CISSP受験記録

学習備忘録

受けた人の学習時点での基礎知識レベル


色々な人の受験記を見ていると謙遜しているけど、どう見ても現役つよつよエンジニアとか地頭の出来の良さが自分とは根本的に違う人趣味でやっている内容が逸般人が多くて不安になる事が多かったので、こんなレベルの人でも勉強したら受かったよと言うことで少し詳細気味に。

教育的バックグラウンド

情報系の学部を卒業
その後地元の中小企業(80人規模)で総務兼システム部
23歳で応用情報取得、25歳で情報セキュリティスペシャリスト。
特例期間を利用して情報処理安全確保支援士へ。
情報系の教育経験としてはこのレベルです。
システム会社にいたといったプロフェッショナルな経験はないです

勉強開始時点ではOSI参照モデルとTCP/IPについて聞かれたらアプセトネデブ!アトイネ!と条件反射では言えるレベル。意味はわかっていない
該当するレイヤーが何を意味しているのか、どんなプロトコルがあるのかはさっぱりわからないレベル。
CISSPの試験勉強を始めてBell-LaPadulaとBibaなんて聞いたぞってレベル。

会社での業務内容


月末月初は月次決算処理など経理もやっているし、月中は施設管理や行政への申請書提出、施設の手配等総務業務もやっています。
そして片手間でシステム担当です。
中小企業あるあるだと思いますが予算はない。人もいない。

あれもないないないこれもないないない。


システムとしての普段の業務は、一般社員のエクセル関数の使い方レベルのヘルプデスク業務から
新入社員のPCの調達にキッティングにID用意等。
経営層に提案するIT投資戦略の策定から予算の確保、結果の報告まで。
情報セキュリティポリシー策定作業もコンサルを雇うお金もなく、人もいないのでやりました。
ベンダーへ依頼する開発分の要件定義から、社内アプリで使うサーバ構築やアプリ作成までやってます!
というと聞こえが良いが実際は中小企業特有の何でも屋。

サーバ構築もアパッチやセキュリティソフトの配信サーバを構築しましたが手順書に従ってやっただけなのでオペレーターレベル。
アプリ作成時もわからなければネット調べてコピペ職人です。

きっと全国の零細中小企業の社内SEの皆さんは理解してくれるはず。
分業制?ジョブローテーション?なにそれ食えるの?

学習期間


約1ヶ月

学習教材

UDEMY
PIEDPIN
CISSP公式問題集
CISSP公式ガイド
BOSON
晴耕雨読
ネットワークエンジニアとして
暗号技術入門
tryhackme

学習方法

はじめに概要を知るためにUDEMYの【日本語】初心者から学べるCISSP講座を流し聞きしていました。
晩御飯の後に聞いて学習しようとしたところ、とても良い睡眠導入薬
教材でした。
お金払っているんだからこれではイカンと真面目に聞いて概要を掴むのに掛けたのが3日。

概要を掴んだので、どういうふうに勉強するか方針を決めることに。
CISSPの公式の講義については一般人の僕には高額すぎて即除外。
評判の良い教材とサイトをメインに勉強しようと基本方針を決定。
お金が無いから手数とかける時間で勝負する事へ。
どこでも鉄板と言われるCISSP公式問題集を購入。

初めににCISSP公式問題集の模擬試験1を解いてみました。

先人に習い、回答データは効果や得点推移を測定できるように全部エクセル上に記録していきました。これは見える化ができて成長を確認できるのと、これだけやったんだという自信に繋がったので自分でも良かったと思うのでオススメ。

これでまずはスタートラインの自分の実力を確認して何が足りないかを確認してみました。
結果は以下の通り

1章 72.97%
2章 66%
3章 62.70%
4章 66.00%
5章 58.00%
6章 64.00%
7章 81.65%
8章 70.19%

他の人のブログを見てみると皆似たような得点分布。
1日に2章を解く事をノルマにして勉強する。

答えを覚えてもしょうがないとは先人の皆様が言っていることなので、
用語一つ一つの意味の理解に注力。
わからなければネットで調べる。
眼の前にある文明の利器をどんどん使う。


この時まずお世話になったのが晴耕雨読様
おそらく日本人のCISSP受験者の殆どが一度は目を通しているのではないかと思う。
感謝です。

ネットワークの認証系の技術的な説明については
ネットワークエンジニアとして様を参考にしました。

ここでようやくケルベロスが神話の犬じゃないことを知る認証方式の一つと知る。
ASとチケットとか処理フローを理解するために更に色々なサイトで調べる。
とりあえず、犬という認識から認証方式と言う事とその詳細な手順とそれぞ
れの弱点部分も一通り説明できるように付け焼き刃だが理解したレベルになった。

ここまででUDEMY3日+模試1日+練習問題4日で8日間経過

ここまででなんとなく概要とは掴んだが「やっぱり手を動かすのが一番だよね」
ということでtryhackmeというサイトで実際にNmapやburp等の問題集に出てきたツールやXSSやXSRF等の攻撃手法について実際にやってみた。

これが意外と印象に残っていい感じでした。
特にXSSやXSRF等の違いを言葉ではなく実際に行ってイメージできたのは良かった。
更に暇があれば晴耕雨読様の単語を説明とセットで頭に叩き込む。
これには3日掛けた。

さて、また練習問題を解くぞと思うも、問題と回答を覚えてもしょうがないということで色々な問題を解いてみること。

情報収集段階で海外ではどうやら「bosonが良いゾ」と聞いていたのでExSim-Max for CISSPを購入。
bosonさんは落ちたら返金するという自信を持っているので落ちたら実質無料で勉強できた思いこんで、
すぐにbosonで購入アカウントを作成。
よくわからないけどクーポン適用で85$に。
この円安のせいで1万3000円程度のお支払いに。1日1000円で生きている人間には辛い。
1万超えは辛いと思いながらまた解き始める。
シミュレーションモードと学習モードがあるようだがシミュレーションモード一択で解き始める。

1章175門が4章あるので4日で終了。
間違えた問題や悩んだ問題はbosonの機能にあるフラグで管理。
あとで復習するように取っておく。
問題を解くペースの練習にもなり、これも結構ありだと感じる。

Tryhackmeとbosonの2つで7日間やりこみ、勉強開始から約2週間経過。

ここで再び、練習問題集をやり始める。
せっかく犬という認識から認証方式の一つへと改まったケルベロスが再び犬になってしまったいたが、なんとか思い出しながら練習問を解いていく。

1章 84%
2章 85%
3章 86%
4章 90%
5章 81%
6章 88%
7章 90%
8章 84%

2周目でなんとか、すべて80%オーバーになってきた。

ここで練習問題の模試2を投入する。
結果は75%。

なんとか合格ラインに乗ったのか…?
ということで受験日設定。
疑問符を頭に浮かべながら間違えた問題をチェック。
同時に正解していても説明できないものもチェック。

なぜその回答を選んだのか自分で納得できる説明を行える問題のみを正解とする。

忘れた頃にもう一度問題を解くことで記憶と理解を促進させていく。

ちなみに他の人のように用語の暗記ツールは一切使っていないです。
ノートも作っていないし、使ってもいません。
なぜなら情報収集段階でCISSP的思考が大切で知識問題はほとんど出ないと聞いたのでただ覚えるだけにリソースを割くのは無駄だと判断したからです。
暗記は理解するための過程でしかなく、理解できた時点で暗記もできていると考えたらからです。
ただ暗記だけして理解したと思い込んでしまうと通用しないと考えて暗記することは止めました。
キーワードを言われたらコンセプトと動作の仕組の概要はすぐ分かるレベルにまで理解度を引き上げました。(正しく理解したとは言っていない)

また一週間練習問題を解いた後に次はbosonを解いてboson2週目終了。
ここまででbosonと公式問題集をそれぞれ2週完了+晴耕雨読様の用集に目を通した程度の勉強量。
これにて3週間目、勉強開始から21日が経過
ここで、bosonと練習問題であぶり出した知識不足分野だった暗号分野の理解を深める為に暗号技術入門を購入して流し読み。
ブロック暗号の利用モードによる動作方式の違いを勉強する。
ついでにHMACも読んで理解した気になる。
これに2日。
これも時折読み返して記憶に定着させる。

そしてudemyでオススメされたHARD CISSP practice questionsもセールで1500円だったので1個試しに買って、解いてみるが55%しか点数取れない。
これのレベルに近いと言われたので絶望したが申し込みもしてしまったし、何より、キャンペーンで1回は落ちてもセーフ!の理論でスケジュールの変更はせずに突撃することを決意。結論を言うとこっちの問題のほうが本試験より難しく感じた。

試験直前木曜日の最後には250問連続で解く練習も兼ねて練習問題の模擬試験3,4を同時に解いた。
決算業務で残業した後に250問は中々にヘビーでしたが,22時から夜の1時30分ごろまでの3時間30分で解けて85%程の正答率まで向上したのでちょっと自信を持った。


そして金曜日だけ決算業務があるにも関わらず拝み倒して定時でダッシュ帰宅して、新幹線で前入り。
新幹線の社内でも晴耕雨読様の単語と説明を振り返り頭に叩き込み、ホテルへ直行してその日は23時前に就寝。



最終的に最初のアプセトネデブ!アトイネ!というレベルからアプセトネデブ!アトイネ!ビフパセ!物理層はビット!ネットワーク・インターフェース層はフレーム!トランスポート層でTCP/UDPプロトコル!TCPのヘッダのコントロールフラグはSYNACKFIN以外にもECEとかもURGもあるね、各フィールドのbit数も例えば送信元ポートでは16bitある!
と言った層ごとのプロトコルやその構造まで説明できるようになった。
ネットワークエンジニアの皆さんからすると何を今更と言われそうな理解度ではあるが、これはセキュリティなのでこの程度で良いやろの精神。

フレームワークやセキュリティモデルも大雑把に理解。
Bell-LaPadula?Biba?Clark Wilson?ああ、完全性モデルとか機密性ね?
アクセス制御?ああ、強制とか任意とかあるよね。強制はSElinuxとかに使ってるやつね。っという知識レベルになっていました。

なぜこの知識レベルで妥協したかというと、
CISSPはエンジニアではなく、アドバイザーやマネージャーですと言われたからです。

技術的にそこまで詳細な事わからなくても、技術的な概要掴んで正しく判断できれば後は技術者に投げてOKやろと考えたらからです。
実務でもベンダーに依頼するときに概要は分かっているけど詳細な設定手順とかはベンダーに丸投げしているのでそのスタンスで行きました。

受験申込

練習問題の模試2で合格ラインの点数も取れたので受験申込へ
4月は決算経理業務の関係で土日しか無理なので、たまたまピンポイントで空いていた土曜日で予約する。
ちょうどCISSP試験の250問から125問のCATへ変更される直前でしたが、250問で受験することに。

どうやら大阪か東京しか会場がない…地方住まいには辛い。
ISC2のキャンペーンで追加でお金を払えば一回落ちてももう一回無料で受けれるよ!
という素敵なキャンペーンをやっていたので模試代と一回は落ちても大丈夫と思い込ませる精神安定剤だと自分に言い聞かせて、黙ってお布施を出す。

申請時に同一ネームの一致の原則云々と言われるるがISC2上の入力画面ではアルファベット記入しかできない。
運転免許証を持っていこうと思っていたがアルファベットの表示はないので大丈夫なのかと一抹の不安を抱えながら向かう。
結論として運転免許証で問題なし。あとは署名入のクレジットカードで無事本人確認OK。
当日の環境とか雰囲気は受験センターにもよると思うので省略。

そして当日、朝ご飯はコンビニのおにぎり2個とお茶、
飲食持ち込み可能ということでお茶とラムネとチョコレートを持ち込み。
試験30分前にラムネを5粒ほど食べて脳へエナジーチャージ!

結果

無事一発合格。
250問の問題量は数字で見ると大きいですが事前に練習問題の模試とbosonのお陰でハードとは思いませんでした。
慣れって大事。
試験の時間自体は3時間かからずに合格できました。
休憩は1時間ちよっと取りました。
あまりに早く解くと再試験という噂も効いたので休憩はしっかり目に。


問題内容についてはNDAなので書けません。
ただ、前評判の割に簡単だった印象を受けました。
他の人も言うようにどれも、正解に見えるというは確かにその通りでしたが
キーワードや概要さえ理解できれば、どれが正しい判断かは結構容易な印象を受けました。
やはり暗記と詳細まで理解はしなくて正解だったなと思います。
あとは日々経営層と会話しているので経営層から飛んでくる質問と似ていたのも効いたかも?中小企業で経営と近いのはアドバンテージだったかもしれないです。

まとめ

教材的には公式問題集とbosonの二本だけやっておけば大丈夫かなぁと思いました。
bosonはちょっと技術的詳細に寄りすぎている気もしましたが考え方の定着には良かったかな。
わからない用語の辞書代わりと理解の定着をさせるためにに
piedpin
晴耕雨読
ネットワークエンジニアとして
暗号技術入門
tryhackme
をやればいいと思います。
公式ガイドは正直要らなかった…。

考え方としては

絶対安全というモノはないという前提の元
1に人命
2に業務への影響度
3にコスパ
4にセキュリティのような順序で判断基準で行っていけば結構いけたのでこれがCISSPとしての判断なのかなと自己解釈しました。

人命は当然、最優先。
業務への影響度は業務が止まったら会社が存続できないので当然人命の次に重視
そのうえで許容できるリスクを検討して、評価した資産価値に対して掛けれるコストを考えて出来る最善のセキュリティを行っていくという事かなと。
あとは業務に活かせれたらいいな。

こんなバックグラウンドの人材でも一発合格できたよという一例と自分語りでした。
CISSPを志すみなさんも自信を持って勉強してください。
以上、体験記でした。

ISC2さん、一発で合格したのだから追加料金返金してくれー!

5月21日追記

5月10日に無事CISSPに認定されました。
4月15日に提出してから約1ヶ月で審査完了から登録となりました。















この記事が気に入ったらサポートをしてみませんか?