独学？CISSP合格記(受験回数は2回)

CISSP認定を機に始めたので1つ目の記事はやはりCISSP合格記で。
独学？なのは(ISC)2公式CBKトレーニングは受けていないけれども他の教材やオンライン講座は活用したため。

そもそもCISSPとは

わざわざこの記事を読む人ならば恐らくご存知だとは思うが一応。

CISSP(Certified Information Systems Security Professional)とは、(ISC)2 （International Information Systems Security Certification Consortium）が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。

(ISC)2日本語版公式サイト

試験範囲も(ISC)2日本語版公式サイトで公開されており以下の8ドメインが試験範囲となる。

1.セキュリティとリスクマネジメント
2.資産のセキュリティ
3.セキュリティアーキテクチャとエンジニアリング
4.通信とネットワークのセキュリティ
5.アイデンティティおよびアクセス管理
6.セキュリティの評価とテスト
7.セキュリティの運用
8.ソフトウェア開発セキュリティ

(ISC)2日本語版公式サイト

試験自体はテストセンターでの受験となり、任意(席があれば)の日に予約して受験する事になる。
試験時間は6時間。多肢選択式で250問(日本語で受験する場合)あり、中々タフな試験となる。
試験後すぐにその場で仮の合否が共有され、その後数日で正式な合否が通知される。
ただ、試験合格だけではCISSPとして認定されない。
合否が確定したあと、職歴のチェックやエンドースメント(推薦)といった手続きを踏んで問題が無いと(ISC)2に認められて初めてCISSPとなる。

ちなみに試験料は749米ドル(税別)である。
実際の支払いは823.9米ドル、yuki8が2023年4月に受験した際の支払いは11万円強となる。
つらい...

背景

新卒は設計ソフトウェアの開発(C++)。
その後複数の大学の情報センタでネットワーク等々を10年ほど担当、そして現職。
現職ではネットワーク担当というよりはヘルプデスクに近い立場。
2019年にIPAの情報処理安全確保支援士試験に合格、2020年より情報処理安全確保支援士。

受験のきっかけ

現職に転職した結果、最高にホワイトだが新しい仕事や技術に触れられる環境ではなくなった。
責任も権限も無く、難度の高い業務も無い。このままでは自分が陳腐化する恐れが出てきたため自学自習を開始。
どうせ勉強するなら分かりやすい目的があればと思いCISSP受験を決意。

スケジュール

2022年12月上旬から勉強を始めて2023年2月に1度目の受験にて不合格。2023年4月上旬に再受験にて合格。
詳細は以下の通り。

2022年12月11日

一念発起。とりあえず公式問題集を購入し最初から解き始める。
が、最初(ドメイン1)から知らない用語が多すぎて挫折。

2022年12月14日

セール中だった事もありUdemyで初心者向けのCISSPオンライン講座を全ドメイン購入。
ドメイン毎に Udemyで学習→公式問題集を解く を繰り返す。

ちなみに初回の公式問題集の正答率(小数点以下切り捨て)は以下の通り。

ドメイン1・・・83%(93/111)
ドメイン2・・・70%(70/100)
ドメイン3・・・70%(77/110)
ドメイン4・・・75%(75/100)
ドメイン5・・・61%(61/100)
ドメイン6・・・65%(65/100)
ドメイン7・・・81%(89/109)
ドメイン8・・・78%(82/104)

2023年1月11日

公式問題集を繰り返し解き、各ドメインの問題及び模擬試験1 - 3において9割以上の正答率になったため試験を直近で受験可能だった2月18日に予約。

2023年2月17日

残しておいた公式問題集の模擬試験4を実施。
正答率82%(103/125)でまずまずいけるだろうと安心して就寝。

2023年2月18日

NDAにより詳細は書けないが公式問題集のような問題はほとんど無く、訳が分からないまま時間いっぱいまで使い試験終了。
当然のように不合格で11万円をドブに捨てる。

2023年2月20日

振り返ってCISSPに必要な知識、スキルに対して全く理解が足りていなかった。
全ドメインを網羅的に学べる日本語教材として CISSP CBK 公式ガイドブックがあるがそこそこ古く(2018年発売)信頼性に欠ける。
そのため、改版されて直近発売(2023年1月25日)であったCISSP Study Guide(English Edition)4版を購入。
また、途中で諦めないようにするため最速で受験可能な4月13日に試験を予約。
「11万円をもう絶対に無駄にはしない」を念頭に1から勉強をやり直す。

2023年4月13日

2度目の試験。前回とは違いほとんど問題の意図を理解して回答出来た。
およそ4時間半程度で試験を終了。
テストセンターの窓口で試験結果を共有して合格を確認した時、思わず無言でガッツポーズしてしまった。

おすすめの書籍等について

スケジュールの項で使用した書籍等は記載はしたがそれぞれの紹介。
結果的に購入して無駄な書籍やオンライン講座は全く無かった。

Udemyで公開されているPIEDPIN .comの「【日本語】初心者から学べるCISSP講座」シリーズ

https://www.udemy.com/user/shan-pu-lian/

まさにCISSP勉強を始めたての初心者が見るべき動画。
これは「アイピーって何？」とか「マックアドレス？マクドの住所？」みたいなIT初心者を対象にしているのでは無く、CISSP試験を始めたて、という意味の初心者向け講座になっている。
CISSPの8ドメインについて広く浅く学ぶ事が出来、これから勉強を始める人は是非視聴を検討して欲しい。
ただ2点注意がある。

・セール時に購入すること
紹介した動画はドメイン毎に販売しており、1本当たり定価は7000円、8ドメインなら56000円となる。
しかしUdemyでは頻繁にセールを実施しており、セール時には1本1200円 - 1800円程度で購入可能となる。

・あくまで初心者向けであること
内容としては広く浅くとなっており、既にある程度CISSP試験勉強している人にとっては既知の内容を復習するだけになってしまう。

CISSP公式問題集

CISSP公式問題集

各ドメイン毎に100個以上の設問があり、なおかつ巻末には4回分の模擬試験(1回当たり125問)がある。
1300問以上収録という素晴らしい設問量であり、これなくしてはCISSP合格成らず、そのレベルで必携であると感じた。
しかしだからといって何周も解く意味は無い。
各ドメインについて一通りの知識を修めた後、自身の知識の定着が確実に行われているか確認するために活用すべきである。
これは全ての設問がほぼ多肢選択式であり、2度目は内容を覚えてしまうからである。
また、大事な点としてCISSP試験にはCISSP公式問題集にあるような設問はほとんど無い。
そのため、CISSP公式問題集の問題と回答そのものを覚えてもほぼ意味は無い。

CISSP Study Guide(English Edition)4版

CISSP® Study Guide (English Edition)

一般にConrad本と呼称されるCISSPの8ドメインを網羅した教科書的な書籍。
残念ながら日本語版は無い。

CISSP試験を一度落ちるまで認識していなかったが、CISSP試験に合格するには8ドメインに対する理解が不可欠である。
この「8ドメインに対する理解」を深めるための足掛かりとして非常に有用であった。
今更だが、

1.「【日本語】初心者から学べるCISSP講座」シリーズで広く浅く学ぶ
2.CISSP Study Guide(English Edition)4版で理解を深める
3.CISSP公式問題集で理解を確認、定着させる

といった順番で勉強するべきであった。

CISSP 勉強ノート

CISSP 勉強ノート

チートシートその1。
個人サイトであり、「CISSPを勉強した時の自分用のまとめです。 あくまで備忘録程度で、内容の正確性は保証しませんのでご了承ください。」と記載があるが、非常に良くまとまっており、分からない単語がある場合はまずここで確認したい。

CISSP試験のための用語索引

CISSP試験のための用語索引 - PIEDPIN

チートシートその2。
前述した「【日本語】初心者から学べるCISSP講座」シリーズの公開元が公開しているCISSP関連用語集。
ほとんどが試験対策よりの解説になっているためこれだけで知らない用語を理解する事は難しいが、理解した後に参照するとまさにチートシートとして活用出来る。

(番外その1)暗号技術のすべて

暗号技術のすべて

CISSP試験用に読んだ書籍では無いが、試験範囲内の暗号技術関連について理路整然として理解を得る事が出来る良著である。

(番外その2)PCOT

ヌルポインターストライク

ぬるっぽ様が開発・公開されている素晴らしい翻訳支援ツール。
OCRでテキストを読み取ってくれるため、kindleといった自動翻訳に掛けづらいプラットフォームの書籍であっても簡易に翻訳する事が出来る。
ネットワーク等々の仕事していながら非常に恥ずかしいがyuki8は英語が苦手であり、PCOT無しでCISSP Study Guideを使った学習は不可能であった。

CISSP的な考え方

google等で「CISSP 合格」等の言葉で検索した際の体験記等で頻出する「CISSP的な考え方」。
恐らく公式トレーニングを受ければより確かな考え方が身に付くかと思うが、公式トレーニングは通常価格で40万円(税別)であり、自費でCISSPの勉強をしている人にはなかなか手が出ないと思われる。
そのため、現時点でのyuki8が考えるCISSP試験用「CISSP的な考え方」を共有する。
yuki8自身も公式トレーニングを受けていないため、yuki8の私見である点に注意して欲しい。

「CISSP的な考え方」とは目的に合わせた手段の取捨選択の指針である。
CISSP試験では全ての選択肢(手段)が目的を達成出来る正解のように見える場合がある。
そのような時、以下のような指針で選択肢を絞り込むと自ずと選択が1つに絞られる。

1.生命を侵さないか
例えば、人の出入りが想定されるサーバルームの消火方法を検討する際、機器保全を目的に二酸化炭素での消火を選択すると消火時にサーバルーム内の人員の生命を脅かす事になる。

2.法令等に遵守しているか
例えば、個人情報の取り扱いについて厳密な運用を想定して運用設計した結果、個人情報提供者本人が申請しても個人情報を消去出来ない(GDPRを無視する)ような運用、設計になってしまう。

3.立場を超えた行動をしていないか
CISSP試験の設問において、「あなたは監査人である」等の立場を明確にする設問がある。こういった場合、CISOならばCISOの、監査人ならば監査人の職分があり、その職分を超えた行動をすべきではない。
例えば監査人である回答者が致命的な脆弱性を発見した際、早急な解決を行うためにあなたが周囲とアップデート調整をして脆弱性を解決してしまう。
アップデート調整や脆弱性対応は監査人の職分では無い。

4.所属する組織の目的(多くの場合はビジネス)を阻害する手段になっていないか
例えば、在宅勤務を推進する立場である回答者は在宅勤務用のシステムを構築、運用設計する際、「従業員の一部は必ず業務において内部DBにアクセスする必要がある」という前提があるにも関わらず、
在宅勤務先から内部DBにアクセスする経路を用意していない場合、これはビジネスを阻害している事になってしまう。

5.コストを考えているか
例えば、ランサムウェアからバックアップを守る為に複数のバックアップストレージを用いた強固なバックアップ構成を構築してしまう。
結果として、ランサムウェアというリスクに対する金銭評価を超えた対策となっている。

重ねて記載するが上述はyuki8が考えるCISSP試験用「CISSP的な考え方」である。
ある程度勉強が進めば自分自身の「CISSP的な考え方」が固まるため、鵜呑みにはしないよう注意して欲しい。
また、前述した「【日本語】初心者から学べるCISSP講座」シリーズでもCISSP的な考え方について説明している。
こちらも非常に参考になるので参照して欲しい。

IPAの情報処理技術者試験を過去に受けた事がある人向けアドバイス

IPAの情報処理技術者試験は過去問をやり込めばおおよその点が取れる。
特に多肢選択式である午前1,2は過去問そのままの設問も多く、過去問のやりこみ=結果、と言っても過言では無い。
しかしCISSP試験は過去問が公開されておらず、公式問題集のような設問はほぼ出てこない。
公式問題集を使って理解を深める事は非常に重要だが、情報処理技術者試験のように問題そのものを覚える事に意味は無い。
yuki8のように11万円をドブに捨てる事が無いよう、注意して欲しい。

まとめ

CISSP受験を思い立ってから合格するまでの一連を記載した。
あらためて振り返ると、1度目の失敗があまりにも浅はかで恥ずかしい。
これからCISSP受験する方は「とりあえず公式問題集大体覚えたしイケるやろ！」みたいな考えは捨て、CISSP試験の各ドメインについて理解を深めて欲しい。