CISSP 受験記

はじめに

先日、CISSP を受験し無事に合格しました。（2024/05/15）
なぜ受験するに至ったかなど備忘録として記載しようと思います。

そもそも CISSP って何なのという場合は下記をご覧下さい。いわゆるセキュリティの知識を幅広く問われる試験です。（雑）

CISSPとは｜ISC2 Japan

普段のお仕事／スペックなど

普段はクラウド関連のお仕事をしていて現状のロールとしてはクラウドをこれからご利用頂いたり、より活用していく方々の為にレクチャーする仕事などをしています。

スペックとしては（セキュリティ関連の資格に絞ると） 20 代の時に確か MCA - Security か何かをとって IPA では第 1 回 SG（セマネ） 試験合格率 88% の伝説の回に合格した者です。ちなみに IPA はすこぶる相性悪く支援士は（5 年くらい前に受験して） 2 回落ちて合格していません。あとは現職で AWS SCS-C01 / C02（更新） を取得している感じです。

なんと88％！？新試験「情報セキュリティマネジメント」の合格率

CISSP を取得しようとしたキッカケ

去年の 5 月（2023/05）頃に AWS の All Cert になり、次にどうしようかな、と思った時「以前、支援士落ちてしまったし改めてセキュリティを体系だって勉強しようか。」と CISSP に目を向けたのがキッカケでした。

現状のロールでもセキュリティをメインに担当していることもあり、前職の CSIRT の経験から今後もこの分野でやっていきたいという気持ちで国際的な資格である CISSP に注目しました。（支援士もまたチャンスがあれば取りたい）

とは言いつつ

人間はサボってしまう者。結局去年の下期（～ 12 月）までこれといったモチベもなく全く資格への取り組みがなく CISSP も置き去り状態になっていました。改めて勉強をするキッカケになったのが同僚で私より後に CISSP に興味をもった方が 2024/03 に先に取得してしまったからです。

「1 年弱サボった上で自分は何をやっているんだ」と。ということでここから本気を出しました。先に取得した方もおっしゃってましたが何より「継続」が重要です。私はこの CISSP 合格をキッカケに再度「継続」の習慣が癖づけられたので同僚の方にはただただ感謝です。

教材などなど（個人的優先度順）

ここまでの導入に関しては全く勉強法などには触れていないので各種の教材を備忘録に残します。（勿論、試験内容に関しては NDA で触れられないのでこんな形で取り組むと良いよ！という形で記載します。（活用法として））

①公式問題集

CISSP公式問題集

言わずもがなの公式問題集です。おおよそどの方の合格記にもありますが間違いなくこれはやった方が良いです。ただし、他の方も記載はしてますが基本 CISSP には「過去問」という概念はないので（同じ問題が基本出ないことを考えると）各ドメインでこんな感じのものが出るのか、という位置づけで 3 ～ 5 週回すくらいで十分だと思います。

今から考えると 1 回目（最初に取り組む時は正答率は低くなりがちなので）から「なぜこの回答を導き出すのか」という CISSP 的な考え方をなぜなぜで掘り下げながら取り組むことをお奨め致します。あとは基本知らない用語が出てきたら隅から隅まで調べておく、かつ、発展的に（概要レベルで良いので）応用的な内容も身につけると良いと感じました。

ちなみに後日談ですが私は通算では 20 周くらいこの問題集を回した上で最後はほぼこの問題集の 1,000 問以上を脊髄反射的に回答できるようになってましたが本番のことを考えてもこれは意味がありません。ｗ（これは反面教師的な内容で基本は👆に記載した内容、また素敵だなぁと思ったのは下記の受験者の方のまとめなどです。（私は受験の 1 週間くらい前にこの方の Qiita 記事とイラストなどを拝見した時に「いや、ここまで理解してないし。無理ゲーやろ。ｗｗｗｗｗ」とただただ尊敬していました。））

独学・CISSP合格体験記 - Qiita

②晴耕雨読の CISSP 勉強ノート

①の公式問題集と共に並行してバイブルにした方が良いのがこの晴耕雨読の CISSP 勉強ノートです。これも多くの方の合格記で紹介されているので言わずもがなですが各ドメインのキーワードを「しっかりおさえるポイント」として簡潔にまとめて下さっています。感謝。

このサイトは最終的に用語の整理として試験の 1 ～ 2 日前まで見続けていました。多分、このノートに出会っていなければ体系だった整理はできぬまま本番試験で頭が真っ白になって終わっていたと思います。それくらい良くまとまっています。

ちなみに、試験後あとで気づいたのですが目次がアコーディオンメニューになっていたのですね。ｗ

おそらく、用語を押さえたい時は目次からサッと飛ぶ、ということが多いと思いますので是非目次はご活用頂くと良いと思います！

CISSP 勉強ノート

③PIEDPIN（Udemy）

Udemy の中でも全ドメインを通して日本語で学べる唯一の教材はこれしかないのでは？というものです。後程、勉強順番は記載しますが公式ガイドブック（分厚いやつ）を購入しないのであればこの Udemy 動画をセール時に購入して公式問題集より先に購入することを推奨致します。

動画内でも述べられていますが要点を絞って CISSP 全体としてこんなことを学ぶんだな、という導入に持ってこいの教材なので試験近くの後期よりはタイムライン的に最初に見た方が良いです。

また、こちらを購入すると前述の Qiita 記事内に記載があり後から気が付いたのですが動画内の内容をまとめた PDF があります。これも最初の方に眺めて「うーん良く分からん」という箇所が出たらググるなり何なりして惜しみなく調べて行きましょう。

【日本語】初心者から学べるCISSP講座：CISSP Domain1 ビデオ学習　2024年度版

＊URL はドメイン 1 のものですが 8 まであります。徐々に 2024 年版に更新されそうです。

④Thor Pedersen - HARD CISSP practice questions（Udemy）

125 問セットの問題集です。私の場合は CISSP 試験改訂の過渡期 2024/04/15 以降に CAT 形式で受験しているのでこの問題数のセットは丁度良く、試験の 1 ヶ月程前に #1、2 ～ 3 週間程前に #2 を購入しました。内容としては初見は難しく 50 ～ 55% 程の正答率でした。

実際にこの Udemy 教材は英語（なので Web の Chrome 翻訳を活用）ということもあり一部の合格記で見かけたくらいですが難易度としては（本番が）私はこれと同等かそれ以上かも？と感じました。この辺は私感なので参考程度に。

この教材の立ち位置としては色々な合格記で求められる「CISSP 的な考え方」を取り入れている部分が魅力です。公式問題集は全体感として知識問題が多めなのでこの手のものをやっておくと本番の時に日和る可能性は低くなるので結果的には購入して良かったです。（これもセール時に）

HARD CISSP practice questions #1: All CISSP domains - 125Q

踏まえた上での勉強法

少し③内でも記載しましたがまずは相当の自信がなければ一番最初に PIEDPIN の Udemy 動画から入ることをお奨めします。日本語ネイティブであれば 1.5 倍でも良いので時間をかけずにザッと概略を掴みましょう。補完として PDF も眺めつつ知らない用語を潰して行きます。

そして、次にやるのは①＆②になります。①は 3 ～ 5 週を目安に 1 問 1 答でも良いですし 100 問程の 1 ドメインをまとめて振り返っても OK です。これも他の方の合格記に記載がありますがなるべく 1 周目から「何が OK でこの回答になっているのか」というのを深堀りしながら実施すると本番のシミュレーションにもなって良いです。また、回答以外のキーワードも「存在していない」ものを除けばドメインの範囲内として押さえておいた方が良いキーワードになるので是非知らない用語を潰して行きましょう。ちなみに、②に関しては 3 週くらい回しておおよそを理解した時に理解度のチェック、浸透具合を兼ねてご活用頂くと良いと感じます。

あとは Option として④なり下記のような Youtube 動画（英語ですが）を見て実践的な問題を試験日が近づくにつれ取り組むのが流れとして良いです。勿論、①～③は離れてしまうと脳的にポンと抜けてしまうので思い立った時にちょこっとでイイので振り返ることも重要です。

【補足レベル】JTA（2024/04/15 に Job Task Analysis） で改訂されている部分はそこまで大胆に変わっていない印象です。これも英語ですが Youtube の動画があるので字幕 + 日本語変換など入れつつ概要レベルでは押さえておきましょう。

結果的な勉強時間、そして本番へ。

時間としては 2024/03 からの約 2 ヶ月で 100 ～ 120 時間ほど捻出しました。人によっては 2 週間だったり 40 日だったりと様々ですが取り組み方として色々あると思うので最適な解はありません。（私の場合は①～④以外にも結城先生の暗号本や徳丸先生の Web セキュリティの本をザッと読みしました）

暗号技術入門 第3版　秘密の国のアリス

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

本番は東京地区であれば誰もがお世話になっている新宿のビルです。CAT 形式になってから密かに横浜などでも受験できるかと期待していましたがそこは今までと変わらずな感じですね。ただ、受験時間帯は 6 時間の頃に比べると柔軟に選べるようになったと思うので Good な改訂だと思います。（私は最近朝が激弱なので寝坊で撃沈する可能性もあった為）

勉強教材などは受付まで行くと基本もう見れません。腹を括りましょう。あとの流れは多くの合格記でも記載などあるため、ここでは割愛しますが 3 時間になってからの押さえておきたいポイントは下記だと思います。特に時間という観点で。

・6 時間の頃と比較すると最大 150 問回答することで最短 1.2 分になるので休憩などは考慮しない方が良い。
　- 360 / 250 = 1.44
　- 180 / 150 = 1.2
　- なので、トイレは事前に済ませておき極限まで集中をお奨めする。
・👆の絡みもあり、最大 150 問解くとなると 50 問折り返しは 60 分以内が望ましい。（実際に私は誤差 2 ～ 3 分でそのペースを守りました）
・6 時間の時に受験していないので何とも言えないですが 3 時間は精神的には楽、兎にも角にも短くなったならその時間内最大限集中するポジティブ思考を持つ。
　- 私は結果的に 2.5 時間程、残り 2x 分くらいを残して終了しました。

難度は教材の④でも触れましたが個人的には難しく感じた次第です。とは言え、消去法で消していける問題もそれなりにはあったので「知識問題はまず落とさないようにする（①～②でしっかり身に付ける！）」「非知識問題はまず問題文のキーワードを見落とさずに消去法から入る、入れずに全部正解に見えたら良く言われる【人命最優先】【ビジネス観点】【マネジメント視点】で一番正しそうなものをピックする。」という感じで。

個人的に今まで受験した資格の中では一番難しかった、、ということだけ言えます。ただ、合格した時の喜びや感動もひとしおです。結果的に自信があって解けたのは 1 割程だった記憶なので👆の非知識問題がそれなりに考えた末に出した解法が良かったのでしょうか。

すぐに結果が出るがこの紙に書いてあったのを見て「えっ！？」と思った

今後の目標などなど

現在はまだエンドースメント中（先に合格していた同僚の方に推薦頂いた）ですがクラウド関連が現在の本業なので CCSP を次のターゲットにする予定です。あとは AWS Cert の維持などなど・・・・。

また、CISSP の WG などがあれば頃合いを見計らって参加したいなとも思っております。その時は既にご参加されている皆様、何卒宜しくお願い致します。

良く支援士を既に保持している方が合格記を上げて下さっているパターンを見かけますが支援士なしのパターンでもいけるよ！というのが何かの励みになれば何よりです。（勿論、支援士で糧になるドメインもあるので支援士に Pass して望まれるのは Good な流れだと思います。）