見出し画像

CISSP受験記

mokkeda

いろいろありましてCISSPに合格することができました。
私自身も受験直前まで他の方々の合格・不合格記をたくさん拝見しており、たいへん参考になったため、私も忘れないうちに書き残しておこうと思った次第です。


CISSPとは

この記事をご覧になっている時点でよくご存じだと思われますので割愛します。詳しくはリンク先をどうぞ。

ちなみに2024年4月15日から試験内容が更新されて250問から225問になるらしいですよ。こちらも詳しくはリンク先をどうぞ。

前提として(私のこと)

こういった記録というのは書いている人の背景やスキルがわからないとあまり参考にならなかったりしますよね。例えば「数週間の詰込み学習で合格しました!」という方の背景がセキュリティの専門職でCCNPや情報安全確保支援士の資格保有者だったりすると、私とは前提条件が異なるため参考にならなくなってしまうのです。

私はこういう人

  • 開発経験20年以上。デベロッパーおじさんです。最近はアーキテクトなどという立派そうな肩書もいただいています

  • 浅く広く何でもやりますが、インフラ、セキュリティは専門ではありません(ただし開発に関連してかじったことはある程度です)

  • 保有資格

    • AWS SAA、SAP

    • CompTIA Security+、CySA+

    • PMP

    • その他マイナーな資格など

勉強方法について

1.公式トレーニング

いまから1年ほど前のお話になりますが、会社で研修費を出してくれたので、ありがたいことに公式のトレーニングを受講させていただきました。当時は受講はしてみたものの、これが試験に対してどの程度プラスになるかは微妙だなと思った記憶があります。

よく「受講した方がいい」というご意見も見かけますが、私にはあまり役には立たないかも、という印象です。

さっぱりわからないところ(米国の法律や物理的なセキュリティ)、多少はわかるところ(暗号、OSI参照モデル)、だいたいわかるところ(開発領域)によって理解度がまちまちで、わからないことはその場で聞いてもよくわからないので途中で諦めて振り返り学習するしかないな、と考えていました。いわゆるCISSP的な考え方というものも理解はできませんでした。(教えていただけていたのかも知れませんが)

2.公式ガイドブック

こちらはトレーニングを受講したらいただけたので、研修後にまじめに読み返しました。2回ほど。

公式ガイドブック。オンラインでも参照可能(期限あり)

しかしページ数はひたすら多く、言いまわしが長かったりわかりにくかったりする上に章立ての構造も曖昧で、「この項目は前の項目と親子関係にあるのか?それとも独立した項なのか・・・?」と悩んでしまうことも多かったため、辞書的に使うのがよいのかも知れません

正直なところ物量に圧倒されたこともあり、なんとなく意欲がわかなかったのでしばらく放置していました。そして勉強を実際に再開したのは3か月ほど前になります。

私は公式ガイドブックで重要そうなところをピックアップした「まとめノート」をGoogle Documentで作成しました。これを作るのがまた大変だったのですが、繰り返し読み返すにはコンパクトにまとめる必要があるため結果的には必要な作業ではありました。終盤にはこれを毎日読み返していました。

こうして振り返ってみるとまとめノート完成までの間に2か月くらい経過しちゃってますね。

3.公式問題集

これが本命です。理由は公式ガイドブックだけでは知識の定着が難しいことと、公式ガイドブックに記載のない用語が登場するためです。

この問題集はドメイン1~8にそれぞれ100問強、模擬試験として125問のセットが4つという構成になっていますので、まずはドメイン1~8を進めていき、模擬試験は試験直前に取っておくようにしました。

公式問題集。書籍もあるようですが、電子版がおすすめです。

まず1周目、2週目は一問一答で内容を確認しつつ、わからなかった用語をピックアップしてGoogleスプレッドシートで用語集を作りました。ちなみにこのときは正解のものだけではなく、問題文や誤った選択肢からも知らない用語はどんどん拾っていきます。なぜなら試験本番では消去法で答えられるようにする必要があると考えたためです。

模擬試験は2つまとめて解くことで本番と同じ250問を体験できるため、感覚を掴むためにもできるだけ2つまとめてやりましょう。ちなみに私はこの時点で正答率が74%前後だったので少し慌てた記憶があります。(CISSPは1000点中700点で合格)

その後、ふたたびドメイン1~8の3周目へ。流石に3周目ともなると記憶が定着し逐一解答を確認する必要がないため、100問すべて解いてから採点するスタイルへ変更しました。このときは消去法でほかの選択肢を否定する解き方を意識しました。結果は平均90%の正答率。改めて最後に残しておいた模擬試験3, 4を解いてみたところ正答率は75%。

初見の問題でこの正答率であればいけるのでは、という気持がありつつも、この時点でOSI参照モデルと暗号まわりの理解が甘いことを自覚したため、少し問題集を離れて本を読む時間を取りました。

その後、模擬試験の2周目に挑戦したところ500問平均で90%を超えたため、基礎知識は十分だろうと自分に言い着かせて問題集を閉じました。

4.その他参考文献

定番ですが、暗号技術の理解には安心と信頼の結城先生による暗号技術入門です。読みやすくわかりやすい。

何かと登場するNIST文書。これらはIPAに和訳したものが掲載されているので時々読み込んでいました。

用語集を作るときに知らない用語を検索すると高確率でヒットする晴耕雨読さんのCISSP勉強ノート。調べ物をする際にはとてもお世話になりました。

試験直前のこと

実はちょっと精神的に少し参っていました。試験費用が高額ということもあり、落ちたらどうしようだとか、6時間の試験は再挑戦するのは億劫だな、できれば一発合格したいな、などと自分を追い込んでしまっていたようです。

しかし、前述のプロフィールを見ていただければわかるのですが、私はセキュリティの専門家ではなく、CISSPの資格がなければ職を失うわけでもありません。よく考えてみると失敗してもお金と時間以外は失うものはなく、成功したら新しいキャリアが期待できるかも知れません。そう思うと肩の力が抜けて楽になれました。

また、試験が250問で1000点という採点になっていることから「これは正解が4点、次点が2点、1点、外れが0点、という段階式採点になっているのでは?」と勝手に思い込んでおき、「2択に絞り込めたら500点は取れるかも?」と楽観視してみることでストレス解消をはかりました。

そして、SNSで定期的に勉強をしていることをアウトプットし続けていると反応、応援してくださる方々がおり、それが大きな心の支えにもなっていました。この場でお礼申し上げます。

試験当日のこと

試験は朝7時30分集合だったので、朝5時から起きて体調を整えるようにしました。いつもの食べ慣れた朝食をいただき、移動中にまとめノートと用語集を読み返し、良く晴れた朝だったので会場付近の雰囲気を楽しみながら、お散歩気分で会場へ向かいました。

試験会場は帝国ホテルプラザ。改装のため2023年11月末で閉鎖されるらしいです

試験についてはNDAがあるので内容は語れませんが、どの立場で、何が問題で、何を求められているのか、を隅々までしっかり読み理解することを意識しました。

解き始めて100問ほど進めた時点で全くわからない問題が5問ほどあった以外は消去法でほぼ2択に絞り込めており、うまく正解を導き出せているのではなかろうか、という感覚が8割程度あったため、恐らくいけそうだなとリラックスできた記憶があります。

集中力が切れたら休憩しようと飲み物やバータイプの軽食を用意していたのですが、毎晩200問を解く生活を続けていたためか大した疲労感もなく、集中力も切れなかったため休憩を取らずに250問を一気に終わらせました。

試験室から出てプリントアウトされた用紙を確認すると、結果は合格。途中から確信めいた謎の自信があったため喜びが爆発、という感じではなかったのですが、淡々と嬉しさを噛みしめていました。

今後のこと

ペーパーテストは合格できましたが、次はエンドースメントが待ち受けています。私は幸いにも同僚にCISSP保有者がいるためお願いするつもりでいます。2~4週間ほどかかるようですので、また何か動きがありましたら更新するようにします。

さいごに

ここまで読んでいただきまして、ありがとうございました。この記録が今後CISSPを受験される方の参考になれば幸いです。

また、何かほかに聞いてみたいことがありましたら、X(Twitter)で私に話しかけてみてください。NDAに引っかからない範囲でよろしければ回答いたします。


この記事が気に入ったらサポートをしてみませんか?