CISSP 試験記録 2021

CISSPとは

Certified Information Systems Security ProfessionalというISC2が認定しているセキュリティに関する認定資格のことです。
国内だとIPAの情報処理安全確保支援士がありますが、それの国際版という感じで、範囲がさらに広くなっています。また、資格の認定には試験に合格するだけでなく、実務経験も必要となります。

受験のきっかけ

最近の業務でセキュリティに直接関わることが増えてきました。支援士の試験はすでに受けていましたが、CISSPドメインガイドブックを見たときに、分からないものが多く、危機感を持ったのがきっかけです。教材が多数用意されており、独学でも学習できそうだったので、CISSPの認定取得を目標にしました。

学習

使用した教材は以下の3つです。
・新版 CISSP CBK 公式ガイド
・CISSP公式問題集
・CISSP Exam Cram (リンク先はシリーズ最新版)

もちろん、インターネット検索は活用しまくっています。

学習期間は4ヶ月です。
短期だと日々の負担が大きく、長期だと続かない可能性があったので、無理なく継続可能な4ヶ月に設定して学習をはじめました。

学習方法は
ガイドブックドメイン1 → 問題集のドメイン1 →
ガイドブックドメイン2 → 問題集のドメイン2→....

という感じでドメインごとにやっていきました。
やっていて思ったのは、ガイドブックの範囲に対して問題集での問題数が少ないなと。また、ガイドブックを読むより問題を解いていたほうが明らかに得る知識が多いのです。

そこで、途中で追加した問題集がCISSP Exam Cramです。選んだ理由はAmazon評価が良かったのと、なんか表紙が色鮮やかだったからです。英語で書かれていますが、Google翻訳やDeepLを使えば十分でした。良い感じで公式問題集を補っているなと感じました。他の問題集を試していないので、これが良いとは言えませんが、公式問題集だけではさすがに足りないですね。

公式ガイドブック

公式ガイドブックには紙媒体と電子版がありますが、じっくり読むつもりだったので紙媒体で購入しました。読みやすいように分冊になっていますが、これでも持ち運びは厳しいです。

公式ガイドブックは1.5週しました。
切りが悪いのは途中で力尽きたからなんです。読んでも読んでも全然先にすすんでいる感じがしないんですよ 😂

最初の1週目(実際には問題集と並行)に2.5ヶ月もかかりました。全体的に内容がフラットに書かれているので、メリハリをつけて読むのが難しいです。また、じっくり読んだところで「結局どういうこと？」となることが多く、ググって調べる必要がありました。
それでも、なんとか1週目を最後まで読み切ったときは何か一つのゲームをクリアしたみたいな達成感はありました。

問題集

すべての問題はAnkiアプリに取り込みました。
公式問題集もExam Cramも電子書籍なので、アプリに取り込んで学習しました。アプリ側で出題頻度を計算してくれるので、簡単な問題は数回だけ、苦手な問題は何回も繰り返すことができます。最終的に2400問くらいを登録しています。

毎日、アプリから100問前後のノルマが発生するのですが、サボると翌日にそのまま持ち越しになるので、それが嫌で結局サボらず毎日やっていました。どんなに忙しくても学習は毎日していたことになります。習慣化できたのはすごく良かったです。

問題集での学習で気をつけていたのは以下のことです。

1. 問題文・選択肢・解説に登場したすべてのワードを理解する
2. 正解の回答がなぜ正解で不正解にならないかを理解する
3. 不正解の回答がなぜ不正解で正解にならないかを理解する
4. 関連ワードや関連内容について確認する

特に、4についてはAnkiアプリがかなり有効でした。
学習中はGoogle検索はかなりの頻度で利用しましたが、特に利用したのが画像検索です。Ankiアプリでは画像の貼り付けもできるので、図や表などは解答欄に多く貼り付けていました。解答を確認するたびに目に入るので、覚えるべきものは自然に頭に入ってきました。

試験

学習をはじめて3ヶ月目に試験日の予約をしました。
もともと4ヶ月の学習計画だったので、3ヶ月と3週目くらいを試験日として申し込みました。

試験直前にやった公式問題集の模擬試験では、初見で8割程度はできていたので「勝ったなガハハ」という状態で試験に臨むことができました。

実際の試験は、これまでやってきた問題よりも難しく感じました。
あまり手応えはありませんでした。
試験終了後、受付で紙を受け取ります。

「おめでとうございます!」と紙に書かれていてラッキーでした。

エンドースメント

試験に合格したあとは認定の手続きに入ります。この資格の認定には業務経験が必須なので、それを証明するためにエンドースメントという認定プロセスがあります。そのため、身近にいるCISSP認定者に依頼して推薦してもらう必要があります。

私は身近にエンドーサー(推薦者)がいませんでした。
学習開始前からいないのは分かっていましたが、(ISC)2のサイトには以下のような記述があるんです。

CISSP認定試験合格者で、身の周りに(ISC)2認定資格保持者がいない場合には、Request Endorsementページにて、『Request (ISC)² to endorse you. 』にチェックしてください。 (ISC)²がエンドーサー（推薦者）となります。

手続きに少しお時間をいただくことになりますが、資格、必要書類を満たしている限り受理されないケースはございませんのでご安心ください。

ということなので、(ISC)2にエンドーサーになっていただく方法で手続きをしました。

実際に必要な内容は以下のようなものです。
・申請時にRequest (ISC)2 to endose you.にチェックを入れる
・英語の在籍証明書を会社に発行してもらう
・上司に名前やメールアドレス等の記載許可をもらう
・必要事項(Job Descriptionとか)を記入する

私は転職をしており、実は試験に合格したタイミングでは認定に必要な5年の業務経験を(現職のみでは)満たしていませんでした。なので、5年経過したタイミングで現職の在籍証明書を発行してもらっています。といっても、合格してから1週間後に5年を満たしています。

Job Descriptionは完全に独自フォーマットで書いています。
普段携わっている業務が、CISSPのドメインの範囲を満たしていることを説明するための記述と理解して、
・関わっているプロジェクトの概要
・各プロジェクトについて、期間と自分の役割、セキュリティ(ドメイン)との関連

について、簡単にまとめてGoogle翻訳に流してからチェックして提出しました。

エンドースメントを提出してから2週間ちょっとくらいで「Next Step for Approved Application」というメールを受け取りました。あとは、手続きに必要な費用を支払って完了となります。エンドースメントプロセスが監査対象にならなかったこともあり、とても簡単でした。

推薦者がいない方は、ぜひ(ISC)2にエンドーサーになってもらいましょう 😁

認定証

メンバーになってから2ヶ月くらい経過して、認定証が自宅に送られてきました。

タイムライン

2021年02月22日 .......... 試験を受ける
2021年02月23日 .......... 今後の手続きに関するメールが届く
2021年03月02日 .......... エンドースメントを提出
2021年03月19日 .......... CISSPに認定されたというメールが届く
2021年03月20日 .......... 会費を支払う
2021年05月28日 .......... 認定証が郵送で届く

費用

試験勉強開始から合格後の手続きまでの一連の費用です。
為替は当時のもので計算しています。

公式ガイドブック...............................¥27,500
公式問題集..........................................¥3,300
Practice Questions Exam Cram.........¥2,568
試験費用(699USD+Tax).....................¥83,041
Annual Maintenance Fee(125USD)....¥13,625

合計......................................................¥130,034

最後に

CISSPは認定後も徳(CPE)を積んでいかなければなりません。セキュリティについて、知識だけでなく考え方や状況判断も必要になるので、今回学んだことをきっかけにさらに勉強を続けていきたいと思います。