More than 1 year has passed since last update.

CISSP体験記

Last updated at 2023-05-11Posted at 2023-05-11

はじめに

昨年、2022年6月にCISSPに合格しました。
この記事ではその際取り組んだ内容を共有します。

CISSPとは？

公式より抜粋

CISSP(Certified Information Systems Security Professional)とは、(ISC)² （International Information Systems Security Certification Consortium）が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。

CISSP CBKは、以下の8ドメインから構成されています。
・セキュリティとリスクマネジメント
・資産のセキュリティ
・セキュリティアーキテクチャとエンジニアリング
・通信とネットワークのセキュリティ
・アイデンティティおよびアクセス管理
・セキュリティの評価とテスト
・セキュリティの運用
・ソフトウェア開発セキュリティ
CISSP CBK 8ドメインはそれぞれが独立した知識として提供されているのではなく、それぞれのドメインで提示された知識やスキルを組み合わせることで、セキュリティ計画や具体的な対策に役立てることができるようになっています。
これはCISSP の認定試験においても同様で、単一のドメインの知識を有していることを判断するのではなく、複数のドメインの知識を活用して、課題に対応していくことが求められています。*

基本4択なのですが、単純な知識問題はほぼ無く、より実務寄りの複雑なセキュリティ問題が出題されます。
その問いに対して、セキュリティスペシャリストとして何をすべきかを選択する必要があります。

私について

大学卒業後、デベロッパー->アーキテクトとして4年程Webアプリケーション関連のシステム開発に携り、その後転職しました。現在はAppSec関連のベンダーでセールスエンジニアとして活動してます。

正直、CISSPを受けるまでセキュリティ系の資格は何一つ持っていませんでした、TOEICは700くらいです。

合格までの流れ

2021/3

当時転職したばかりで、セキュリティの知識もなかったため、長い目でいつかCISSP取れれば良いかなと考えてました。まずは全体像を掴みたかったので、以下の本から始めました。
Eleventh Hour CISSP®: Study Guide (English Edition)

内容的にはかなり薄く後半全く使いませんでしたが、情報は網羅しており読みやすいです。
今考えるとセキュリティのことを知るとっかかりという意味でも良かったかなと思います。

2021/8

11hourを読み終えたので、UdemyでThor Pedersenという人が提供している以下のコースをセールで買いました。

これらのコースについてくるPDFが非常によくまとまっており、最後まで重宝しました。
この時は深くは取り組まずざっくりと全体感を掴むために一巡しました。

2022/3

試験日を5/30に設定し、ここから本腰を入れて勉強を開始しました。

学習資料について

以下の公式Study Guideをメインに使用しました。
(ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide (English Edition) Kindle版
11hourに比べ量が膨大で、問題集と並行しながら何度も読み返しました。

問題集について

合格して重要だったなと感じたのは、Udemyの講師でもある、Thorの以下ページでした。
https://thorteaches.com/cissp/
特に強調したいのは、

Start on practice tests; it is normal for students who pass the CISSP to have completed 3,000 – >5,000 unique practice questions.

という部分で、必要な知識は幅広く、CISSP的な考え方を持たなければ合格は難しいため、数をこなして問題になれることが重要かと思います。

私が使用した問題集は以下のものです。

CISSP公式問題集 Kindle版
CISSP Official Study Guideに付属の問題
CISSP EASY/MID questions #1 - ALL CISSP domains 250 Q - 2023

これら問題集に取り組みつつ、Study GuideとUdemyのPDFを読み返し復習する、を繰り返しました。
間違ったものやわからない単語はquizletで単語帳を作り、移動中等の隙間時間にやってました。

2022/5

着々と問題集を進めていたのですが、なかなか正答率が伸びずこの時点で受けても受からないと判断し、試験日を6/21に移しました。

結果的にはそれでよかったと思います、というのも上記の問題集の正答率が80%を超え始めた辺りで以下のものを取り組み始めました。

これが非常に難しく、最初解いた時はこれまで解いた問題がいかに知識レベルで簡単な問題だったかを思い知りました。
一方で本番の難易度はこれらに近く、正直これらをやっていなかったら受かってなかっただろうと思います。

2022/6~試験当日

一日100問ほど解くをノルマにしながら、何とか各問題集の正答率が80%になるくらいまでやりこみました。

試験会場は東京駅近くでかつ朝8時開始だったのですが、私は神奈川に住んでいるため、ホテルを取り前日入りしました。
試験時間は6時間で以前は見直しが出来たようですが今はできず、一度解答を入れると戻れません。
問題を解きながら、HARDをやっておいてよかったと思いつつも、全く自信が持てないまま進んでました。
めげずに途中2回ほど休憩をはさみ、約5時間くらいで解き終わりました。その場で結果を渡されるのですが、合格の文字を見たときはどっと疲れがきて涙が出そうでした。

合格後

CISSPでは試験による合格に加えて、Endorsementという手続きを行う必要があります。(認定手続き)
私の場合上司がCISSP保持者でしたので推薦状を書いてもらい、自分の経歴を出来るだけ詳細に書いて提出したところ、1週間程で完了しました。

その他、やってよかったと思うこと

解いた問題の管理

解いた問題を把握するために、以下のようなスプレッドシートを作成し、解いた問題と正誤の履歴を付けていきました。

問題数を把握できるので目標感が出て良かったかなと思います。
最終的には各問題集を80%以上回答できるようにし、全部で6000問以上解いたことになりました。(復習を含む)

知識を得るために使用したもの

問題の解説やStudy Guideを見ても正直よくわからない、と言ったことが頻発するため、情報のソースを多いほうが良いと思います、有用だったものをリストします。

CISSP 勉強ノート
よく情報がまとめられており、あれこの単語どういうことだろう、というときに検索すると引っかかりとても助かりました。
NIST SP 800-37, 800-171, 800-53
これは5月の後半から読み始めたのですが、もう少し早めに見ておけばよかったかなと思ってます。
資産やリスクマネジメントについて記載されており、Study Guideよりも日本語でまとめられているからか頭の整理に非常に役に立ちました。
ネットワークエンジニアとして
こちらはセキュリティというよりネットワークに関するページなのですが、恥ずかしいことに私のネットワークの知識レベルが低く、ドメインの中でもネットワークセキュリティはかなりハードルが高かったです。
ネットワークについて学びなおしたいときによくこのページを使用するのですが、分かりやすく良い復習となりました。

Quizletの活用

覚えることが非常に多いため、単語カードを用いた暗記はほぼ必須だと思います。
私はQuizletを用いて進めました、自分で作成する以外にも有志の方が作成した単語カードを公開してますので、検索すると色々でてきます。かなり重宝しました。

さいごに

今まで受けた資格や試験の中で一番きつかったんじゃないかと思います...受験料も高いですし、受けるなら落ちたくないという気持ちでした。本腰を入れて勉強始めたのは3月くらいから3か月でしたが、普段の業務をしながらはかなりハードで正直これ以上長くは集中力が続かなかっただろうと思います。

ただこのCISSPを乗り越えることでセキュリティに関する知識と考え方を学べたため、大体のセキュリティに関する話についていけるようになりました。この業界にいる人であれば取って損なしと思います。

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up