LoginSignup
5

CompTIA CASP+受験記〜勉強方法と試験の感想〜

Last updated at Posted at 2023-04-08

CompTIA CASP+

CompTIA CASP+とは、サイバーセキュリティプロフェッショナルやサイバーセキュリティマネージャー向けの認定資格です。クリティカルなエンタープライズセキュリティにおける、リスクマネジメント、調査と分析、システム統合、コミュニケーション、企業でのセキュリティ規則やコンプライアンスなどのスキルを網羅しています。
CompTIA CASP+は、2018年4月に英語配信がスタート。日本語配信は2018年12月にスタートし、2022年6月15日より「改訂CASP+(試験番号:CAS-004)」日本語試験が配信開始されています。

CompTIA CASP+ 試験概要

  • 試験番号:CAS-004
  • 問題数:最大90問
  • 出題形式:単一/複数選択、パフォーマンスベーステスト
  • 試験時間:165分
  • 推奨する経験:
    • 少なくと10年間の一般的なITの実務経験、そのうち少なくとも5年間の広範なITセキュリティの実務経験
    • Network+、Security+、CySA+、Cloud+、および PenTest+、またはそれに相当する認定資格ないし知識
  • 合格ライン :合否のみ/スコアは表示されません

次の図は、「新資格CompTIA PenTest+ ベータ試験実施について」より抜粋
04656-new-cybersecurity-pathway-r2.png

CompTIAが実施しているサイバーセキュリティ領域の試験を職務内容にあてはめると、次のような関係性になります。

認定名 職務内容
CompTIA Security+ サイバーセキュリティ全般のエントリーレベル
CompTIA CySA+ ブルーチーム:攻撃に対する防御の役割のもとにデータ分析を行い、組織の保護・インシデントレスポンスを行う
CompTIA PenTest+ レッドチーム:敵対した役割のもとに攻撃に適切に対応できるかの評価、及び改善提案を行う
CompTIA CASP+ ホワイトチーム:組織におけるITガバナンスの推進をリスクマネジメントを重視してサポートを行う

CompTIA CASP+ 出題範囲

項目 出題比率
セキュリティアーキテクチャ 29%
セキュリティオペレーション 30%
セキュリティエンジニアリングと暗号化技術 26%
ガバナンス、リスク、コンプライアンス 15%

筆者の前提知識

CASP+受験前に、次のとおり、別分野のCompTIA認定を受けていました。

受験日 試験番号 試験名 受験記
2021年12月02日 CS0-002 CompTIA CySA+ Qiita
2020年11月11日 PT0-001 CompTIA PenTest+ Qiita
2019年04月14日 TK0-202 CompTIA CTT+ Classroom Trainer Qiita
2004年04月18日 N10-002 CompTIA Network+ -
2004年01月25日 IK0-002 CompTIA i-Net+ -
2004年01月18日 SK0-001 CompTIA Server+ -
2004年01月11日 SY0-101 CompTIA Security+ -

CASP+ 試験出題範囲』では、「推奨する経験」として「CompTIA Cloud+」またはそれに相当する認定資格を推奨しています。
CASP+ 受験時点において、クラウド関連の認定資格は取得していません。

事前の情報収集

CASP+ 試験の受験検討にあたり、公式サイトにて公表されている次の資料を参照してください。

  • CompTIA CASP+ 出題範囲
    記載されている出題範囲を用語集として活用することをオススメします。書籍や模擬試験の受講後に記載されている内容について自分の言葉で解説できるようになっていれば合格に十分な実力が身についていると判断することができます。

  • CompTIA CASP+ 類似問題
    CompTIA CASP+という認定に興味をもった方は、まずこの類似問題に取り組んでみてください。執筆時点で10問出題されています。「出題範囲」と照らし合わせながら、CompTIAとして、この認定を通じて受験者へ何を問おうとしているのか探ることが重要です。

大規模言語モデルによる学習支援

CompTIA では、類似問題を公開しています。しかしこの問題群には正解は記載されていますが、解説がありません。
そこで、「大規模言語モデル(LLM:Large Language Model)」の一つである、ChatGPT(GPT-3) を使い、解説文の作成を支援してもらいます。
これにより、問題文の解き方について理解することが可能です。
また、わからない用語についてもChatGPT に対して積極的に問い合わせてみることをおすすめします。資格取得に向けての心強いメンターとなってくれるはずです。

ChatGPT.png
図. ChatGPT が作成した問題に対する解説文

「Perplexity.ai」を学習に活用するメリット

ChatGPT の利用にあたっての登録が煩わしい方は、AI検索エンジン「Perplexity.AI(パープレキシティ)」を使っての学習も有効です。
※ ただし、問題文をコピー&ペーストし、解答ならびに解説文を作成するような使い方は、「Perplexity.AI」よりも「ChatGPT(GPT-3)」の方が得意なようです。

1. 利用者登録(ログイン)が不要
2. 情報の元ソースが示されるため正誤確認がしやすい
3. 情報ソースが常に新しい
4. 個別のURLが残せる

勉強方法

CompTIA CySA+ に合格した 2021年12月頃より CompTIA CASP+ を視野に入れ、勉強を開始しました。
このため、旧バージョン(CAS-003)教材を使用しての勉強でした。

2022年12月31日に CAS-003 の配信は終了し、受験は新バージョン(CAS-004)となりました。

CompTIA CASP+に合格したいまオススメする学習教材は、「The Official CompTIA CASP+ Self-Paced Study Guide (試験番号: CAS-004) 書籍 日本語版」です。
なお、Self-Paced Study Guideには「電子版(eBook)」もあります。
ただし、eBookはブラウザベースの専用アプリです。PDFのような汎用フォーマットではありません。この点を考慮し、書籍またはeBookの選択をお勧めします。

『OCC CompTIA CASP+ Study Guide 日本語版』にはトピック毎に「レビューアクティビティ」(記述タイプの質問)が記載されています。この内容が試験に有効であることを受験後にサンプルダウンロードして気づきました。
気になる方はまず、サンプルを取り寄せてみることをお勧めします。

CASP Self-Paced Study Guide.png
図. 『CompTIA CASP+ Self-Paced Study Guide (試験番号: CAS-004) 書籍 日本語版』表紙

受験後の感想

スコアレポートでは合否のみ記載されています。また不正解の出題範囲についても記載があります。私の場合は、次の15項目が不正解でした。

CAS-004では小項目として28項目が出題範囲として設定されています。
したがって、15項目の不正解とは、完全正解できた項目は13項目(46.4%)であったと読み取れます。
CompTIA CASP+ では、「問題数:最大90問」であることが公表されています。全28項目を85〜90問にて問うていることから、1つの項目は複数の問いで繰り返し問われていると考えられます。
また、1問あたりで問われる項目は必ずしも1項目ではないと感じました。1問で複数項目にわたる出題もあると想定すべきです。

  • 1.1 与えられたシナリオに基づいて、セキュリティの要件と目標を分析し、新規または既存のネットワークに対して、適切かつセキュアなネットワークアーキテクチャを実現することができる。
  • 1.2 与えられたシナリオに基づいて、組織の要件を分析し、インフラストラクチャの正しいセキュリティ設計を決定することができる。
  • 1.3 与えられたシナリオに基づいて、ソフトウェアアプリケーションを、セキュアな形で企業のアーキテクチャに統合することができる。
  • 1.4 与えられたシナリオに基づいて、データセキュリティの手法を実施し、企業のアーキテクチャを保護することができる。
  • 1.5 与えられたシナリオに基づいて、セキュリティの要件と目標を分析し、認証と承認を正しく制御することができる。
  • 1.6 一連の要件に基づいて、クラウドと仮想化のセキュアなソリューションを実装することができる。
  • 1.7 暗号化技術と公開鍵インフラストラクチャ (PKI) がセキュリティの目標と要件をいかにサポートするかを説明することができる
  • 2.2 与えられたシナリオに基づいて、侵害の痕跡を分析し、適切な対応策を立案することができる。
  • 2.4 与えられたシナリオに基づいて、脆弱性アセスメントとペネトレーションテストに関する、適切な手法とツールを使用することができる。
  • 2.5 与えられたシナリオに基づいて、脆弱性を分析し、リスク軽減策を推奨することができる。
  • 3.3 特定のセクターやオペレーション技術に影響を及ぼすセキュリティ上の検討事項を説明することができる。
  • 3.4 クラウドテクノロジーの採用が組織のセキュリティにどう影響するかを説明することができる。
  • 3.5 与えられたビジネス要件に基づいて、適切なPKIソリューションを実装することができる。
  • 4.2 ベンダーリスクの管理と軽減の重要性を説明することができる。
  • 4.3 コンプライアンスのフレームワークと法的検討事項、およびそれらが組織に与える影響を説明することができる。

なぜCompTIA CASP+は難しいのか

  • 出題範囲が広い。必ずしもすべてのサイバーセキュリティ人材がCompTIA CASP+の出題領域にて求められている内容を経験していない。未経験領域に対しては試験勉強のタイミングで情報のインプットが必要。
  • 事業部門や、専門家部門、監査部門と色んな立場にたって状況判断が求められる出題がある。
  • 問題文が略語で出題される。補足書きがない。『CASP+ 試験出題範囲』記載の「CASP+(CAS-004) 略語リスト」については確実に理解しておく必要があります。
  • 推奨する経験に「CompTIA Cloud+」が挙げられているとおり、「1.6 一連の要件に基づいて、クラウドと仮想化のセキュアなソリューションを実装することができる。」または「3.4 クラウドテクノロジーの採用が組織のセキュリティにどう影響するか」領域に対する理解が浅いと難しい。
  • 問題(シナリオ)に対する解答枝において、部分的に正解なワードを含み、残りにシナリオで言及されていなシチュエーションを含む誤答枝がある。思い込み解答が危険。問題文をよく読もう。

CompTIA Stackable Certification

複数のCompTIA認定資格の組み合わせにて、「CompTIA Stackable Certification」認定を受けることができます。今回、CASP+に認定されたことで、取得済みの認定との組み合わせにより、「CompTIA Cybersecurity Career Pathway」に関する複数の認定を同時に受けました。

  • CompTIA Secure Infrastructure Expert - CSIE (Security+ / PenTest+ / CySA+ / CASP+)
  • CompTIA Security Analytics Expert – CSAE (Security+ / CySA+ / CASP+)
Stackable.png
図. CompTIA: 受験者オンラインサービス Career ID - Active Stackable Certification

ステッカーをゲットしよう。

CompTIA日本支局では、オリジナルの認定資格ステッカーを配布しています。ステッカーをゲットし、ご自身のパソコンやスマートフォンに貼っておいてはいかがでしょうか。

CompTIA デジタルバッジの取得方法

CompTIAでは、認定資格を取得すると「デジタルバッジ(Digital Badge)」を付与しています。これは、デジタル認証を行う Credly の Acclaim プラットフォームを利用して付与されるサービスです。LinkedInを使っている人は是非、利用すべきサービスだと思います。第三者がバッジ経由で、スキルの詳細や取得者の信頼性を確認することができる良い仕組みです。
もちろん、私も「デジタルバッジ」を付与いただいています。

受験体験記

CompTIA CASP+ vs CISSP

認定名称 適任者
CompTIA CASP+ 実務家としてテクノロジーに没頭したい専門家に適している
(ISC)2 CISSP 管理や管理職種に移行したい候補者に適している

サイバーセキュリティ資格に関するロードマップ

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
5