ChatGPTをフル活用して、IT初心者が難関資格であるCISSPに受かった合格体験記【2023年10月】

2023年10月にCISSP試験に合格したため、勉強方法をまとめます。

はじめに

CISSPとは

国際的に最も権威のあるサイバーセキュリティの資格で、範囲が広大であることが特徴です。

CISSPとは（概要・試験について）
セキュリティ プロフェッショナル認定資格制度（CISSP）は、国際的に認定されている資格であり、この資格の保有者がセキュリティ共通知識分野（CBK）の8分野について、深い知識を有していることを証明するものです。
戦略的かつ公平な判断のできるベンダーフリーの認定資格CISSPにより、セキュリティ専門家としてのスキルの裏付けを提供します。

特長
国際的に最も権威あるセキュリティ プロフェッショナル認証資格。
最も広範囲な知識レベルを必要とする資格で、セキュリティ業務従事者から管理職者が対象。
ISC2（国際情報システムセキュリティ認証コンソーシアム）NPOが実施。
全世界で152,000名以上（2022年1月現在）が取得。
2004年6月にISO/IEC17024を認証取得。

【出典】NRIセキュア

試験難易度としては情報処理安全確保支援士よりも難しいと言われています。

筆者のスペック

• 社会人2年目

• 経歴：某私立大学文系学部→某大手SIer(1年)→某大手コンサルファーム(半年)。社会人になってIT系の勉強を始める。

• ITの知見：応用情報技術者資格を取得しており、一定のIT知識を持っていますが、実務経験は乏しい。（前職と現職ともに長期間の研修期間があったため、実務での経験は限定的。）仕事内容は主に資料作成が中心で、コーディングやインフラに関する実務経験はごく一部。研修期間中に触れた程度。

• 英語力：海外経験ほぼなし。大学時代に英検1級に合格する程度でリーディングには特段問題なし。ただし、セキュリティ特有の用語・言い回しに抵抗がある。

受けようと思ったきっかけ

• 現在従事しているセキュリティ分野の中で、最も権威があるらしいから。（最も権威がある＝最も難しいとは限らないのが世の常ですが、アピールのために資格を取るならば権威は大事です。）

• 英語で情報収集をする際に役立ちそうだから。

• とりあえず、幅広くセキュリティについて学んでおきたいから。

使用教材

【アウトプット】

Amazon.com: (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide eBook : Chapple, Mike, Stewart, James Michael, Gibson, Darril: Kindle Store

基本的には全ての問題を一瞬で回答できるくらいやりこめばOKです。

【インプット】

CISSP 勉強ノート

体系的に整理されて、よくまとまっているので、こちらをベースに知識の整理をするのが良いと思います。
自分はこちらのページをコピペしたものをgoogle docsに貼り付けて、問題を解く中で適宜情報を追加していました。
このような情報の一元化は何を勉強するにおいても非常に大事です。

【日本語】初心者から学べるCISSP講座：CISSP Domain1 ビデオ学習

会社でUdemy Businessが使えるため無料でした。噛み砕いて説明されているので、自信がない分野はここから始めましょう。非常に分かりやすいのですが、私は動画で勉強するのが性に合ってなかったため、Domain3までしかみてません。ただし、分かりやすいことは間違い無いと思います。

CISSP Certification: CISSP Domain 1 & 2 Boot Camp UPDATED 23

テキストがよくまとまっているので、時間に余裕がある人は追加でやってみても良いと思います。こちらもUdemy Businessが使えるため無料でした。動画はほぼ観ず、苦手なDomain4のテキストだけ参照しました。

公式ガイドブックは分厚すぎるので使いません。受かるためなら必要ないと思いますし、使用するにしても参照程度で問題ないかと思います。全部読むと大分時間がかかりますし。
また、50万円ほどする高額のセミナーに関しては、自分は受け（られ）ませんでした。

学習のコツ

ドメインごとにインプットとアウトプットを繰り返す

学習の基本です。
私の場合は日本語Udemyを見て概要を掴み、学習ノートで知識を補強し、公式問題集を解いていました。
既に知識がある分野に関しては直接問題を解いてもよいですが、一方で、そうでない分野を問題集だけで学習すると、基本や本質を理解せずに答えを丸暗記することになるので、個人的には避けたほうが良いと思いました。
（大学受験の英語で例えると、文法書や授業で体系的に理解していない単元を、いきなりネクステージやVintageで問題を解くことから始めて応用が効かない知識が身についてしまう的な感じ）

回転率を意識する。

私が勉強において大事にしていることは、とにかく問題集を一周する速度を上げることです。
そのために、復習が必要な問題とそうでない問題を区別し、1周目、2周目、3周目...と繰り返す中で、完璧に理解した問題は×印でもつけて、次の周回ではスキップするようにしましょう。
こういったことを繰り返していくうちに、徐々に一周の時間が短くなっていくはずです。

また、CISSPの場合は問題文が長いものの回答のために読むべき箇所は一部だったりするので、回答のポイントとなる箇所にマーカーや線を引くことも周回速度を上げるために有効です。

例えば、以下の問題の場合は太字の部分だけを読めば回答が可能であるので、太字の部分だけにマーカーや線を引きます。

Aは、セキュリティコンサルタントで〇〇業界を担当しています。そこで、マネージャーから顧客の会社ではXXXXXXXXXXXXという問題があるといわれました。そこで△△△△△△△△△△を調査した結果、悪意のあるユーザがデータを要約するタイプの関数を使用しているとわかりました。このタイプの関数を表す用語は？
A. Aggregation
B. Lost Update
C. Dirty Read
D. Polymorphic

例題(答えはA)

ChatGPTをフル活用する

本ノートの肝です。これがなかったら実務経験無・独学で受からなかったと思います。
主に問題の解説と、用語の解説に使用していました。

問題の解説
公式の解説だと抽象的だったり、視認性が低かったりします。なので、以下のようなプロンプトを打ちます。

以下の問題に関して問題文の要約と、各選択肢の用語に関して漏れなく解説となぜ正解or不正解の解説をしてください。
#各選択肢の用語には元々の英語表記も添えること。
#問題文は日本語で要約すること。
＃各選択肢のそれぞれに必ず触れること。
＃選択肢は箇条書きにすること。
【問題文】
（問題文をそのままコピペ）
【解答と解説】
（解説をそのままコピペ）

ChatGPT

箇条書きに整理されて見やすいですし、解答の根拠も具体的ですね。また、わからなかったら追加の質問もできます。

用語の解説

知らない単語や、そもそも解説を読んでも抽象的で理解ができないことがあると思います。そんな時は、以下のようなプロンプトを打ちます。

以下の用語について、初心者でもわかる解説をお願いします。
#箇条書きにすること
 #構造化すること。
#各用語解説に具体例と使用ケースも添えること。
(用語)

ChatGPT

解説に加えて、具体例や使用ケースも提示してくれてイメージがしやすくなったのではないでしょうか。これを読んでも分からないところは「〇〇の部分が理解できない」などと質問すると追加で確認することも可能です。
また、「小学生でもわかるように説明して」と付け加えるとこれでもかというくらい噛み砕いてくれたりするので、ChatGPTのプロンプトを調べてみると効率よく使いこなせるかと思います。（これからの時代、生成AIを勉強しておいて損が無いことは言うまでもありません。）

体験記

勉強開始(7月〜)

7月に入り、前述の勉強方法を基に勉強を開始しました。サボりつつもぼちぼちと進め、問題集を解きながら不明点を調べ、Domain6まで学習しましたが、そこでタイムアウトに。残り2ドメインが未完で、他の分野もまともな復習もできていない状態で、試験本番を迎えました。
なお、この時期にリテイクキャンペーンが実施されており、8月中に受験すれば10月15日までの再受験が無料ということだったので、8月末に試しに受験してみることにしました。
(なお、実際には10月末まで再受験の申し込みが可能であったため、10月27日に受験しています。)
問題の傾向が分かりますし、怠惰な自分には試験日を目標にすることで学習の良いペースメーカーになると思ったためです。

試験1回目(8月末)

帝国ホテルタワーでの7:30集合は早すぎて泣きそうになりましたが、なんとか到着しました。
試験開始まで復習しようと思ったものの、電子機器やテキストは全て預ける必要があったため、何もできずに試験開始を待ちます。
試験時間に関しては6時間で、途中休憩を取ることができました。軽食と飲み物もロッカーに保管でき、休憩時に取り出すことが可能でした。（ただし、電子機器やテキストが入ったバッグには触れることはできませんでした。）
注意点としては、長丁場に耐えるためには最低限の睡眠を確保することをお勧めします。私の場合は睡眠時間が1時間しかなく、非常に眠くて集中できませんでした、、、
なお、試験内容についてはNDAを締結しているため詳細には触れられませんが、日本語訳は（一般に言われているよりも）良好でした。

試験結果(1回目)

試験結果(1回目)

当たり前のように不合格でした。受かるはずがないと思っていたので、むしろ5/8分野が基準値以上、1分野が基準値近くであることに驚きました。
この結果を受けて、ちゃんと勉強すればいけるのでは？と思いました。

2回目試験までの学習

2回目試験は10月27日に予約をしました。(リテイクキャンペーンの制約により、10月末が期限だったため)
次回不合格の場合は会社から受験費用の支援を受けられないため、13.6万円が自己負担となり、大きなプレッシャーが押し掛かります。
学習の方針としては、前回の試験結果を基に、結果が悪かったネットワーク分野を中心に勉強しました。また、前回の試験で頻出した分野も、記憶の限り重点的に取り組みます。

なお、勉強時間ですが、9月中は事情によりまともに勉強できませんでした…笑
結局、Domain8まで解き終わったのが10/9で、試験日までわずか20日弱、、、「不合格」の3文字が脳裏によぎります。
時間が限られているため、そこからは回転率を意識して復習に励み、なんとかDomain1-8の全ての問題を脊髄反射で解けるまでに持っていきました。
Practice Testに関しては、1回目で8割程度の正解率だったため、Test 2-4は放置してDomain1-8を完璧にすることに焦点を当てました。（時間があれば絶対にやるべきだとは思いますが）

試験2回目(10月27日)

10時に西新宿のテストセンターに到着し、10時半に試験を開始しました。360分で250問を解くため、30分ごとに25問解く目安としました。（合計で5時間で終える計画でした）
実際には、回答に4時間、休憩に約30分を要しました。1回目の試験と異なり、自信を持って回答できる問題が多く、50問解いた時点で良い手応えを感じました。
約2/3の問題はある程度の確信を持って回答でき、残りの問題も大体2択程度に絞ることができました。

試験結果(2回目)

やりました！合格です！
試験結果を受け取った際は安心して膝から崩れ落ちそうになりました。

あとがき

勉強時間は4ヶ月で、なんならそのうちの1ヶ月はほとんど勉強できておりませんでしたが、火事場の馬鹿力で合格することができました。
私のような実務経験が乏しい人間でも、独学で難関資格であるとされているCISSPに合格をすることができたという事実が少しでも皆さんの励みになればと思います。