CCSP認定試験合格記（2022/7/29）

2022/7/29(金)にCCSP（ISC2のクラウドセキュリティ資格）を受験し、無事合格できたので、記録を書き留めるものです。

取得しようとおもった背景

私はユーザ企業のセキュリティ統括部署で働いておりますが、最近社内でクラウド化案件の相談がものすごく多くなった一方、正直、知識が全然足りておらず、危機感を覚えたのがきっかけです。何とか知識をつけようと色々と調べているうちにCCSPを見つけました。（まだできてから日が浅い資格のため、日本では、2022/7時点での取得人数は178人）

CISSPを2020年度に取得していますが、「CCSPは、CISSP保持者であれば、取得してからすぐに１ヵ月くらい勉強すれば取れるレベル」という記事を発見し、それならばやってみようと決意。また、ISC2会員になっていれば、CCSPに関する追加の年会費などはなく（CISSPと共通）、追加で必要なのは受験費のみ。（とはいえ、最近円安でいつも以上に高くなっているのですが・・・）

CCSPに関する前提

CCSPとは

CCSP(Certified Cloud Security Professional)は、クラウドサービスを安全に利用するために必要な知識を体系化した資格です。
「クラウドファースト」を推進する組織において、クラウドサービスの情報セキュリティを確実にするため、 CCSP有資格者に管理を任せるケースが増加しています。
サイバー・情報・クラウドコンピューティングセキュリティの実務経験に基づく専門的能力と、クラウドセキュリティの専門知識を認証することで、企業は、重要な機能に対して適切な専門家が対応していることを確認することができます。
CCSPは、(ISC)²のサイバーセキュリティ専門家によって確立されたベストプラクティス、ポリシー、および手順を使用して、クラウド内のデータ、アプリケーション、およびインフラストラクチャを設計、管理、および保護するための高度な技術スキルと知識を持っていることを証明できる資格です。

ISC2公式サイトより

個人的には、CCSPは「クラウドサービス利用者向けのセキュリティ資格」である、と感じました（クラウドサービス提供者向けでもあると思いますが、特に利用者向けの内容が多い）
勉強後の感触として、クラウドサービスを利用する会社において、クラウドシステムに対する「セキュリティポリシー」または具体的「技術対策」や「運用対策」を考えるうえでベースとして理解しておくと有用と感じています。

試験要領

（後述するのですが、2022/8/1から時間が4時間になって問題数が150問に変更になっているため、注意が必要です）
・受験時間：３時間
・問題数：125問（うち、25問はやや難易度高めの、採点対象外のモニタリング問題）
・問題形式：選択式
・合格点数：1000点中、700点以上
※なお、１度回答した問題には戻れない仕様です。

取得（勉強）することの業務への付加価値

CCSP資格勉強で、学べる内容は、大きくは３点
①クラウド自体の技術等を広く浅く理解できる
（VMとは？ハイパーバイザーとは？SDNとは？サーバレスとは？コンテナとは？マイクロサービスとは？など）
②クラウドならではのセキュリティの理解が深まる
（クラウド環境へのサイバー攻撃の脅威、CASB、フェデレーション認証、暗号鍵管理、透過型暗号、匿名化技術、クリプトシュレッディングなど）
③共通的なセキュリティ知識が広く浅く理解できる

①は、思ったよりもボリュームが多く、これまで漠然と理解していたクラウド技術を勉強し直すことができてかなり良かったと思っています。（やはり、最適なセキュリティを考えようと思うと対象システムで使われる要素技術や業務の理解などが重要だなと再認識）
③については、CISSPのほうが幅広いですし、出題範囲はCISSPに包含される内容は多いです。（例えば、フレームワークでISO27001やNIST 800-53がでてきたり、コンプライアンス関連でGDPRが出てきたりします）

業務への付加価値としては、クラウドにおけるセキュリティ検討を行う際、ベンダーの方とある程度対等な会話が成立するようになることと実感しています。特定のベンダー製品に依存する内容ではないので応用が効きます。（具体例として、AWSやAzureに触れることはあるが、フォーカスされるものではない）

合格までの時系列

・4/24（土）：後述のテキスト購入。勉強開始。
・5/20（金）：試験日を7/29で予約。
・6/15（水）～6/23（木）：社外研修受講（NTT-AT開催）
・7/9（土）：公式問題集の模擬テストNo.1を回答（正解率77%）
・7/24（日）：公式問題集の模擬テストNo.2を回答（正解率84%）
・7/29（金）：本番受験
※研修の受講時間（37.5h）も含めて、合計の勉強時間はちょうど100時間でした。

勉強の流れ

最初に、以下の２つのテキストを購入しました。
① (ISC)2 CCSP Certified Cloud Security Professional Official Study Guide, 2nd Edition E-BOOK
② (ISC)2 CCSP Certified Cloud Security Professional Official Practice Tests, 2nd Edition E-BOOK

ISC2会員の場合、Wileyで購入すると会員特典のディスカウントコードが使えて50%OFFでした。AmazonKindleで購入したほうが翻訳機能が使いやすくて便利なのですが、50%OFFに目が眩んで購入。（個人的な話ですが、最近英語勉強もしていたので、自分を追い詰める意味もあり）
なお、CCSPは、CISSPと違って日本語のテキストが存在しません。
（9/2追記）NTT-ATから日本語版公式テキストが出ていました。

テキストについては、①が公式の参考書+練習問題、②が公式の問題集という位置づけです。①には、Webテストも含めて、合計504問の問題が収録されており、②には合計992問の問題が収録されています。

勉強法としては、自分には問題をひたすら解く勉強方法があっているので、①から順番にいきなり問題を解きました。（参考書を全部読み込んで理解しようと思ったときもあったのですが、前述のとおり英語翻訳機能が使いづらいことがネックに）
６月上旬くらいまでは、とにかく①の練習問題を何度も解くというやり方で進めました。なお、Web上で回答する仕組みもありまして、WileyのTestBankというのにアカウントを登録して受けるのですが、問題にフラグ付けして管理ができるので、結構便利でした。（私は当該機能にかなり後になってから気づいたので、あまり活用できずでしたが、最初から使っておいたほうが便利だったなと思っています。）

次に、6/15~17,6/22,23の５日間（計37.5時間）で、研修を受講しました。
これはNTT-ATが開催するものですが、日本語のテキストが送られてきて、Webセミナーでとにかく座学形式で進む研修です。（40万強かかりますが、会社にお願いして人材育成費で受講）
年に４，５回開催されています。（リンク）
ISC2監修なのもあって、CCSPに特化した教え方なのがありがたいところでした。これまで公式参考書の問題を解いていて腑に落ちなかったところを、チャット形式で質問することもできたので、おかげでかなり理解が進んだと思います。
また、クラウド環境におけるセキュリティ対策はまだ十分に定式化されていない状況だと思っていますが、「CCSPはどう考えるか」「CCSPではどの対策が望ましいとされているか」というのを講師の方が教えてくれたのが、非常にためになりました。
（例）クラウド上のデータを暗号化するのは基本的な対策になるが、その鍵は誰が保持するべきか？
　　　⇒CCSPでは「クラウド利用者」が「自社のオンプレ環境」で鍵を保持するのがベスト、という立場。
（一方で、一般的には、AWSやAzureでは、クラウド上で鍵管理をするソリューションをクラウド事業者が提供しており、適切に使えば、十分にセキュリティは確保できるとされている）

CISSPもそうですが、CCSPでは４つの選択肢のうち、「ベストな回答A」と「ベターな回答B」が並んで出てくるので、しっかりとAを選ぶのに大いに役立ちました。（正直、Bでもいいじゃん、と思うことが多いのですが・・・）

最後に６月下旬からの１ヵ月は、ひたすら②の公式問題集の問題を解きました。３周くらいはしたと思います。
公式問題集には、模擬テストが２つ付いていまして、7月上旬に１つ、７月下旬の間際にもう１つを受けてみましたが、２つとも70%以上の正解率だったので少し安心しました。
（ただ、私が２年前にCISSPを受けた時と違って、今のCCSP（CISSPも）は１度回答した問題には後から戻ることができず、見直しができないことがわかっていたので、どうしても最後まで不安が残りました。最後の１週間はとにかく暗記で頭に詰め込むこともやっていました）

試験当日

125問で試験時間は３時間ですが、だいたい80問くらい解いた時点で残り２時間あったので、余裕をもってトイレ休憩を取得。水を少し飲んでストレッチしてから、残りの45問をゆっくりと時間をかけて回答。

結果、合格でした。

問題の詳細はお伝えできませんが、これまで全く解いたことのない問題が結構出た印象です。ただ、125問中、25問は今後のテスト改善のための採点対象外の問題があるので、あまり気にせずに回答していました。
あとは、日本語で受験したものの、９割くらいは、問題は英語で確認していました。日本語でも割と意味はわかったのですが、これまで英語のテキストで勉強をしてきたので、英語の問題を見たほうが自分の記憶を想起しやすい感覚がありました。
回答の選択肢に、まったく知らない単語が並ぶことがありましたが、CCSPではまったく意味のない単語を選択肢に入れることもあるので、基本的には全く知らない単語は選ばないようにしていました。

注意点

2022/8/1から試験ドメインに少し変更が入っています→説明リンク
（これもあって、何とか7月までに受けようと思っていました）
ここまでノウハウとして、テキスト名称などを記載したのですが、教材は2022/8/1以降で改版されたものを使うのが良いかもしれません。
なお、途中で記載した研修については、ISC2監修のため、こちらは確実に研修資料が更新されるはずだとは思います。
※その他、受験要領

参考にした方の受験記

[資格受験]独学でCCSP を受験した話

CCSPの日本語受験記がネットにほとんどないので書いてみた - Qiita

以上、これからCCSPの受験を検討される方のご参考になれば幸いです。