【攻略法】情報処理安全確保支援士とCISAとCISSPに並列で挑戦して合格したので、勉強法と判断力のチューニングを中心にレポしてみる

はじめに

7月はAWS漬けで、その時に得られた知見はQiitaにも書きましたが（「【最速】既婚子持ち社会人のクラウド初心者でも、1ヶ月半でAWS資格11冠制覇できる方法」の記事です）、10月からまたプライベート時間を資格につぎこんでいます。人気のAWSは全部取ったので、次はベンダー資格でなくて一般性のあるものを受けようと思いました。で、セキュリティ縛りで割と人気のある3資格。支援士とCISAとCISSPです。ステータスとしては、支援士が12月17日に合格発表があって、無事合格。CISAは試験合格して審査書類提出して審査がほぼ終わってステータスが「Approved」に変わったところ。CISSPは試験合格してエンドースメントが受理されて審査待ちです。NDAがありますので、語れることはあまりないので、与太話多めです。CISAとCISSPについては原則として「公式問題集」についてのコメントであると考えてください。

概要

例によって勉強時間は測定していたので、勉強期間・正味勉強時間をご覧に入れます。

情報処理安全確保支援士

10/1～10/10で勉強＆本番
正味工数：11時間（本番含む）

CISA（公認情報システム監査人） - ISACA認定

10/1～11/12で勉強＆本番
正味工数：41時間（本番含む）公式問題集のスキャンと編集に＋10時間（外数）

CISSP（公認情報システムセキュリティ専門家） - (ISC)²認定

10/15～11/30で勉強＆本番
正味工数：65時間（本番含む）

勉強法

総論

NDAがあるので、試験の内容には言及せず、ほぼ勉強法だけを書きます。狙い通りいろんな意味でかぶっているので、並行して勉強したのは正解でした。変な表現ですが、AWS全11冠の合計勉強時間と、支援士＋CISA＋CISSPが大体同じくらいです。

情報処理安全確保支援士

支援士は、舐めてかかったら割と本格的でしたが、記述はそんなに厳密な解答を求めていないようで、そこを考えるとぬるめです。とりあえず過去問をざっと眺めてから本を探して、「ALL IN ONE パーフェクトマスター 情報処理安全確保支援士 2020年度」を古本で買って1冊通読しました。準備としてはそれだけです。ただ、この勉強方法は、IT教養がある人向けです。過去問をざっと見てみて、「うろ覚えはあるにしても、全然わからん問題はないな」と思えれば、教養が足りている表れです。スコアは4つの試験それぞれについて開示されます。私はそれぞれ8～9割といったところでしたので、本を買ったのは過剰品質でしたね。基本情報みたいにバンザイアタック（なにも準備しないで特攻）で良かった気がします。

CISA（公認情報システム監査人） - ISACA認定

CISAは、噂通りの内容でした。だから、公式問題集で判断力をチューニングする必要があります。公式問題集には解説が意味をなしていないものも多く、要約すると「CよりAが重要だから」みたいな解説が多いのですが、幸いにして1000問以上ありますので、たくさん解いているうちにだんだん飲み込めてきます。「考えるな、感じろ」というとなんだか胡乱ですが、そういう暗黙知的なものを身に着ける勉強は、CISAでもCISSPでも必須です。

公式問題集は選択肢のすぐ下に模範解答が印刷されていて、視界に入っちゃいます。これでは効果的な勉強がやりづらいので、全ページスキャンして解答・解説を消したものをつくりました。それを編集して、右ページに問題だけ、めくった裏側に問題＋解答解説、という小冊子を作って勉強しました。あとで計算してみると、教材作成時間：正味勉強時間＝１：４というすごい工数をかけましたが、これは正解だったと思います。

こんな感じに、PDFを小冊子印刷して「ほっちくる」で綴じた分冊を作りました。（分厚い分冊を作りたい方はふとい針の別商品も良いです。私は両方買いました）スーツのポッケに入るサイズのA5コピー本です。「薄い本」ですね！　使い方は、ひたすら演習。なんもわからなくてもまず問題に取り組む、という基本方針はAWSの時と同じです。こちらも成績は開示されますが、完璧すぎず危なくもない穏当な成績（スコア: 538）で、うまく対策できたと思います。

CISSP（公認情報システムセキュリティ専門家） - (ISC)²認定

CISSPは、マッチョな6時間連続試験で、しかも後戻り見直しができない独特な試験です。「まるで将棋だな」。藤井聡太四冠を見習ったわけじゃありませんが、迷いのある時にはじっくり時間を使って本番に取り組み、5時間以上を使って完走しました。長丁場なので、おやつは必須です。途中2回ほど、ブドウ糖ゼリーと炭酸水でひとやすみしました。なお、試験室出入りのたびにポケットをチェックするので、ポケットの少ない服を着ていくのも地味に重要です。

準備はCISAと同じく公式問題集のみ。CISSPの公式問題集は、やたらと架空の人名や社名が出てきて「Alexは、HogeHoge, Incのセキュリティエンジニアであるが……」という調子の問題が過半数を占めていて、なんだかとってもアメリカン。CISAの公式問題集は不親切でしたが、CISSPは正反対です。Kindle版のCISSP公式問題集は出色の出来で、超勉強しやすいです。問題番号に書籍内リンクが貼ってあって、タップすればにゅっと回答がポップアップする仕様。すばらしい。問題数も約800問＋模擬試験125問×4と十分な量があります。公式問題集は、1日1ドメインのペースで時々サボり、およそ3周しました。1周目は半分以上誤答でちょっと気持ちが萎えましたが、2周目になると9割正解できるようになって一安心。3周目になると、問題文読まずに選択肢だけで答えられるようになってしまうので、問題文のキーポイントを拾って音読するように心がけました。また、3周目は定着が甘そうなドメイン2つと、巻末の模擬試験に絞っています。これもCISAと同じく判断力のチューニングが中心ですが、「ああ、そういうのあったね」的な、レガシー技術を思い出す要素もあります。成績は開示されないので、受かったことだけ知りました。手ごたえとしては、これも程良かったのではないかなと思います。試験が終わった後に、「アレたぶん間違えたわ」と思い出す割合が、CISAと同じくらいだったので。

判断力のチューニングとは

公式問題集について語りながら、感じてもらおうと思います。まず第一の観点として。CISSPの公式問題集は英文併記なので、日本語で受けるか英語で受けるかの判断にも使えます。なんて書いてはみたものの、母語で受ければいいと思います。大体の誤訳は、背景知識が足りていれば主旨を想像できますしね。公式問題集を見ていると稀に、単複や冠詞やsomeやanyなどから「全称命題なのか、存在命題なのか」という判断をしないと心許ない問題も出てきますが、さほどたくさんあるわけではありません。

さて、本題の「判断力のチューニング」ですが、公式問題集を解きながら、私は下記のような点を気にしていました。本番で役に立ったかどうかは伏せますけどね。

• 正解と思しきものが複数ある時に、実現性と論理的整合のどちらをどの程度優先するか。問題領域ごとに判断基準の違いはあるか。
• 不正解と思しきものしかない時に、問題領域ごとに、どの施策領域を有効とみなす傾向にあるか。
• 自分用語で申し訳ないが、ブルドーザー解（課題以外も改善する策）とスナイパー解（課題のみを解決する解）をどう評価するか。
• 特に対策について、暗黙に含まれる要素とそうでない要素をどう考えるか。例えば、「規則で決める」と言えば「守ってない人を罰する」というのが暗黙に含まれそうだが、そういう類推をどういう設定の時に、どこまで含意しているものとみなすか。
• 全称命題／存在命題の別によって解が定まるような問題を好むか。それらはどのくらい厳密に扱われているか。ちなみに、AWS認定の時は、原文を見ても曖昧なケースがあった。日本の本格的な資格試験（公認会計士とか司法試験とか）の場合は、この観点をガッツリ厳密に繰り出してくる。

あんまりたくさん書いても意味がないと思いますので、代表的な観点のみですが、そういうふうに頭を使いつつ、ただひたすら問題を解く、というのがおすすめの勉強法です。

試験日の取り組み方ですが、私は基本Qiita上で色々漁ってみました。見たのはこのあたりですね。

• 支援士：「情報処理安全確保支援士試験に合格したので色々まとめてみた」
• CISA：「CISA/CISM 受験記」
• CISSP：「CISSP 受験体験談」

どの記事も、体験談としてリアリティがあって、参考になりました。体験のシェアって、いいですよね。ゼリーを軽食に持っていったのなんかは、上記CISSPの記事を参考にしました。支援士は、どれを参考にしたのか忘れてしまったので、思い出してかつ違っていたらまた直します。

おまけ

そんな中、基本情報技術者試験も取ったんですが、まあ、これはIT教養だけで何とかなったので、特に書くことはありません。IPAは安いぶん、ほとんどのヤツは受検チャンスは年2回しかなくてもどかしくて、カッとなって今更ながら基本情報を取りました。CBTなので、会場が多く、受検可能日程にも幅があり、春と秋のIPA系資格の一斉試験日以外でも受けられるのです。20代の頃に第Ｉ種情報処理取っているので、本当に今更です。あの証書は遠い昔になくしちゃったけど。今後はゆったり、来春にITストラテジスト、来秋にシステム監査技術者、って感じで年2つずつ集めようかと思います。ソシャゲで言えば、イベント配布URを集める感じ。

すっかり資格マニアですが、飽きるときは一瞬なので、そのうちパタリと飽きるかもしれません。その時はその時です。

おまけついでに、やわらかいお話もしておきましょう。今期はアクアトープと86と無職転生を見ています。勉強のせいもあるけど、今期は脱落したのが多いです。見える子ちゃんとか、暗殺者とか、サクガンとか、別に退屈になったわけじゃないのに遠のいてしまいました。そんな中、アクアトープを見続けているのは、自分でも不思議。P.A.って、テンションの低い主役級キャラクターを出して勢いを損ねがちな印象があるんですが、今作の風花は大丈夫みたい。それとも、自分の方がちょっと趣味が変わったのかな。

というわけでなんだか話が盛大にそれていったのは、NDAに配慮した結果です。ではまた。