ISC2のCISSP(Certified Information Systems Security Professional)試験に合格(2020/08/24)した際に利用した教材と学習方法です。CISSPの詳細についてはこちらを参照。
背景
これまで取得したセキュリティの資格は、CEHとCSSLPとCISM。それぞれの学習方法は別途まとめました。(CEHの学習方法、CSSLPの学習方法、CISMの学習方法)。英語力は TOEIC 800後半くらい。
学習資料
受験するにあたって利用した学習教材です。
11th Hour CISSP
CISSPは範囲がものすごく広いので、網羅しようとすると膨大な時間がかかりますが、とりあえずCISSPの全体像を把握するのに使えます。この本だけでは試験に合格することは難しいと思いますが、要点がまとまっていますので直前の見直しにも使えます。2015年の試験内容に準拠という点はあるのですが、大きなマイナスではないと思います。
★★★★☆(星5がMax)
CISSP Study Guide
Eric Conradという人が著者なので、コンラッド本と呼ばれます。上記の11th Hour CISSPもこの著者。説明が冗長ではなく、うまくまとまっていて学習の主力になりえます。こちらも2015年の試験内容に準拠ですが、今回の試験でもメインの学習教材として利用しました。
★★★★☆
CISSP Official Study Guide
コンラッド本よりも冗長ですが、こちらもメインの学習教材として利用できます。問題集を解いていてわからない語句をこちらで検索するとたいてい見つかるのでリファレンスとしても利用しました。章末のSummaryとExam Essentialsがうまくまとまっていますので、何を理解していないといけないのかが把握しやすいです。
また、問題集が付属しており、Webインターフェースで利用できる点もよいです。章末問題合計420問(20問 x 21章)とBonus Exam 合計900問(150問 x 6回分)があります。
★★★★☆
UdemyのThor PedersenのCISSP Video Boot Camp
UdemyでThor Pedersenという人が提供しているVideo Boot Campのコース。教科書以外のリソースからインプットをしておきたかったのですが、悪くないと思いました。講座に付属する資料も詳細で、直前の見直しにも使えます。Udemyは定期的にディスカウントしているので、その際にゲットしましょう。
★★★★☆
問題集
答えを覚えてしまうと意味がないのですが、試験問題に慣れるため、また自分の弱点を把握するための問題集のやりこみは必須だと思います。
CISSP Official Practice Tests
問題集の主力。Webインターフェースになっていますので、学習場所を選びません。各ドメイン毎に100問程度、さらにPractice Testを125問 x 4回分、合計で1334問あります。
★★★★☆
CISSP Official Study Guide
上述の教科書に付属する問題集。こちらもWebインターフェースになっていますので使いやすいです。合計1320問あります。こちらは教科書付属だけあってもう少し細かい問題が多いです。
★★★★☆
UdemyのThor PedersenのCISSP practice questions
UdemyでThor Pedersenという人が提供しているPractice Questions。ドメイン毎のテストや、ドメインに依存しないテストなど色々あるので試してみましょう。本番よりは少し簡単だと思います。
★★★★☆
その他の学習資料
教科書と問題集とUdemy以外の学習資料。
NIST SP 800シリーズ
NIST SP 800シリーズは教科書の中でもよく言及されまが、幸い日本語訳があるのでいくつか目を通しました。CISSPの試験に直接役に立つかどうかはわかりませんが、様々な角度でのインプットをしておくことによって、迷った時に考え方の何らかの支えにはなるのではないかと思いました。私が目を通したのは以下です。インシデントレスポンスについて書かれたものは読み物としても面白かったです。
- NIST SP 800-30 リスクアセスメントの実施の手引き
- NIST SP 800-34 IT システムにおける緊急時対応計画ガイド
- NIST SP 800-53 連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策
- NIST SP 800-61 コンピュータセキュリティインシデント対応ガイド
- NIST SP 800-64 システム開発ライフサイクルにおけるセキュリティの考慮事項
- NIST SP 800-144 パブリッククラウドコンピューティングのセキュリティとプライバシーに関するガイドライン
- NIST SP 800-146 クラウドコンピューティングの概要と推奨事項
- NIST SP 800-171 連邦政府外のシステムと組織における管理された非格付け情報の保護
★★★☆☆
その他
学習の進め方と試験本番などについて。試験が延期になったこともあり、時間的にはかなりやり込んだほうだと思います。
学習の進め方
11th Hour CISSPをまず読み、コンラッド本を読んで、あとはUdemyとCISSP Official Study Guideで学習しつつ、問題集を1日100問ペースでこなす、ということを3ヶ月ほど続けました。教科書は、最初はすべて通して読み、自分の理解が足りないところや大事だと思うところをKindleでハイライトしておき、最後の方はそこだけ読むようにしていました。
問題集はPractice TestsとStudy GuideとUdemyの問題集を使い、わからなかったところを、教科書やWebで調べるというやり方でした。どちらかに偏るのではなく、教科書等からのインプットを50%、問題集を解くのを50%程度になるよう心がけました。ほぼ仕上がって、あと2週間ほどで試験という時にコロナの影響で試験が延期になりました。
試験まで3ヶ月半ほど間が空いてしまったので、目標を一旦CISMに切り替えて、合格した後またCISSPの学習に戻りました。CISMの対策はCISSPにも有効だったと思います。一部のドメインが重なっていますので、CISMの学習はそのままCISSPの一部のドメインの学習になりますし、セキュリティマネージャーの立場の理解が明確になりました。
最終的には、教科書も問題集も3周しました。
試験について
試験は6時間で250問です。日本語ではなく英語で受験すると3時間で150問を解くことになります。以前、CISSPの試験内容が変わる直前の2018年に英語で受験しましたが、実力が足りなかった上に、英語も想像以上に難しい、しかも英語を選ぶと解答の見直しができない一回きりのシステムで、決断するのも困難ということで惨敗でした。CISSPは「英語のテスト」とも言われることがあるくらいですので、一番得意な母国語で受けることを推奨します。日本語で受験すると英語の原文も参照できますので安心です。
最近受験した同僚によれば、2021/04/30時点では日本語の試験でも一度解答を選ぶと戻れないシステムに変わっているようですのでご注意ください。
試験当日(2020/08/24)
試験開始30分前に会場入り、手続きを済ませて試験開始。今回は2度目の受験ということで事前の学習も周到に行い、前回とは違うという気持ちで臨みましたが、冒頭から20問目辺りまで解答に確信が持てない問題が多く、いきなり不安になりました。気持ちを折らないようにして4時間かけてまず1周目、250問を解き終わりました。その時点で計算すると、ほぼ正解できていそうな問題が6割程度、残り(大体は2択に絞れていた)が4割程度でした。出だしの躓きからは随分挽回していて元気が出ましたが、もし不合格になるとしたらギリギリだろうなと思ったりもしました。そこで初めて休憩をとって、食事や水分を取ったりしました。
見直しでは1周目よりも本番の問題に慣れて、ケアレスミスを修正したり解答を選び直したりしているうちに、あっという間に残りの2時間が経ちました。合格の紙をもらった時は正直ホッとしました。
試験の感想
難問ばかり続くと気持ちが沈んでしまいますが、トータルでは易しい問題もあるので、250問通して気持ちを切らさないことが大事だと思いました。初見では難しかった問題でも、本番の問題に慣れた2周目に読めば、出題の意図に気づいたりする事もあるものだと思いました。箸にも棒にもかからない難問も必ず出題されますが、こういう問題には時間をかけても仕方ないので割り切って次に進みましょう。2択で決めきれない問題が一番困るのですが一旦どちらかに決めて、最後に時間の許す限り、問題文、原文を読み直して出題の意図を考えるしかないと思いました。
問題を解く際には、念の為に英語の原文も見るようにしていました。原文を読んだ方がすんなり解ける問題もいくつかありました。
試験後
合格した後は、Endorsementという手続きがあります。可能な限り詳細に経歴を書いたおかげなのか、同じISC2のCSSLPを既に持っていたからなのか、4日ほどで完了の通知が来ました。半年前に同じISC2のCSSLPで申請した際には6週間経っても通知が来ず督促してやっと手続きが完了したので、今回の完了までの短さに驚きました。
CISSPの学習で得られるもの
試験自体は長く大変なのですが、学習を通して幅広くセキュリティを学ぶことが出来たと思います。ISOなどのドキュメントを読んでも、セキュリティとして当たり前のことが書いてある、と思えるようになりました。