。こちらを参照。
- 95%割引(!!)で1,200円だったんで買ってみました。
- 一応、ざっと聴いただけです。
Udemy: (ISC)² Certified Cloud Security Professional (CCSP) Practice
Udemy提供の英語のCCSP問題集。こちらを参照。
- これも50%割引で1,200円だったんで買ってみました。
- 結構、難しいです。Wiley社の書籍には全く登場しないような内容も含まれ、受験の10日前くらいにやりましたが、75%程度しか取れず。一応、メモっておいて、直前に見直しました。
(ISC)² APAC Secure Webinars
(ISC)²主催で、無料のCCSPチャレンジセミナーが日本語でたまに開催されています。BrightTALKのアカウントを作れば、過去分はこちらで視聴できますので、とっかかりとして聴いてみるのが良いと思います。セミナーの開催は、FacebookのCSA 日本クラウドセキュリティアライアンスグループに参加しておくと、お知らせが来ます。
CCSP Study Notes
英語でのCCSP受験記で、リンクはこちらです。私の受験記と違って、CCSPで学ぶ内容についてもまとめられており、割と参考になりました。著者の方がPractice Testsをやったときの正答率も書かれてて、私が2019年11月に一度、受験を見送ったのは、この方の点数と自分の点数を比較して、こりゃ無理かな、、、と思ったのもひとつの理由です。
CCSK,CCSP ~クラウドセキュリティ・ファンのページ~
私がCCSPを受験する直前の2020年6月に出来たFacebookグループで、CCSK, CCSPについての情報交換がされています。リンクはこちら。Facebookユーザなら誰でも参加可能で、私も参加しております。これから受験する人、合格した人双方がおられるので、参加しておくと良いかと思います。
認定証とメンバーカード、バッジ
2020年10月に(ISC)²本部から送られてきた認定証とメンバーカード、バッジはこんな感じです。CISSPとは別に貰えます。結構、ご立派な箱に入って送られてきます。
以上、お役に立てれば幸いです。