CISSPに合格したお話
2024年4月1日にCISSP(Certified Information Systems Security Professional)に合格したので、参考にさせていただいた先人の皆様に続き、自分の体験もまとめます。
概要は以下のとおりです。長くなってしまったのですが、目次で気になる項目を読むなど、すこしでも参考になれば幸いです。
公認情報システム監査人(CISA)は、合格・認定済。
勉強法は、CISSP公式問題集を4周。期間は3か月。約100時間程度。
2023/12/26に問題集を購入。2024/1/9に勉強開始。2024/4/1に合格。認定手続きは着手済。
何かひとつでも、参考になれば「♡」をいただけると嬉しいです。
なお、CISSP資格試験は、3年毎に更新されるようです。これを書いている時点で直近は、2024年4月15日に更新されています。ドメイン毎の出題比率、試験の問題数、試験の制限時間等は、自分が受験したときから変わっています。
1|自分のスペック(前提)
職種はエンジニアではなく、システム構築のPMO、リソース(ヒト・カネ)の配分やプロジェクトの立ち上げを、日々悶々としながら、支援するお仕事をしていました。
2023年7月からは、よりセキュリティ領域に絞ったお仕事をしています。
資格試験は、最近だと以下を体験しています。
AWS Certified Solutions Architect - Associate(2022年)
公認情報システム監査人(CISA)(2023年)
1.1|もうちょっと前提
CISSPの学習を開始する前の状態を補足します。
情報処理安全確保支援士試験(SC)を2023年10月に受験。不合格。
公認情報システム監査人(CISA)を2023年12月に受験。合格。
上記の試験対策の勉強として、セキュリティに係る学習を2023年8月頃からしていたため、CISSPの学習を開始する時点では、セキュリティの知識が全くゼロではない状態。
2|目的・タイミング
資格勉強を通し、体系的な知識を習得することが目的です。
CISAで学習したことを忘却しないタイミングで、CISSPも習得してしまった方がよいのではないかという気持ちがありました。
3|勉強方法
3.1|概要
2023/12/26に「CISSP公式問題集」を購入。2024/1/9に開始し4周。2024/4/1に受験&合格。
期間は3か月。約100時間程度(感覚的に、1時間/日×90日)。
もちろん、やらない日もありました。
3.2|勉強法の模索
Qiita、note、zennなどで体験記を読み、合格への近道、かつ、自分に合う勉強法を探ります。
参考書や問題集は何か、それをどのように使っていたか、どのタイミングで試験に挑んだかなどを確認しました。
勉強は、平日の通勤時間がメインで、1日1時間程度(休日はできない日の方が多かった)です。自分に合う勉強法は、問題を解き、解説を読む。これをひたすら繰り返します。
3.2|CISSP公式問題集のみに絞る
体験記を読んで、大きく2つの選択肢で悩みました。要は、①のトレーニングに課金するかどうかの悩みです。
① ISC2公式 CBKトレーニングに課金する。
② CISSP公式問題集を繰り返す。
*①と②の両方の活用もあります。
CISAのときは、トレーニングに課金しても、支出(トレーニング、試験費用等)と収入(合格時の会社からの受験料相当のお祝い等)のバランスがとれそうだったため、課金しました。
しかしながら、CISSPは収支のバランスがとれなさそうです。ゆえに、CISSPの公式問題集のみで挑むことにしました。
正直なところ、、、
CISAに合格し、根拠のない自信が芽生えていた時期でもありました。根拠のない自信は大切ですが、後々、CISSP試験日が近づくにつれ、「トレーニング受けといた方がよかったのでないか」と考えることもありました。
「試験費用が無駄になってしまうなー」とか、試験費用(749米ドル×訳150円)があれば、「カメラレンズ買えたなー」とか「温泉行けるなー」とか、「おいしいもの食べれるなー」と、雑念が芽生えることもありました。
3.4|具体的な勉強方法
主に通勤時間の電車の中で、kindle版のCISSP公式問題集を解き、解説を読むことを繰り返しました。
kindleのハイライト機能を活用し、「正解」(青)、「不正解」(赤)、「正解したけど自信なし」(黄色)を記録。その記録をプレッドシートに記録し、正答率を確認する。これの繰り返しです。
あまり、賢い記録方法ではないかと思いますが、こんなイメージです。
CISSP公式問題集は、約1300問あります(ドメイン毎に100問程度×8、模擬試験毎に125問×4)。
4つある模擬試験のうち、2つを試験日前の練習に活用しようと思って残していたのですが、自分の場合、これはやめた方がよかったです。
この勉強法だと、問題を解きながら、知識習得しているため、模擬試験もどんどん解いてしまった方がよかったです。
問題の解き方は、
問題を熟読し、何を聞かれているかを頭に思い浮かべてからから、選択肢を確認しにいきます。
選択は、消去法にし、消した選択肢は、なぜ、違うのかを説明できるようにします。
わからない用語があれば、関連用語含め、後で知らべて暗記し、記憶に定着させます。
上記を理想としましたが、学習の前半などは、以下が実態です。
問題を読み始め、「なんだこれは?」しか思い浮かばないことの方が多く、すぐに選択肢を確認する。
選択肢を眺めても、わからない用語が多く、なんとなく選択する。
解説を読むが、「なぜこの回答なのか?、他の選択肢はなぜ違うのだろうか?」と思いつつ、次の問題に移る。
わからない用語は、なんど頭にいれても、忘れている。
わからない用語への対応は、基本は検索して、何度も読み返して、脳に定着させることです。定着させるという部分において、チャット形式の生成AIを活用し、壁打ちのようなことも試しました。
わからない用語を検索してわかった後に、自分が持っている知識を書き込み(吐き出し)、それらしい返答がきて、その返答に対して、本当か?と読み込むことで記憶の定着につながったかもしれません。「教える」という部分を生成AIに向けて勝手にやってみるということです。
4|試験に向けて
各体験記にいろいろ記載がありますが、問題集の正答率が9割という状態での受験が理想かなと推定し、問題集の正答率が8割に近づいた3周目に着手するあたりで試験日程を意識しはじめました。
お仕事の状況を考えつつ、テストセンターの空いている日程をみると、想像していたより空きが少ない。2023年度中は難しそうである。
この時期に、冒頭に記載したCISSP資格試験は、3年毎に更新があり、2024年4月15日にドメイン毎の出題比率、試験の問題数、試験の制限時間等が変わることを認知。更新について深く理解せず、とりあえず更新前には受けてしまおうという考えが先行し、2024年4月15日より前の日程を選択。
5|試験開始前
新宿のテストセンターでの受験で、通える距離でありましたが、集合時間が、7時30分ということが気がかかりで、新宿に前泊しました。(宿泊代、、、)
集合時間の10分前に到着しましたが、10人程度はすでにいたと思います。顔写真撮影や静脈認証など、試験前の手続きを丁寧にご案内いただき、試験開始です。
ちなみに、身分証は運転免許証とパスポートです。思い返せば、試験申し込み時に、身分証と登録する名前を完全に一致させるような記載があり、しかしながら、ローマ字しか登録できないなと、思ったことがあったのですが、身分証と登録した名前を「読み合わせで一致を確認」するため、そんな不安は無用でした。(もちろん、そもそも間違えていたらだめだと思います。)
6|試験中
問題の解き方は、前述の勉強方法に記載のとおり、問題を熟読し、何が聞かれているか(選択肢に書いてありそうなこと)が思い浮かんでから、選択肢を確認する。選択は消去法で、残ったものを解答する。
正直なところ、全く手ごたえがないまま進みました。途中、3回休憩(糖分注入)しました。6時間の制限時間のうち、5時間半くらい使いました。受験者の中では、最後の方まで残っていました。
6|試験後
試験室からでると、テストセンターの方から、裏返しにされた紙を渡されます。全く手ごたえがなかったので、その場ではみれませんでした。
紙をバックにしまい、新宿駅に向かいます。家に帰ってから、小2になった次女に紙を読んでもらった方が、ダメージは少ないと思ってました。
新宿駅のホームで、乗換案内など、家につきそうな時間を調べたながら電車を待ちつつ、メールを開いてみると、ISC2からポジティブな件名のメールがきております。
もしやと、ぐちゃぐちゃになった紙をバックからとりだすと、「おめでとうございます!」と書いてあり、安堵しました。
おわりに
その後、認定の手続きを進め、連絡待ちです。CPEの体験は、これからです。また、その辺も機会があれば、まとめたいと考えています。
思いの外、長くなってしまいました。何かひとつでも、参考になれば幸いです。読んでいただきありがとうございました。
(「♡」をいただけると嬉しいです。)
この記事が気に入ったらサポートをしてみませんか?