CISSP試験に合格しました
昨年から人知れずひっそりと取り組んできたCISSPという資格の試験に、先日無事合格しました。受験にあたっては先達の合格体験記を参考とさせていただき、また、励まされてきたこともあり、僕も実際に取り組んだこと、思ったことについて書き残しておきたいと思います。
なお、試験内容はNDAで秘匿されているため、「どんな問題が出たか」に関しては言及しません。あくまで、個人的な活動と感慨を綴った文章であることにご留意ください。
ちなみに公式トレーニングは受けておらず、書籍を中心とした独学での合格でした。(そして一発合格できました!)
そもそも、CISSP試験とは
この記事を読んでいる方にはいろいろな方がいらっしゃると思いますので、改めてCISSP(しーあいえすえすぴー)が何なのかをご紹介します。
CISSPはCertified Information System Security Professionalの頭文字をとったもので、(ISC)2(あいえすしーすくえあ、と読む)が認定する、情報セキュリティの国際資格です。
ご存知の通りひとえにセキュリティと言ってもいろいろあるのですが、CISSPでは以下の8つのドメイン(科目)が出題範囲となり、かなりの広範囲を勉強する必要があります。
1. セキュリティとリスクマネジメント
2. 資産のセキュリティ
3. セキュリティアーキテクチャとエンジニアリング
4. 通信とネットワークのセキュリティ
5. アイデンティティおよびアクセス管理
6. セキュリティの評価とテスト
7. セキュリティの運用
8. ソフトウェア開発セキュリティ
この区分けだとちょっとわかりにくいのですが、一般的に想像されるネットワークやサーバ、デバイスを中心としたIT全般の知識ほか、実装に関する理論的なモデル、サイバー攻撃手法やそのツール、(主にアメリカの)法律の概要や裁判の慣例、様々な機関が提供するフレームワークやガイダンス、果てには理想的な外壁の高さやスプリンクラー、消火器の類型などについても試験範囲となっています。消火器て。
ただし、正式な認定に際しては試験合格のほか、最低5年間、2ドメイン以上に関連する業務への従事経験が必要です。(大学の学位取得者、もしくは所定の資格保持者は1年分免除可)
ちなみに、2024年4月15日にCISSPの試験内容並びに試験形態が変更されます。詳細は公式サイトのFAQをご参照ください。
https://www.isc2.org/certifications/cissp/cissp-exam-refresh-faq/cissp-exam-refresh-faq-japanese
自身のバックグラウンド、そしてなぜ取得しようと思ったか
僕のバックグラウンドは超ざっくり、以下のようなものです。
・情シスになってもうすぐ12年
・最近はセキュリティ担当兼務
・その前にSIerで4年くらい主にJavaを書いていた
・現職でチームマネジメント経験あり
・IT系資格はSIer時代に取った応用情報くらい
そんなわけで「情シスとしてそれなりの年数働いてきた人が、結構真面目に勉強してCISSPを受けたら受かりました」というのがこの文章の趣旨になります。
情シスとしてやや特殊な点があるとすれば、僕が学生時代に行政書士資格を取得していることでしょうか。大昔ながらも、そのようなガチ目な資格試験を戦って勝った経験があるのは、ほんーの少しだけアドバンテージになったのかなと思います。
逆にディスアドバンテージがあるとすれば、セキュリティに若干の苦手意識があったこと。セキュリティについて何かを語ろうにも、確たる知識がないので議論がふわふわしてしまう(そして尻込みしてしまう)コンプレックスをずっと持っていました。しかし職場でセキュリティ担当を兼務することになり、立場的にも苦手とばかりも言ってられなくなってしまったので、何らか行動を起こす必要がありました。
取り組み当初は明確に意識してはいませんでしたが、今になって思えば、試験を受けようと思ったのは「セキュリティに関するコンプレックスを克服したかったから」なのかもしれません。
どう勉強していったか
勉強時間を正確に測っていたわけではありませんが、トータルで大体200時間くらいは勉強したかな?と思います。
試験までのタイムライン
2023年10月頃:Udemyを見始める。12月の頭までに2周見る
2023年12月上旬:試験を申し込んでみる(円安につき、受験料12万円)
合わせて、問題集の1週目開始。めちゃくちゃ時間がかかり、1周目が終わったのは年明けの連休
2024年1月:1月末までに問題集のドメイン1〜8を合計3周程度回し、大体の問題の正解がわかるようになった
2024年2月上旬:問題集のドメイン1〜8を引き続き回しつつ、それまでに学んだ内容をNotionに一元化していく。このあたりから、取っておいた模擬試験にも手を出していく
2024年2月中旬〜下旬:引き続き問題集を回しつつ、知識を磨き上げていく
2024年2月26日:試験当日、合格!
主に使用した教材
CISSP公式問題集
CISSPの試験勉強では、これを軸に使いました。物理本はなく、電子書籍のみで提供されています
CISSP CBK 公式ガイドブック
いかにも教科書っぽいですが、あくまでも公式問題集の補助教材として使います。それにしても高い
Udemy 「【日本語】初心者から学べるCISSP講座」Domain1〜8
全体の概要をざっくり把握するのに最適でした。
ちなみに、Udemyは月に2,3回開かれるセール期間を狙って買うのがおすすめです。セールでは¥7,000の講座が¥1,200とかになったりします
CISSP公式問題集アプリ
公式の問題集アプリ(英語)。上の公式問題集+αの問題を収録しています。無料のままでもランダムで5問ピックアップしてミニテストを作ってくれたりするので、主に移動中などに使いました。英語慣れにも効きます
試験勉強の具体的な進め方
①:Udemyの講座で概要をなぞる
自身は「セキュリティなんもわからん状態」であるとして、まずは漠然とでもいいので概要を頭にインプットしようと考えました。そのために使ったのがUdemyの講座です。しっかり机に向かう時間を確保した上で、1.5倍速で2周見ました。
もちろんこれを見れば受かる!という代物ではない(そんな教材はない)のですが、CISSPの勉強で初めて触れるような概念や考え方を広くピックアップして紹介してくれていたので、最初に見たのは正解だったなと思います。
②:問題集を回す
どの資格試験でもそうだと思うんですが、CISSPでも結局、問題集を何度も解いたことが合格の主要因だったように思います。改めて数えてみたら、全てのドメインを6周していました(模擬試験は3〜4周程度)。しかし当然ながら「問86…Bだな(ピーン)」などと、問題集の答えを覚え込むのは全く意味がありません。ここでは僕がどのようにアプローチしたかをご紹介します。
まず、B5ノート(コクヨのリングノート、80シート)を1冊用意しました。このノートに手書きで問題を解いていきます。これは、問題を解きながら出てきた不明点を手軽にメモしたり、調べた内容が散逸しないようにするためです。また、手書きによる暗記効果を目論んだところもあります。
1周目も6周目も、やることは基本的に一緒です。すなわち「選択肢に理解があやふやなワードがあったら、それをチェックしてネットなり本なりで調べる」です。これをひたすらにコツコツやっていきます。
ただ、ワードを調べると言ってもただ調べればいいわけではありません。たとえば「CMMのレベル3は定義段階という」とする一点だけを覚えてもほとんど意味がなく、それがその概念全体のどの部分で、概念全体はどういう構造になっているのか、というところまで追い込んでいきます。
この例では「開発プロセス成熟度の指標を定義するCMMは全部で5段階にレベル分けされていて、それぞれ初期段階・反復可能段階・定義段階・管理段階・最適化段階という。そのうち、レベル3の定義段階は体系的に定められたルールのもとに現場が回り始めているフェーズだが、定量的な指標を持つには至っていない」くらいまでにはビシッと落とし込んでおきたいところです。
調べたことは片っ端からノートに書き込んでいきました。時間はみるみる溶けましたが、勉強してる!という感覚を濃厚に味わえました。
字が汚くても、レイアウトが終わってても、気にしない
ちなみに高価な鈍器として名高い公式ガイドブックは、こういった調べ物の百科事典として使っていました。特にネットで調べてもよくわからない(ほぼCISSP CBKの中でしか触れられないワードもあったりする)事柄を調べるのに重宝しました※。なお、頭から読み込むにはかなり厳しいタイプの文献だと思います。勉強が進んだ後にちょいちょい読むと結構面白いのですが、真正面から正々堂々と対峙するのは全くお勧めしません。
※ただし日本語版の公式ガイドはエディションがちょっと古いので、普遍的な原理原則の箇所だけ参考にしました
また、問題集を進めるにあたっては、各問の正答をストレートに突くのではなく「なぜ他の選択肢は誤りなのか」を指摘できるようにしておくと学習効果が4倍増(選択肢が4つだから)すると思います。手間も4倍増なのでめちゃくちゃ大変ではありますが。
③:引き続き問題集を回しつつ、点を線にしていく
CISSPの学習で一番辛かったのは、目指すべき知識レベルをどこに置くべきかがわからないことでした。過去問がないので、その時の自分がどのレベルにあるのかが全然わからないのです。一番悶々としてた頃のTwitterを見ると、ちょっと腐りかけています。
うー、勉強が煮詰まってつらい。なんやねんこの試験
— ヒガシ (@higashi_org) January 30, 2024
1月が終わるまでに問題集を3周し、大体の問題で正答を導けるようになりました。ノートにもたくさんの調べごとが書き付けてありましたが、それらはまだ点に過ぎません。
少なくとも、この点のままでは受からないだろうなと思ったのでどうしたらそれを線にできるかということを考えました。点を線にして、こういうときにはこういうアプローチが取れるんじゃないかな?まで考えられるようになったら、少なくとも本番で戦えるんじゃないかと。
そのためにまず、今まで調べたことや学んだことを俯瞰できるように、一箇所にまとめて体系化することにしました。ただしゼロイチで体系化していくのではなく、先達の貴重なアウトプットを幹としてお借りして、そこを中心に学んだことを枝葉として加えていく方法を取りました。
幹として使わせていただいたのは、日本語でCISSPの勉強をしていると必然的に出会う「晴耕雨読」さんの「CISSP勉強ノート」でした。大変助かりました。感謝しかありません。
知識をNotionに体系的にまとめた後はまた問題集に取り掛かり、理解が弱い部分を炙り出して調べて、手で書いて、Notionと擦り合わせて認識もしくはNotionを修正して、というサイクルを繰り返しました。先程も書きましたが、問題集へのアプローチ自体は1周目も6周目もほとんど変わりませんでした。
今にして思うと、若干病んでたのかもしれない
また、弱いところの理解を定着させたり、シーケンスやフローを手軽に図式化するために、ChatGPTの力も借りました。試験勉強におけるChatGPTの使い方は別にまとめる予定ですが、ChatGPTの出現は、ホームであるIT系はもちろん、特に法律や医学系の資格試験勉強にもパラダイムシフトを起こしたんじゃないかと思っています。
公式ガイドの他に参考とした書籍を以下に並べておきます。いずれも名著と名高いものですが、大変勉強になりました。
試験前日・当日のこと
試験前日は午前中に問題集の模擬試験1,2をさらっとやっておしまいにしました。もうここまできたら何をやっても大して変わらないし、いまさら未知に触れて精神的ダメージを受けるのも嫌だったからです。義実家とのランチに出かけたり、ポケモン竜王戦を家族で観戦したりしていました。ユナイトもカードもバトルも、決勝は全部すごかった。
当日の試験会場はピアソン西新宿。新宿に一本で行けるところに住んでいるので、前泊はしませんでした。6時台の電車が凄まじく混んでいたのは誤算でしたが、7時20分頃に現地に到着しました。CISSP以外の試験もあるようで、早朝にも関わらずピアソンの受付はそれなりに混んでいました。
諸々の手続きを済ませていよいよ試験開始。NDAを拒否してしまうとその場で強制終了となるため、細心の注意を払ってYESと回答します。いよいよ本物の試験問題とのご対面です。
冒頭でも述べた通り、試験問題はNDA対象なので口外することはできません。たまに「これは一体なんだろう?」と腕を組んで考え込む問題もありましたが、意外にも楽しく問題を解けました。
休憩は元々50問ごとに計4回取る予定でしたが、問題を解くのが楽しくて結局3回(確か90問目、180問目、230問目だったと思う)に留まりました。休憩ごとにトイレに行き、お茶を飲み、家から持ってきたアルフォート1枚と森永のラムネ数粒を口に放り込んでリラックスして、ちょっとストレッチをするというルーティンを回しました。それぞれ5分程度の休憩だったと思います。
6時間の試験時間のうち、大体3時間半程度で回答が完了しました。直後に受付でスコアシートを受け取ると「おめでとうございます!」の文字。これを見た瞬間はさすがにちょっと震えました。
獲ったああーーーー!!!! #cissp pic.twitter.com/IS3d52kNPA
— ヒガシ (@higashi_org) February 26, 2024
その後、取り急ぎの祝勝会として前から行ってみたかった焼肉ライクへ。試験を楽しめていたメンタルとは裏腹に、肉体へのダメージはなかなかだったようでペロッと完食してしまいました。
取り急ぎの祝勝会に来た pic.twitter.com/1rJJb9Ke14
— ヒガシ (@higashi_org) February 26, 2024
妻子へのお礼に地元のちょっといいケーキ屋さんに寄ってから家路につきました。
取り組んでみて、そして合格してみてどうだったか
素直に、チャレンジしてみてよかったなと思っています。これは合格したからというよりも、むしろ勉強していた時に強く感じていました。
勉強中何回も「俺は本当にモノを知らなかったんだな」と頭の中で反芻していました。この取り組みを通じて、ITに関する基本的な理解がひたすらに甘かったことを痛感させられました。
CISSPはセキュリティマネジメントに必要とされる広く浅い知識を問うてくる試験なのですが、「浅い」からこそ本質をしっかり掴んだ上で、そうした知識を有機的に組み合わせて現実的な解を出せるようになるのを求められます。単に知ってるだけじゃダメなんですね。
CISSP には、情報セキュリティにおける理論 やメカニズムを理解するだけでなく、その知識を体系的かつ構造的に整理し、状況に応じた適切な判断を行うための、合理的かつ実践的な「知識」と「理解度」が求められます。
CISSPの勉強に取り組んで得られた一番の成果は、そうしたアウトプットを出すために必要な拠り所となる知識体系を、頭の中にドーン!と構築できたことだと考えています。一つ大きな幹ができてしまえば、新しい知識はすでに幹に成っている葉とか実とのすり合わせで身につけていけばいいので今後はだいぶ楽ができます。また、その体系の正確性が試験の合格によってある程度保証されたのが、合格できて嬉しかったことの一つでした。
ただ、1月・2月の休日のほとんどを勉強に割いてしまったため、妻子には相応の迷惑を掛けてしまいました。今年の2月は3連休が2回もあったにも関わらず、娘を遠くに連れていってあげられなかったのは少し心苦しかったです。そういう事情もあり、一発合格を果たせたのは本当によかったなと思います。
****
CISSPの勉強を通じて出会い、気に入った言葉の一つに「セキュリティはビジネスのイネーブラーとして機能すべき」というものがあります。あくまでもビジネスが先にあり、セキュリティはそれを加速させるものでなくてはいけない、という考え方です。
そう考えるとセキュリティの勉強は結局ビジネスの勉強につながっていくねえ、となるので、合格に浮かれず、今後も引き続き学びを継続できればと思います。
さあ、まずは頑張ってエンドースメントの準備をせねば!
おまけ
Twitter(X)で毎日CISSPのドメインに関連するミニクイズを出してくれるゴードンさんというおじさんがいたので、気晴らしにクイズの回答をリプライしていました。英語の勉強にもなるし内容のレベル感もちょうどよく、問題が出るのを毎日楽しみに待っていました。正解したら翌日褒めてくれるんですよ。
Welcome to the #cissp 'Q of the D' !!!!
— Adam Gordon (@Adam_ITProTV) February 26, 2024
Question 1196 / Day 1196 - DOMAIN - Software Development Security: (correct answer to be provided tomorrow) Show how smart you are & post your answers #cisspsuccess #isc2 #TheMoreYouKnow pic.twitter.com/HNVjzsbXa6
海外には親切なおじさんがいるなあと思い勉強していたのですが…
(おしまい)
より長く走るための原資か、娘のおやつ代として使わせていただきます。