【資格取得】CSSLP(ISC2)受験記

ニキヌス

今回はちょっとテーマを変えて。
23年1月にISC2のCSSLPに合格したのですが、この資格はとにかく情報がなく非常に心細かったので記録を残しておきます。
ただし、2023年9月15日から試験のDomain Weightが変わるようです。
勉強法が変わるわけではないですが、ご注意ください。

CSSLPとは?

Certified Secure Software Lifecycle Professionalの略です。
脆弱性とか設計ミスを作りこまない、セキュアなソフトウェア開発ライフサイクルのプロセスを学ぼうぜ的な資格です。
ドメイン概要はISC2のサイトを見て下さい。

試験は英語で3時間125問です。
取得者数は執筆時点でグローバルで3,156人しかいません。
今はISC2のサイトから国別の数字が見れないようですが、数か月前に見た時は日本の取得者は12人だけでした。

難易度

取得者の少なさ=難易度なのかというとそうではなく、普通です。
私はCISSP取得済の状態で勉強し、3~4か月の学習期間でした。
時間にして、多分100時間前後だと思います。

学習方法

この資格の最大の難関は、使える問題集がないことです。
問題集自体はあるのですが、どれも使い物にならないのです。
私はひたすら問題を解いて学ぶタイプなのでこれが一番辛かったです。

メインの学習ツール
選択肢は「AIO」と呼ばれるCSSLP Certification All-in-One Exam Guide「CBK」と呼ばれる公式本の2択です。
後述のReddit等を読んだ感覚では、CBKだけ派 / CBK+AIO併用派がいるようで、AIOだけ派はあまり見かけませんでした。
そんな中、私はAIOだけを選びました。

その他
以下、私はチラ見したものの不要と判断したものです。

  • ISC2からトレーニングが提供されています。私は英語リスニングが苦手なので特に使いませんでした。

  • ISC2からFlash Cardsという単語帳が提供されています。一通り見ましたが特になくて良いと思いました。

  • InfosecやPluralsight、Linkedinに講義動画があります。試しに一部を視聴したものの、AIOより浅く狭い範囲の講義でしたので使いませんでした。

AIOについて

CBKの構成にあわせて全19章にわたり解説してくれます。
この本には色々な欠点がありますが、結果としてはこの1冊で扱われているテーマを"しっかり隅々まで理解すれば"大丈夫でした。

本書は用語集等を除くと全341ページです。
Kindleだと2,3ページスライドして1ページ換算なので、体感700ページです。
良い点はテーマの網羅性です。
困った点は内容が分かりやすくはない点です。
例えば、テーマに触れてはいるが説明があっさりしていてよく分からない部分があります。
図表はほぼなく、長い文章の中に要点らしいものがちりばめられています。
また各テーマの関係性が分かりにくくブツブツと各テーマが続くため
「さっきの話とこの話はどういう関係?」といった疑問がよく生じます。
ついでにKidle版だと複数ページをジャンプすると必ずKindleごと落ちるバグがあり(私だけ?)、学習環境はよくありません。

こうした本ですから、最初に一読した時点では「何も残らん」状態でした。
これではマズいと2週目を読みながら、自分なりのAIO要約本(70ページ程度)を作りました。
更に、要約本を元に、自分が講師として誰かに説明する練習をしました。
傍目にはアホっぽいですが、これは効果絶大で、自分が理解できていない部分が把握できます。
余談ですが、このnoteでガイドライン要約を始めたのは、この要約&伝える学習経験がきっかけです。

あとは本書内で紹介されるSSE-CMM、OSSTMM、SAFECode等のスタンダードやフレームワーク類は一通り読みました。
結果として「AIOと同じこと言ってる」という感想で、新たな気づきはないものの「今の学習範囲で十分だろう」という安心感につながりました。

本書には2つの問題集がついています。
1つは各パートの最後にある10問程度の小テスト。
もう1つはTotaltesterというサイトで提供される325問のテストです。
なぁんだ問題集あるんじゃん!と思ったアナタ、残念でした。
10問の小テストはまだいいとして、Totaltesterは本当にひどいです。
そもそも思いっきり答えが間違っており、誤答に対してそれっぽい(嘘の)解説がついているために、何も信用できない状態です。本当にAIOの著者が作った問題なのかすら疑わしく、私は使うのをやめました。

試験対策の情報源

非常に情報が少ないです。
検索してヒットした!と思うと、大抵がCISSPの話だったりします。

私が知る限り日本語の情報はこちらのQiitaくらい。
https://qiita.com/lorenpasserine/items/f499a6a63dae9c54395b
(大変参考にさせていただきました。ありがとうございます。)

ISC2のコミュニティページとRedditにも合格者の書き込みがいくつかあったので、そこから皆どう勉強したのかを調べました。
↓が受験後の今となっては一番共感できる書き込みです。
https://www.reddit.com/r/CSSLP/comments/zjvjak/passed_csslp/

英語での学習

私はリーディングなら一応できるので、また試験の文章は分かりやすいので、試験本番の言語についてはあまり心配していませんでした。
一方、勉強中は、AIOを全て英語で読むのは疲れるので翻訳していました。
Kindleの翻訳機能は割と貧弱なので文章をコピペしてDeepLで翻訳していたのですが、途中でKindleのコピペ文字数制限により出来なくなりました。
色々調べた結果、PCOTとDeepLを連携して翻訳する方法が文字数制限にもかからず素晴らしかったです。

試験の感じ

Redditを見ると「アレもコレもやったのに落ちた」という書き込みがあったので心配していましたが、実際には上記の学習範囲で対応できました。
最初の数十問を解いたところで「これはいけるだろう」と安心できる程度でしたので、正攻法で勉強していれば問題はないと思います。
意味が分からない英文もなく、30分ほど残して終わりました。

資格の価値

学習環境には多くの困った点があったものの、テーマ的には勉強して得るものが沢山あった良い資格だと思います。
DXやDevOpsにより開発スピードが偏重される中でセキュリティの確保のために逃してはならないポイントが分かりますし、自社の開発ライフサイクルに照らしてどこが改善点なのかを考えるきっかけにもなりました。

とにかくISC2に言いたいのは1点。
10万円近い試験の割に学習ツールが未整備すぎるのでなんとかしてほしい!です。他の取得者が増えるためにも…。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。

この記事が気に入ったらサポートをしてみませんか?