CISSP試験合格記録 - 勉強方法など(2023年)

CISSP試験合格記録 - 勉強方法など(2023年)

September 22, 2023

CISSP(Certified Information Systems Security Professional)試験を受験し合格しました。今後受験される方のために情報をまとめておきます。

以下、私が経た流れに沿って「受験申込 ~ 勉強方法 ~ 受験当日 ~ 合格」の流れで記載します。

1.受験申請 #

私はまず試験申し込みをしてから勉強を始めるスタイルのため、最初に受験申請の手順を記載します。なお、試験は CBT 方式ですので、日程は自分で決めることができます。試験会場は日本国内だと3箇所(東京の日比谷、東京の新宿、大阪)です。

試験は ISC2 のウェブサイト経由で、ピアソン VUE から申し込みます。

会場が3箇所しかないことから、予約はそこそこ混み合っている印象があります。試験を受ける予定の方は早めに申し込んでおくと良いでしょう。

私は申し込み時点から1ヶ月後の日付が空いていたので、そこの日付で申し込みました。

2.勉強方法 #

勉強期間は4週間でした。なお、おすすめの勉強方法は後ほど記載しますが、ここで記載した内容のうち、振り返って考えると不要だったなと感じるものもあるため、ここでは参考程度にお読みください。

1週目

最初の1週間で、以下の本にざっと目を通しました。CISSP で問われる技術的な基本知識をあらかじめ学習しておこうという意図です。

  1. 情報処理教科書 情報処理安全確保支援士 2023 年版(上原 孝之)|翔泳社の本
  2. 体系的に学ぶ 安全な Web アプリケーションの作り方 第 2 版 | SB クリエイティブ
  3. 暗号技術入門 第 3 版 | SB クリエイティブ
  4. マスタリング TCP/IP  入門編(第 6 版) | Ohmsha

2週目

2週目では、以下の会社が提供している Udemy 講座を倍速で一通り視聴しました。

PIEDPIN:https://piedpin.com/

3週目

CISSP 公式問題集を一通り解きました。

問題を解きながら、分からなかったところは Google 検索で調べました。その時に作成したメモは別記事として投稿してあります。

4週目

CISSP 公式問題集をもう一度解きました。

試験日前日は休日だったため、まる1日かけて公式問題集をさらにもう一度解きました。

最終的に、公式問題集を3週したことになります。

3.受験当日 #

受験申込時に指定したピアソン VUE のテストセンターで試験を受けます。私は新宿の会場で受験しました。PMO 西新宿のビルです。

将来の受験者の方へのご参考として。エレベーターホールへ続く自動トビラはそのままでは開きませんので、近くにあるインターホンからピアソン VUE のフロアを指定して呼び出してください。スタッフの方が自動トビラのロックを解除してくださいます。

私は平日の朝に受験しました。新宿会場では、試験の座席は 20 個ほど用意されているようでしたが、そのすべてが埋まるくらいに受験者の方がいました。

受付の時に受験者の試験名が確認されます。そのため意図せずとも他の人が何を受験するのか漏れ聞いてしまうことができるのですが、私以外にも CISSP 受験者がいた他、PMP や CIA の受験者の方もいました。

受験者はそこそこいたもののスムーズに手続き、案内してくださいますので、会場入りしてから 20 分ほどで実際の試験開始まで進むことができました。

試験は「全 250 問/6時間」の長丁場です。特に休憩は取らず、気持ちのんびり目に回答していったところ、約4時間弱で試験を終えました。

試験終了後、受付でプリントアウトされた紙を1枚受け取ります。そこに暫定的な結果が書いています。「おめでとうございます!」と書いてありました。

なお自分の試験結果のスコア(合計点や内訳)がどうだったかは明らかにされません。他の方のブログを見ると、不合格だった場合は各ドメインごとにおおよその達成率がわかるように結果が示されるようです。

そして試験終了後 30 分もしないうちにメールが届き、正式に合格である旨と、今後の登録ステップについての連絡が書いてありました。

4.資格の認定手続き #

CISSP 試験に合格後したあとは認定申請を行います。それが承認されることで資格が認定されます。この承認手続きはエンドースメント(Endorsement)と呼ばれています。なおエンドースメントは試験の受験日から9ヶ月以内に完了する必要があります。

エンドースメントに際しては、就労している(していた)会社ごとに簡単な職務経歴を記載する必要があります。ご参考までに、私は以下のように記載しました。

I am engaged in the following work at Example, Inc. as a system owner.

[January 2019 - September 2019]
- Developing an incident response plan
- ...
- ...
[October 2019 - March 2022]
- ...
- ...
- ...
[April 2022 - present]
- ...
- ...

あわせて上記を証明する書類、例えば在職証明書などを添付する必要があります。

提出から約2週間ほどで審査が完了した旨のメールが届きました。その後 ISC2 の年会費の支払いを行なって資格認定が完了しました。

97.おすすめの勉強方法 #

私が実際に行った勉強方法を紹介しているところでは、関連する技術本を読んだり、Udemy 講座を視聴したりしていましたが、振り返って判断すると、CISSP 試験に合格することが第一目的であれば、これらは不要です。

CISSP の公式問題集を解き、分からないところは Google 検索で都度知識補完していく、これが最も効率的です。本や Udemy の学習が無駄だったとは思いませんが、効率面からいくとあえてそれらを用いる必要もないと感じます。

先に紹介した Udemy の講座はゼロから CISSP の知識の全体像を知るにあたって非常に分かりやすいものとなっています。そのため、まだ本格的に CISSP の勉強をするつもりはないけれど、どんな知識が求められるのかざっと知っておきたい、というような時には非常に有用だと思いました。逆に言うと、試験日も決まり、本腰を据えて勉強する体制になっている人であれば、すぐに公式問題集に取り掛かった方が効率が良さそうです。問題集を解きながら都度 Google 検索していくやり方でも、最終的にはこの Udemy 講座で扱う内容以上の知識が得られます。

次に技術書についてです。私は最初に情報処理安全確保支援士のテキストを読みましたが、これも効率面から言うと不要です。確かに、情報処理安全確保支援士で問われる分野は CISSP と似通ったもののため、流用できる知識が非常に多いです。ただ、必要な知識についてはどのみち CISSP 公式問題集+ Google 検索を通じて獲得できるため、あえてこのテキストを使う必要はありません。それ以外の、暗号や Web のセキュリティやネットワークの本についても効率面から考えて不要と思います。これらの書籍はその分野の専門書だけあって、CISSP で問われる内容に加えてさらに深い内容まで書いています。そのため、CISSP 試験合格を目的とした場合、必要以上の内容を学習することになります。CISSP に必要な知識については公式問題集を通じて十分学習できます。これらの技術書は、CISSP 試験に用いるというよりは、試験合格後に興味がある分野を深掘りするために用いるのがよさそうです。

公式問題集1つだけでは不安に感じるかもしれませんが、どうか信頼していただければ私も先駆者冥利に尽きます。

98.試験内容 #

CISSP の規約により、具体的な試験内容についてはお話しを控えますが、雰囲気だけお伝えします。

公式問題集と比較すると、実際の試験問題は問われる内容の抽象度が高いと感じました。

例えば、以下の問題の答えは「4.アップルパイ」であって、他は完全な間違いだとわかるはずです。

問題:砂糖煮にしたリンゴを詰めてオーブンで焼いたパイはなんと言うか?

1. バナナジュース
2. 焼き芋
3. フルーツパフェ
4. アップルパイ

つまり、アップルパイが 100% 正解で、それ以外は 0% 正解という関係性です。公式問題集で解いた問題もこのような感じで正解と間違いがはっきりしている問題が多いように感じました。

しかし、実際の試験問題では次のような問題が多く出ました。

問題:今あなたが食べるべき最も効果的な料理は何か?

1. サラダ
2. 焼肉
3. おかゆ
4. インスタントラーメン

このような問題は、どれも正解の可能性が考えられます。特に何らかの前提条件がつかないと、このままでの回答は難しいでしょう。

例えば、「あなたは風邪をひいている。………」であれば、「おかゆ」が正解になるような気がします。ただし「サラダ」が正解という可能性も捨てきれません。これが「あなたは今にも飢え死にしそうだ。………」であれば、「焼肉」が正解に近い気もしますが、そのような状態で急に焼肉を食べると体にショック反応が出そうなので、「おかゆ」から食べ始めた方が良いかもしれません。

つまり、どの選択肢も回答として間違っているわけではなく、この選択肢は 70% 正解な気がするし、その選択肢は 50% 正解な気がする、あの選択肢は 30% 正解な気がする。最も妥当そうな 70% の選択肢で回答する、というような解き方になります。体感としては本番試験 250 問のうち、6〜7割ほどはこのような問題でした。

そして、最も困ったのが「風邪をひいている」や「飢え死にしそうだ」といった前提すらついていない場合です。単に「今あなたが食べるべき最も効果的な料理は何か?」という抽象度の問題もある程度出題されました。このような問題を解くには、出題者の意図を図る必要があります。出題者は回答者が CISSP として相応しいかを判断しているわけですので、つまりいわゆる CISSP 的な考え方に基づいて回答することが求められているわけです。

では CISSP 的な考え方は何だ?となるわけですが「セキュリティはあくまでもビジネスの補助役である」という考え方に尽きると思います。何かのブログ記事(?)で読んだのですが、「ビジネスを車に例えると、収益を産むのがアクセルで、セキュリティはブレーキにあたる。理想的にはアクセルを踏み続けたいが、障害物を回避する際などにはブレーキも適切に使わないと事故になってしまう。だからと言って、ブレーキをずっと踏んでいると車はちっとも進まない。ブレーキは必要な時に必要な最小限だけ使用するのが良いのであって、セキュリティについてもそのように考えるべき。」です。抽象的な問題を考える際の出発点として、この考え方を念頭に置いておけば、概ね妥当な回答ができるのではないでしょうか。

なお、CISSP では合格した際のスコアは開示されません。つまり、私は上記の考え方で問題に回答しましたが、その結果として正答できていたかは知る由もなく、この考え方が正しいという証拠がないことはご了承くださいませ。

99.終わり #

以上、CISSP 資格についてでした。受験を予定されている方、ぜひ頑張ってください。応援しております。