CISSPになるとどんな良いことがあるのか或いは単なる合格体験記

はじめに

SOMPOホールディングスのIT企画部という部署で、ITアーキテクトをしています。グループのIT戦略、特にクラウドシフトを推進する役回りなのですが、デジタル戦略部との兼務もしており、少しだけデジタルごとをやっている関係で執筆しています。

当社は保険業法において保険持株会社と位置づけられており、情報セキュリティの3要素であるCIA（機密性・完全性・可用性）には金融機関ならではの気を使うところがあります。これまでの業務経験を踏まえつつ体系立てて情報セキュリティへの理解を深めるために、国際資格であるCISSPの試験を受け認定されました。CISSPに関心を少しでも持ってもらえれば幸いです。

私について

• 40台後半のオッサン、日本在住
• ユー子2社、保険会社4社を経験
• ずっとITで、それ以外の部署の経験はない
• この5年ほどはAWSの導入、展開をリード
• CISSP受験以前にIT系資格はいくつか。別に手当や報奨金、支援金は会社から出るわけではない
  • IPAの情報処理技術者試験は合格順に記載
    • 第二種情報処理技術者
    • 第一種情報処理技術者
    • 情報セキュリティスペシャリスト試験
    • ITサービスマネージャ試験
    • システム監査技術者試験
    • システムアーキテクト試験
    • プロジェクトマネージャ試験
    • ITストラテジスト試験
• 社会人になって最初はアプリケーションエンジニア
• 途中でインフラエンジニアに転向（こちらのほうが長い）
• 金融機関勤務なので、セキュリティセキュリティーと念仏のように、避けて通れない道
• 英語は技術ドキュメントをGoogle翻訳の手助けで読める程度、よって英語受験は考えず

きっかけ

社外の方と名刺交換する機会が少なくはないのですが、特に監査法人やセキュリティ系のコンサルタント・ベンダーの方の名刺を見ると、CISSPやCISAといった洋物の認定資格を記載している方が多いことに気が付きました。
さて自分はと考えると、IPAの資格を書くのはちょっとなんだよなー、自分もこういったのを名刺に載せたいなー、情報処理技術者試験ももう卒業だし、次どうしようかー、と思ったのがきっかけ。2018年の夏のこと。

資格を知る

• Certified Information Systems Security Professional というのが名称（長い）
• アメリカ合衆国に本部がある(ISC)² (アイエスシースクエア と読む) という団体がやっている民間資格
• 民間資格とはいえ、最近は官公庁の入札資格要件にIPAの情報処理試験の高度資格と並んで記載されたり、自衛隊の技術曹の任用要件にCISSPが一段高いところに位置付けられていることを知る。http://www.clearing.mod.go.jp/kunrei_data/f_fd/1992/fy19930324_00021_002.pdf
• (ISC)²の日本支部のWebサイトhttps://japan.isc2.org/ をまずは熟読。日本語で受験できるとわかり一安心。
  • 受験料が高い
  • 継続的な学習が必要。CPE(Continuing Professional Educations credits)を3年の間に120クレジットを稼がないと認定は失効
  • 実務経験要
  • 日本国内の認定者は3,000名に迫る。この1年で400名ほど増えたらしい
    • 国別の状況は https://www.isc2.org/About/Member-Counts
    • 年会費(AMF)を払わないと資格は失効するため、当然人数は減る

学習の戦略

• 認定トレーニングは5日で50万円（例：https://japan.isc2.org/cissp_training.html )、社命ではなく自費での取得のため、最初から考慮に入れず。
• 自学となると、何はともあれ参考書は必要なので、公式ガイドブック「新版 CISSP CBK公式ガイドブック」を購入。税別25,000円也。2018年9月のこと。
  • https://www.nttpub.co.jp/search/books/detail/100002450.html
  • 当時は紙版、電子版の両方あり、わたしは紙版を購入。
  • 紙版はいま絶版のようです

• 当時、(ISC)² Night TOKYO という(ISC)²やその認定資格を知ってもらうためのカジュアルなイベントがあり、実際の資格取得者の方と交流（無料でビールが飲めた記憶が）、すこしやる気が出る。
• 「合格体験記 CISSP」 でググって見つかるいくつかのサイトを読んで勉強法を理解。
• 注文した公式ガイドブックが配達されてきたら、その厚み（広辞苑以上）に絶望。積ん読状態でまったく手つかずが、購入後2か月続く

勉強に（ようやく）手を付けた

• いつまでも手を付けないと一生ダメだと思ったので、勉強を本格的に始める前に試験日程をFix。10週間後に試験予約を入れて、勉強を開始。
• 参考書のページ数（内容を説明してくれる部分と、模擬問題のパート別に）から、1日にどれだけ消化すれば予約した試験日に間に合うのかを逆算して、8週間かけて毎日消化。わからない語句や概念は面倒でもノートに書き出し。ノートはA4の大学ノートで4冊に。
  • 1周目はわからないところだらけで、大量にノートに書き出し
  • 2周目~4周目はノートを見つつ、分からないところを重点的に
  • 模擬問題も4周（なお、同じ問題は試験当日は出ませんでした、当たり前か）
  • 学習するCBKドメイン(CBK:Common Body of Knowledge)は8分野あってかなり広範。これまでの業務経験や知識が全く無いドメインもあり、そこは新しいことを中年頭に入れていかないといけないのはちょっと大変。平日夜間と休日は半日をこれに費やす、睡魔との闘い。
• わたしが試験を受けたのち、現在は日本語版の公式問題集が出ていますので、それはやってみる価値はあるのではないかと。もし自分が勉強しているときに出版されていたらきっと購入したはず。https://honto.jp/ebook/pd_29714148.html

試験

• いまは自宅受験が可能なようですが、当時はオンライン試験ができるセンターに出向く必要あり。自宅から遠くない日比谷の帝国ホテルタワー18階の試験センターを選択。2019年2月のこと。
• 250問を360分というのはかなりの長丁場。
  • すべて選択式なことからCISSP試験をdisってる方をググると見つけますが、私にとっては当日は非常に精神を削られ、試験終了後はしばらく頭も体もクラクラでした
  • 私は見直し含めて240分ほどで試験を終えることができました。（その場で合格か否かがわかります）
  • 途中休憩時間が取れますので、トイレ＋水分補給で1回だけ試験ルームから退出
  • 問題文は日本語と英語の切り替えができますので、翻訳でいまいちな日本語の場合は英語に切り替えて回答したほうがいいです

要したコスト

• 受験料699USD+参考書25,000円(消費税別途)
  • 認定の継続には年会費(AMF:Annual Maintenance Fee)がかかります。125USD/年(非課税)
• 自費なので一発合格しないと受験料が無駄になる、というプレッシャーはいい方向に働いた

良かったこと

長く情報セキュリティに従事していたものの、まだまだ自分の知る世界は狭かったと実感できたこと、日本風ではないアメリカ人的なの考え方(CISSPとしての考え方、モノの見方)の一端が理解できたこと。IPAの資格（情報セキュリティスペシャリスト、現在だと情報処理安全確保支援士）とはちょっと観点が違うな、と。
あとは、当初の目標通り名刺に入れました。

良くなかったこと

周囲の反応は全くといって無し。唯一GIACを持っている同僚の人がほめてくれた程度。まあ自己満足なのですが。

資格認定まで

職務経歴書を英文で提出 or CISSP認定者に推薦(endorse)してもらう必要があります。私は過去のつてをたどってセキュリティベンダーの方に推薦をお願いしました。職務経歴書は面倒なので可能なら推薦者を探したほうが良いです。

公式情報

• (ISC)²
  • https://www.isc2.org/
  • https://twitter.com/ISC2
• (ISC)²Japan Chapter
  • https://japan.isc2.org/
  • https://twitter.com/isc2_japan

おまけ

• 2021年5月1日以降の試験申込では試験手数料が値上げ
  • 699USDから749USD https://www.isc2.org/notice/CISSP-price
  • 日本国内で受験する場合、別に消費税が10%かかります
• アメリカのGlobal Knowledge社が毎年出している高給IT資格リストの常連 https://itjinzai-lab.jp/article/detail/1553 に出ていますが、本当?