初めに
初めまして。現在大学生4年生のstpです。
先日、CISSPに100問で合格しました。
そこで本記事では、合格までの道のりを合格体験記としてまとめます。
noteでも同様の記事を書いていますが、数多くのQiitaの記事も参考にしたのでここでも書きます。
※Qiita版の方がやや詳しめです。
きっかけ
いろいろとありますが、大きく2つあります。
1つ目は、単純にセキュリティの勉強が好きで、セキュリティ×マネジメントの視点にも興味をもったからです。
2つ目は、座学→実務の方が自分的に成長できそうだと思ったからです。学生のうちに理論や考え方を学んでおくことで、実務での理解や成長につながるかなと。
バックグラウンド
CISSPの合格体験記を書くにあたり、私のバックグラウンドの説明は必須だと思うので簡単に書きます。
- 属性:情報系の学部4年生
- 研究テーマ:AIセキュリティ
-
取得資格:応用情報、基本情報、Iパス、セキュマネ、CCNA
※2025年春ネスペ午後Ⅱ不合格、2025年秋情報処理安全確保支援士 受験済み - 開発:PythonやVue.jsでのアプリ開発経験あり。C言語やC++もなんとなく触れます
- クラウド:PaaSでの自作アプリデプロイ経験。企業インターンでのIaaS基盤構築経験
- CTF:picoCTFを利用して簡単なCTF経験。大学の授業でのXSS体験など。2月にある防衛相のCTFに出場予定(学生部門です。お手柔らかに)
学習期間
CISSPに特化した学習は1ヶ月です。この期間で約180時間ほど勉強しました。
今回は、1度落ちても再受験可能なPEACE OF MIND PROTECTIONキャンペーンを利用しました。
そのため、初回は実力試しも兼ねて早めに受けようと思い、駆け足で仕上げました。
下記に、勉強時間のグラフを貼っておきます。
学習戦略
学習を始める前に、Qiita、note、Redditなどで多くの方の合格体験記を読み込み、戦略を立てました。(後ほど紹介します)
そこでCISSPでは知識量(テクニカル視点)よりも考え方(マネジメント視点)を重視した問題が大半を占め、初見力が試されるとわかりました。
そのため、問題は繰り返し解くよりも新しい問題に多く触れる方針で勉強をすることを決めました。
※ 結果として合格できたので、この初見重視の戦略は概ね正しかったと感じています。しかし、知識面を疎かにしてしまい苦戦した場面もありましたので、LearnzappやBosenもしっかりと解いておくことをおすすめします。
参考にした記事
CAT試験について詳しく解説されている記事
初見力や複数の問題集について述べられている記事
合格者の方と問題集の点数を比較するため、参考にした記事
学習に使用した教材
それでは学習に使用した教材を紹介させていただきます。実際に試験を受けてみて感じたおすすめ度も添えておきます。
① PIEDPIN(★★★★*)
まずは言わずと知れたPIEDPINの講座を受講しました。一通り受講した後も、朝の身支度中などに講座を流して耳から聞き流しました。
知識レベルは基礎的な内容(浅め)となっており、これだけで合格するのは難しいため他の教材での深堀りは必須ですが、全体像を体系的に学べるので導入としてはおすすめです。
ある程度問題集を解いたあとに改めて見ると知識が固まりやすいので、受講後も繰り返し聴くことをおすすめします。
ここでおすすめの買い方を紹介します。
本講座はセール時でも1800×8円するのですが、私はUdemyの1ヶ月間のサブスク(3000円)に入会して1カ月で全て視聴しました。サブスクは問題集も解けるので、3000円で本講座+Udemy問題集まで利用しました。
私のように短期集中で学習される方には、単品購入よりサブスクが断然おすすめです。
➁ 公式問題集(★★★**)
PIEDPIN受講後に、この公式問題集に取り組みました。
最初に模擬試験を解き、現在地を把握することにしました。そのとき、模擬問題1を解いた正答率は約60%でした。
その後はドメイン別の問題を1周し、試験の前々日に仕上げとして模擬問題3を解きました。
多くの方が触れていますが公式問題集ではCISSP的な考え方を養えませんし、知識レベルも最新の傾向と離れている部分があります。そのため、個人的には深入りして何周も解くより、ドメイン別問題をさらっと1周するくらいで十分だと思います。
また、RedditによるとLearnzapp(公式が出している問題集)でもこの公式問題集と同じ問題が出るらしいです。そのため、操作性(公式問題集は行ったり来たりしなきゃなので操作性が悪いです)や値段を考えると、Learnzappをする方が良かったかもしれません。
➂ CISSP 2025: 625 Practice Questions & Expert Explanations(★★***)
公式問題集1周後に取り組み、全て解きました。(※後述する問題集全てに共通しますが、私は英語がそこまで得意ではないため、Google拡張機能の翻訳ツールを使いながら学習しました。)
CISSP的な考え方の吸収+知識の補完にはよかったです。わからない回答をChatGPT(有料版)に聞いて学習しました。
しかし、私の理解不足かもしれませんが、解説を読んでも納得できない回答がいくつか見受けられました。
本問題集は基礎レベルの問題が多いです。あくまで基礎固めや形式慣れとして使うのが良いでしょう。
➃ ISC2 CISSP 6 Practice Exams(★★★★*)
Udemyで人気の著名講師、Dionさんの模擬問題集です。
CISSP的な考え方の吸収+知識の習得に非常によかったです。
個人的には、私が合格できたのはこの問題集のおかげだと思っています。先ほど紹介した③の問題集と比較しても、より質の高い問題が多く収録されています。
問題は全て解きました。個人的な目安ですが、この模擬問題集を初見で安定して75%以上が取れるようになると、仕上がっている感覚があります。
➄ HARD CISSP practice questions #1: All CISSP domains - 125Q(★★***)
こちらもCISSPの著名講師、Thorさんの模擬問題集です。
私は #1 と #2 のみを解きましたが、正答率は60%弱でした。
この問題集は難しいというよりも、少し意地悪な問題が多いので点数が低くても気にしなくても良いです。
また、個人的に解説を読んでも納得できない回答がいくつかあり、ストレスを感じたため #3 以降は解くのをやめました。
⑥ How To Think Like A Manager for the CISSP Exam(★★★★★)
最高の教材でした。
Luke Ahmedさんの至高の1冊です。
問題は難しく、私は初見で56%でした。
しかし、この本は問題に対する向き合い方やマネージャとしての考え方を教えてくれました。
私はAmazonのKindle Unlimited 3ヶ月99円キャンペーンを利用して加入し、読み放題対象として利用しました。この本に出会えて本当によかったと思います。
難しい問題が多く、もしこの本を初見で解き、正しい思考プロセスを経て(勘ではなく実力で)7割以上取れる方は、合格レベルにあるでしょう。私は試験4日前に解いて56%でも100問合格しています。
⑦ Quantum Exams(★★★★★)
素晴らしい問題集です。
問題に対してよく読み、よく考えさせる力を養ってくれます。
といいつつ私は金銭面から購入しませんでした。この問題集はプランによりますが約2万円します。
しかし、公式サイトのサンプル問題+PeteさんのYouTubeのHARD問題(Quantum Exams関連の問題を扱っている動画です)を解いただけで、その質の高さが分かりました。
金銭的に余裕のある方は、迷わず購入することをおすすめします。
難易度は高めだと感じました。私はサンプル問題5/8点、YouTubeでは3/10点しか取れませんでした。特にYouTubeの方は試験前日に見つけてしまい、あまりの出来なさに自信を喪失しかけました(笑)それでも合格できたので、難問に触れて思考力を鍛える意味では非常に効果的だったと思います。
⑧ 50 CISSP Practice Questions. Master the CISSP Mindset(★★★★★)
CISSPの著名講師、AndrewさんのYouTubeでの模擬問題です。
この動画は単なる問題セットではなく、CISSPの解き方について説いてくれます。
実際の試験でも2択まで絞ったときにどちらを選ぶかの指標に使いました。
無料で視聴できるので、ぜひ見てください。
難易度はそこまで高くないです。私は試験前日に解いて80%弱でした。
Q. 今考えるCISSPの「最適ルート」は?
A. 私が考える最適解は以下の通りです。
PIEDPIN(全体像の把握)
↓
公式問題集ドメイン別のみ(知識定着)
↓
Quantum Exam(思考力+知識)
↓
ISC2 CISSP 6 Practice Exams(本番想定)
そこに並行して、
-
Learnzapp or Bosen(毎日継続して数十問)
-
How To Think Like A Manager for the CISSP Exam(Quantum Examと並行して)
-
50 CISSP Practice Questions. Master the CISSP Mindset(試験数日前)
を勉強するのが最も効率よく、知識と考え方を吸収できると思います。
番外編
➀ CISSP 勉強ノート | 晴耕雨読
簡潔に整理されている、非常に素晴らしいまとめノートです。
日本人のCISSP受験者なら、誰もが一度はお世話になるサイトでしょう。
私はCISSPのインプット時と受験直前に読みました。
強くおすすめします。
➁ SSL/TLS実践入門──Webの安全性を支える暗号化技術の設計思想 (WEB+DB PRESS plusシリーズ)
こちらは大学のゼミで使用した書籍です。
CISSPの domain 3 や 4 の内容に直結するので時間がある方はぜひ。
わかりやすいです(他の方がよく読まれている秘密の国のアリスの代わりみたいなものです)。
➂ ChatGPT(有料版)
課金して有料版を利用すると、高性能なモデルを制限を気にせず使えるので非常に便利です。
私はアウトプット時にわからないことがあれば、即座にGPTへ質問していました。
特に役立ったのが、自分の思考プロセスがCISSPの考え方と合致しているかをすり合わせる使い方です。
例えば、ある模擬問題について以下のように質問を投げかけました
この問題に対しては私はCを選びました。
リスク=発生確率×影響度を念頭に置いています。
まず、Aは権限クリープは組織にとってリスクですが、影響はシステムや業務に限定されるでしょう。
次に、Bはユーザー権限のため悪用されても特権アカウントよりも範囲が狭く、限定的です。
次に、Dはリスクが大きいのでCと迷いました。
しかし、Cの核のSCADAシステムが悪用されると直接人命に関わるので、CISSPとして組織に最大のリスクを与えると判断しました。
答えはCでしょうか。
このように自分の考えをぶつけることで、思考がずれていないかを確かめることができます。
時々嘘をつきますが、1番役に立ちました。
➃ X(旧Twitter)
日々の情報収集として、TLに流れてくるセキュリティ関連のニュースをチェックしていました。
例えば、アスクルさんやアサヒグループさんにおけるランサムウェア被害の事例や、Reactの脆弱性情報などです。
試験当日
CISSPは東京か大阪でしか受験できないため、現住所に近い大阪会場を選択しました。
会場まで距離があるため前泊することにしたのですが、金欠すぎて適当に安いホテルを予約したら、動物園前(西成)のホテルでした(笑)独特の雰囲気でしたが、これも良い社会勉強です。
午後の枠を予約してたので、11時ごろに焼肉ライクでご飯おかわりの爆食いしました。試験会場近くでメガシャキとブドウ糖エナジーいれて準備万端です。
会場で本人確認(学生証と保険証)を見せ、いざ試験。
NDAがあるため詳細は書けませんが、ひたすら難しかったです。体感としてほとんどが難問で、暗記ではなく初見の対応力が試されていると感じました。
時間管理も厳しく、ギリギリの時間で解き終えました。正直一生手応えがなかったので、これは落ちたなと思いました。
しかし、結果は奇跡の合格!
嬉しさがこみ上げると同時に、まだまだ理解できていない部分も多いと痛感し、もっと勉強しなければと身が引き締まる思いでした。
これから受験する方へ、一つだけ強く伝えたい教訓があります。時間は150問解けるような配分を模擬で練習しておきましょう。私は100問で合格したからよかったものの、150問目まで解くことになっていたら確実に時間切れしていました。
おわりに
今回、CISSPに合格することができ、本当によかったです。
しかし、CISSPは継続的な学習、そして実務経験をなにより重視している資格です。
私はまだ学生であり実務要件を満たしていないため、ISC2の準会員の資格しか得られていませんし、CISSPも合格はしたものの認定はされません。そして、CISSPの試験合格を自信を持って名乗れるほどの実力もありません。
来年からは社会人として某IT企業に入社します。これからは現場での実務経験を積み重ねながら、セキュリティカンファレンスや勉強会にも積極的に参加し、日々研鑽を続けていきたいと思います。
いつか名実ともに真のCISSPホルダーになれるよう、これからも走り続けます!