CSSLP(Certified Secure Software Lifecycle Professional)に合格(2019/12/16)した際に利用した教材と勉強法です。公式トレーニングは受講していません。リーズナブルな金額で入手できる教材と、それを用いた勉強法を紹介します。CSSLPの詳細についてはこちらを参照。2020/1時点では英語でのテストしかありません。
前提条件
これまでの業務で下記のような経験があり、これらはCSSLPに役に立ちそうでした。ネックは運用経験がないこと。
###開発経験
Waterfall、Agileでの開発経験あり。言語はCとJava。テストはUnit TestからRegression Testまで実施。Certified Scrum Master(認定スクラムマスター)。運用経験はなし。
###セキュリティの経験
SAST、DAST、SCA、Fuzzingなどを利用した経験あり。CEH。
###英語
TOEICは800点後半。英語の試験はCEHで経験済み。
役に立った学習教材
CSSLPは学習教材がとても少ないのですが、その中で利用した教材を紹介します。結論から書くと、次の2冊のうちどちらか、もしくは両方をやり込むしかありません。
CSSLP Certification All-in-One Exam Guide, Second Edition
通称AIO。436ページの教科書。Appendixを除けば394ページ。教科書の選択肢がこれか次に挙げる本しかありません。両方を読むことを推奨しますが、どちらか一方を選ぶとなるとこちら。数回の通読は必須だと思います。各章末に10問-20問のサンプル問題があります。本に付属しているWebベースの問題集アプリが優秀。問題集アプリについては後述。
★★★★★(星5がMax)
Official (ISC)2 Guide to the CSSLP CBK ((ISC)2 Press)
公式本。755ページの教科書。Appendixを除けば643ページ。ページ数は多いですが図が多いのと文字が大きいので読みやすいです。ページ数はこちらの方が多いのに、体感ではAIOの2/3くらいのボリューム。各章末に20問-30問のサンプルの問題が付いています。アプリ形式の問題集はなく、そこが★1つマイナス。
★★★★☆
その他の学習資料
基本的には上記しかないと思いますが、私が試してみた上記以外の学習コンテンツや資料です。
Cybrary CSSLP Training
Cybraryの無償の6時間弱のコース。無償という点は素晴らしいとは思います。受講と同時に246ページのスライドの資料も入手できるので、受講だけしておくのはありかもしれません。ただし、これだけを受講して合格するとは思えません。いずれかの教科書を読む前に、CSSLPの概要を掴む目的で利用するのが良いと思います。
★★★☆☆
Quizlet
Flash cardです。Quizletのアプリをスマホに入れて"ISC2Education"で検索してCSSLPのフォルダを見つけてください。100程度の用語があります。ISC2が提供している公式のFlash Cardですので、信頼ができます。重要な用語ばかりですので、教科書を読む前、もしくは読みながら用語を頭に叩き込むという点では使えます。学習の初期段階での利用を推奨。
★★★★☆
NIST SP 800-64 rev.2 情報システム開発ライフサイクルにおけるセキュリティの考慮事項
NIST SP 800シリーズは教科書の中でもよく言及されますが、特にCSSLPと親和性が高いのがSP 800-64です。必須ではありませんが、日本語翻訳があるので目を通しておくと良いと思います。
★★★☆☆
問題集
教科書だけではなく、問題の数をこなしてCSSLP特有の問題の形式に慣れたいところです。が、残念なことにCSSLPはまともな問題集はありません。教科書章末のサンプル問題と付属の問題集アプリを活用することになります。
CSSLP Certification All-in-One Exam Guide, Second Edition
付属のWebベースのTotal Testerアプリが使いやすいです。テストをカスタマイズすることができ、テストしたい範囲、テスト数、テスト時間を自由に決められます。ドメインごとの正答率を表示してくれるので、どのドメインが弱いのか、学習が必要なのかがわかりやすいです。ただ、MAXでも350問しかないので、答えを覚えてしまうとすぐに勉強にならなくなってしまうことが難点。
★★★★★(既出ですが)
教科書章末のサンプル問題
CSSLP Certification All-in-One Exam Guide、Official (ISC)2 Guide to the CSSLP CBKともに章末のサンプル問題はそれなりの数があり、比較的良問が多いと思います。正答率の低いドメインは集中して学習し章末のサンプル問題で確認しましょう。CSSLPは問題集がないので、章末のサンプル問題も貴重です。
Udemyの CSSLP 問題集
CEHではUdemyの問題集が非常に有効でしたが、CSSLPはUdemyでも良い問題集がありませんでした。いくつか試しましたが、明らかにCSSLPの範囲ではない問題が多く出題され、残念ながら使い物になりませんでした。教科書付属の問題集を大切に活用しましょう。
その他
その他、気になった点など。
問題集が少ないので教科書中心で
CSSLPは問題集が無いに等しいので、教科書中心の学習になります。問題集は答えを覚える目的ではなく、自分の弱点を洗い出す目的で使いましょう。
試験は長いが心が折れないように
試験は4時間で175問です。途中の休憩用の食事を持ち込みましたが、すべて解答して見直しするとぴったりくらいで休憩する時間はありませんでした。どれだけ勉強したとしても見たことのない用語が出てきたりしますが、焦らず次の問題に進みましょう。難問にはあまり時間をかけずに、正解と思えるものをマークして次に進みましょう。後ろの方に簡単な問題があることもありますので、すべて解答し終えてから見直しても間に合うはずです。