初めに
一部、CISSPも知名度が上がってきたとはいえ、日本語の情報がまだ少ないので私が受験し合格に至るまでの経験を記したいと思います。
セキュリティを志す方々の一助になれば幸いです。
CISSPとは
この記事を読む方にとってCISSPとはどんなものかは理解いただいているかと思いますが念のため記載します。
CISSPとはISC2が認定するサイバーセキュリティの資格の一種で、最高位に位置するといわれています。資格を取得するためには、試験に合格し、更に最低5年間のサイバーセキュリティに関連する業務に携わっている必要があります。業務経験を満たしていない場合は、年数に達するまでアソシエイトとして資格を得ることができます。
NISCや総務省などから公開されている資料を見ると元々、情報処理安全確保支援士もこのようなプロフェッショナルな資格にしたいという意図があったようですね。
背景
私はもともとインフラエンジニアからセキュリティエンジニアに移りました。大学のころには暗号化、中間者攻撃について研究をしていたため他の人より多少バックボーンとしては資格を取りやすかったかもしれません。
またトレーニングは受講しておらず、一発で受験し合格しました。
勉強方法
私が行った勉強方法は3ステップです。
- 公式ガイドブックを流し読みする。
- 日本語の公式問題集を解く。
- Official Study Guideに付属しているWeb問題を解く。
学習時間は計っていないため正確なところはわかりませんが2019年12月から2020年5月まで勉強をしていました。
2019年12月から2020年2月くらいまでは1日1時間程度 = 約90時間
2020年3月、4月はほとんど勉強をせず、2020年4月末のGWから2020年5月12日の試験日まで平均して毎日6時間程度勉強していました。
だいたい150時間くらいだと思います。はじめはだらだら勉強し最後に追い込みをかけていました。
それぞれの私が行った詳細な勉強方法を紹介します。
1. 公式ガイドブックを流し読みする。
公式ガイドブック
Kindle版:24,200円 単行本:27,500円
私はこのためにiPad miniを購入し、Kindle版を通勤途中の電車の中などで読んでいました。ただ圧倒的に文量が多いので流し読みしていました。
後から考えると、問題集を解いた後の辞書代わりにしていた程度なのでなくてもよかったかもしれません。
ただ全般的なCISSPドメイン8のすべての内容が網羅されている為セキュリティの勉強としては非常に役に立ちました。試験にはあまり役に立たなかったけど、自身のキャリアとして役に立った感じでしょうか。
読むことを考えると圧倒的にKindleをお勧めしますが、単行本ですとある意味資産となるのでお好みで良いと思います。最近はフリマアプリなどで本も十分販売できるようになりましたので、一考の余地はあるかと思います。
2. 日本語の公式問題集を解く。
CISSP公式問題集
honto
https://honto.jp/ebook/pd-series_B-MBJ-29184-122327827-001-001.html
Kindle版のみ:3,300円
※(2020/07/06追記)なんとKindleでも日本語版の公式問題集が発売されていました!これは朗報ですね。
昨年2019年5月についにCISSPの日本語版の問題種がでました。このおかげで私も含め英語が出来ない人にも勉強がしやすくなったと思います。
ただ、なぜかKindleでは販売されていません。
私はhontoで購入しましたが、Apple booksでも販売されていました。
https://books.apple.com/jp/book/cissp%E5%85%AC%E5%BC%8F%E5%95%8F%E9%A1%8C%E9%9B%86/id1465705751
色々と電子書籍のビューアーを試してみてhontoにしました。ただKindleにはどれも劣るため、かなり使いづらかったです。
この公式問題集はAnkiというアプリで一問一答の問題を自作しました。
iOS
https://apps.apple.com/jp/app/ankimobile-flashcards/id373493387
Android
https://play.google.com/store/apps/details?id=com.ichi2.anki&hl=ja
Windows
https://apps.ankiweb.net/
日本語で使用しました。Ankiの使い方についてはここでは省きます。なぜかiOSのものだけやたら高かった(3,060円)のを覚えています。ただCISSP取得できるなら安いものだと自分を納得させていました。
1ドメインあたり問題をAnkiへ移すだけで1,2時間かかった覚えがあります。問題を作成するだけで20時間弱も使っていますね。
ただしおかげで通勤時間中に公式問題集をひたすら解くことができました。おそらく全ドメインは少なくとも5週以上しています。
模擬問題のみ試験直前まで取っておきました。
試験直前に模擬問題を解き、ぎりぎり7割程度の出来だったため急遽、試験日を延期しOfficial Study Guideを購入しWeb問題を解いていました。
結果論になりますが、日本語の問題集だけ合格するのは至難だと思いました。
あきらめて英語の問題集にも手を付けることをお勧めします。
3. Official Study Guideに付属しているWeb問題を解く。
(ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide (English Edition) Kindle版
下記のPractice Testを購入しなかった理由は、日本語の公式問題集はこのPractice Testを翻訳したものであるためです。問題がかぶっている可能性が高いと思いこちらは購入しませんでした。公式問題集のあとがきの中に英語原本の情報の記載があります。
CISSP Official (ISC)2 Practice Tests (English Edition) Kindle版
これは付属しているWeb問題のみ使用したので中身はほとんど見ていません。
Web問題の利用方法は以下の通りです。
- WILEYというサイトのアカウントを登録する。”here to register”から登録できます。
https://www.wiley.com/WileyCDA/Section/id-827755.html - プルダウンメニューから、購入した商品名を選択して、入力欄をすべて埋めます。Security verificationは一度入力を間違えましたが問題なかったので、安心してください。
- 登録メールアドレスにメールが送られてくるので、Access codeをコピーして、下記URLの該当する製品の"Register or Login"を選択し、アカウントを作成します。確かアカウント作成時にAccess codeが必要になります。
www.wiley.com/go/sybextestprep. - 上記で作成したアカウントでログインする。
https://testbanks.wiley.com/WPDACE/Login - ログインすると以下のように問題選択できるはずです。
Expiration Dateが存在するためWeb問題は1年のみ有効のようです。
Amazonのレビュー欄に記載されている手順を参考にWeb問題の有効化を行いましたが一部抜けがあって少し混乱した覚えがあります。私もうろ覚えですので上記手順に誤りがあれば指摘ください。
SYBEXの使い方
このWeb問題(SYBEX)は慣れるまで使いずらいかもしれません。
FlashcardもしくはQuizを自身で作成して問題を解く必要があります。私は基本的にQuizを作成して問題を解いていました。
このWeb問題はBonus Exam 6を除いてすべて解きました。Chapter問題が21までBonus Examが6まであります。
Chapter問題はひとつ20問、Bonus Examはひとつ150問あります。一通りChapter問題をとき最低2週はしていました。
最終的にはBonus Examは8割程度まで解けるようになっていました。
また私は英語が苦手なためすべてGoogle翻訳を利用していました。
Google翻訳で日本語表示のままQuizをsubmitすると正しく反映されないため、submitする際はいちいち英語に戻す必要があるので注意です。
おかしな日本語の場合は、頑張って英語で確認していました。Google翻訳でも十分勉強できていたと思います。
余談
conrad本も購入していましたが結局、読破しませんでした。
勉強するときに注意すべきこととしては公式問題集でわからないことを公式ガイドブックで調べても載っていない場合があります。その際はWebで検索すると良いです。
また公式問題集と公式ガイドブックで用語が一致していないことがあるので公式ガイドブックは参考程度に考えた方が良いです。
例:リスクアセスメントとリスク分析など
まれに調べても一切情報がない用語などもあったりしますがその場合はあきらめて回答だけ覚えていました。
問題集を解き、正誤関わらずわからない用語は全てEvernoteに各ドメインごとにまとめていました。
試験直前も見直すことが出来たのでとてもお勧めです。
またCISSPの問題集はかなり貴重です。やみくもに解くよりも何度も何度も繰り返し説き、初見問題でも解けるようにすることが大事だと思いました。
受験体験
試験はピアソンVUEで予約します。
私は資格を取る!と決めた2019年12月に2020年5月の試験の予約をしていました。CISSPは試験日を確保することが若干難しいため、先に予約しておくことをお勧めします。お金はそのときにかかりますが。。
以前は試験会場が少なかったようですが、新宿にもプロフェッショナルセンターができたようで、私は新宿で受験することができました。昔に比べると受けやすくなったように感じます。
https://www.pearsonvue.co.jp/test-taker.aspx
また初めはよく理解できていなかったのですが通常のピアソンVUEのアカウントとピアソンVUE内のISC2のアカウントとISC2のアカウントは全て別のようです。
ただしピアソンVUE内のISC2のアカウントとISC2のアカウントはメールアドレスで紐づけがされており試験に合格した際にはこの時のメールアドレスで判断がされるようです。
私の試験開始時間は8時でした。7時半には会場につき待機していました。5月ということもあり、COVID対策がすごかったのを覚えています。手がふやけるくらいアルコールで消毒した気がします。
試験は日本語で受験しました。問題数は250問、試験時間は6時間でした。
途中で休憩をとることはできましたがロッカーに予め用意しておいた食べ物、飲み物などをとる程度でかなりつらい6時間でした。
休憩は1時間と少し程度で取り、計3回ほど取りました。
結局、5時間ちょっと時間を使いました。
最後、部屋を出ると結果が記載された紙を渡されましたが、「おめでとうございます!」の文字を見たときは精魂疲れ果てて倒れそうになったことを覚えています。
エンドースメント
試験後、数日でメールで合格の通知が届きます。監査対象となった場合はさらに時間がかかるようです。
合格通知後はISC2のアカウントを作成し、エンドースメントの作業となります。
試験合格後から9か月以内に終わらせる必要があります。
私は社内にCISSPホルダーの方がいらっしゃったのでエンドースメントは問題なかったのですが職歴等の記載に大変苦慮しました。
転職している場合は以前の会社に在籍証明書の発行手続きをしなければいけないことが一番大変でした。
在籍証明書などは全て英語訳して(Google翻訳で)訳したものも併せてアップロードしていました。効果があるのかはわかりません。
職歴の中でもみなさん特に書き方に悩まれるであろう「Job Description」については結構簡潔に記載しました。各ドメインにつき内容を2,3行ほどで書いていました。
エンドースメントには4-6週間かかるといわれていますが、私はなぜか5日で終わりました。
監査対象にもならず、すんなりいったように思います。
こればかりは本当に謎です。COVIDでたまたま手が空いていたんでしょうかね。。
エンドーメンスが終わった後は、メールで承認されたよ!お金払ってね!でもシステムに反映させるために支払いは1日待ってね!とメールが来ました。
承認された割には簡潔で若干本当なのか疑いました。
1日待ってからISC2にログインしMFA(Annual Maintenance Fee)$125.00を支払いました。
支払いが完了した後に新規メンバーへの連絡がメールですぐ届きましたがISC2のアカウント上ではすぐには反映されていませんでした。
翌日ごろにはISC2のアカウントでもメンバーとして反映されておりここまできてようやく一安心でした。
そういえばMFAの領収書のメールはすぐ届いていましたが、宛名に社名を追加してほしい場合はメールで依頼をすることになります。
私の場合はすぐに対応してくれました。
Digital Badges
メンバー加入後1週間でDigital Badgesの案内のメールが届きました。私はすでにAcclaimでアカウントを作成していたのでAcclaimにログインすると、CISSPのバッジの承認依頼が来ていました。Acclaimへのバッジの承認依頼もアカウントに登録されているメールアドレスで判断されているみたいですね。
これによりインターネット空間上で正式にCISSPを名乗れるようになりました。
最後に
私がCISSPの取得を目指し、実際に取得し、正式に承認されるまでにいくつか躓いたポイントがあったのでそれらについてまとめて記載させていただきました。
この記事を参考に新たなCISSPホルダーが生まれることを祈ります。
また私もCISSP目指すときには色々な方の受験体験記のブログなども大変参考にさせていただきました。先駆者の方にお礼申し上げます。