CompTIA CASP+受験記

#CompTIA CASP+とは
CompTIA CASP+（CompTIA Advanced Security Practitioner）は、CompTIAが提供している以下のセキュリティ資格のうち、最上位の資格です。
（上にあるほど難しく、CySA+とPentest+は同レベル）

• CompTIA Acvanced Security Practitioner
• CompTIA CySA+ | CompTIA PenTest+
• CompTIA Security+

無事に合格したので後進のために勉強法などを記載します。

CASP+では、最大90問出題され、165分以内に回答します。
詳細は公式サイトをご確認ください。

#事前調査
以下の過去記事でも書いている通り、受験する試験の事前調査は非常に重要です。

CompTIA CASP+はググっても合格した人の受験記がなく、一部Twitterで合格報告が見られるのみという状況です。
また、試験対策として公式サイトに記載があるのは以下の2つのみです。
１．オンラインまたはオンサイトトレーニングを受講（約23万円かかる）
２．以下から公式テキストを購入する（約25,000円）

さすがに20万円以上するトレーニングを個人で負担することはできないので、公式テキストを購入しました。

#勉強方法
公式テキストを一通り読みました。が、このテキストはあまり出来が良いとは思えません。全体的に読みづらく、英語を直訳しているように思います。
一応頑張って一読したものの、どこまで理解できたかは怪しかったです。

とはいえ、これ以外の勉強法はないようでしたので、このまま受験することにしました。

#試験当日
他の試験と同様に複数の選択肢から選ぶ問題がほとんどです。CompTIAの試験には、これに加えてパフォーマンスベーステスト（シミュレーション問題）があります。私は1問1問じっくり解くことにしました。そのため他の試験よりも時間がかかり、2時間15分ほどかけて解答と見直しを行いました。
試験の内容については一切記載できませんが、勉強の参考になる情報を記載します。

• 公式テキストに書かれている用語は一通り理解しないと解答は難しいと思います。
• 公式サイトにある以下の類似問題が非常に参考になると思います。この類似問題のように、何か状況が与えられて、それに対して適切なものを選択する問題が出ます。つまり、テキスト丸暗記では合格できません。

• 公式サイトにある出題範囲も目を通すと良いと思います。ここに出てくる単語は理解した方が良いです。

• 難易度としては、CISSPほどではないものの、CISSPに匹敵する難易度だと感じました。技術的な知見が少ない人には相当難しいと思います。情報処理安全確保試験士、SSCPより難しいと思います。公式には5年以上のセキュリティ経験者を対象にしているとありますが、必要とされる知識の広さに加えて、技術的に細かい点が問われることもあり、それ以上の経験が必要そうです。

#点数について
CASPは合否に関わらず、点数は公開されません。合否のみが表示され、誤答した項目がレポートに記載されます。
公式の出題範囲にあるとおり、1.0～5.0の大項目が5つあり、それぞれに3～5つの小項目が設定されています。
例えば1.1は「ビジネスおよび業界の影響やそれに関連するセキュリティリスクの概要を要約することができる。」です。これが小項目1つになります。この小項目を合計すると、19項目あります。

私が合格した際の不正解があった項目の数は、16でした。つまり、全問正解できた項目は3つしかなく、結構ギリギリだったのかもしれません。
逆にいうと、不合格だった場合は、レポートに書かれている項目の数を数えても意味はありません。自分の苦手分野を把握するために使ったほうが良いと思います。

#CISSP VS CASP+
ISC2が以下のような記事を出していますが、まさにここに書かれているとおりで、CISSPはマネジメント、CASP+は実務者向けです。
CASP+は、CISSP以上の技術力が要求され、その範囲もペネトレーションテスト、フォレンジック、ネットワーク機器の設定に至るまで幅広いです。

CompTIAも似たような内容の記事を出しています。コストが低いというのはそのとおりですね。下位資格が同時に更新されるというのもありがたいです。パフォーマンス試験については、私が受験した時は出題数が少なく、ちょっと微妙かなぁという気がしています。5問くらいあった方が良い気がしました。

#今後受験する方へ
CompTIAの日本支部サイトには記載がありませんが、米国本部のサイトにはCASP+が新しくなるという情報があります。
これによれば、2021年10月6日から新試験であるCAS-004が開始され、私が受験した現行試験CAS-003は2022年2月で終了するとのことです。
日本語の試験も同時期に終了することが予想されるので、受験する方は対策本がある今のうちに受験した方が良いかもしれません。

#試験を終えた感想
さすがに問題集がないというのはあまりに辛いので、ぜひ公式から出してほしいと思います。
ただ試験問題は良くできており、おかしな和訳、表現はなく、正しく判断できれば正解できる問題ばかりで、受験者の知識と経験が問われる良問がそろっていたと思います。これまで様々なセキュリティ資格を受験してきましたが、CASP+の問題は本当に良問だと思いました。問題作成者および翻訳された方に感謝したいと思います。
これでCompTIAのセキュリティ資格は完全制覇しました。CASP+の取得により、CompTIA Stackable CertificationのCSAE、CSIEも同時取得です。

#次の目標

次はFOR572のトレーニングを受けられることになったので、GNFAを受験予定です。GIAC三冠を目指して頑張ります。