Low Level Lovers

The stories of low layer programming and developments.

CISSP試験合格体験記

CISSPの試験に合格したので記念に体験記を書いてみる。

CISSPはセキュリティ関連の資格で難しい方と言われているもの。2022年時点で日本では3000人ぐらいしか保有者がいないが、まともな給料を払ってくれる会社の中途採用ではほぼ必須という状況である。

勉強時間

  • セミナー 40時間
  • 公式問題集 30時間

計70時間。勉強期間は飛び飛びで2~3週間ぐらい、試験直前の3日間ほぼ徹夜。当日の朝、4時間だけ寝ました。寝てねえわ~つれえわ~

勉強方法

  1. ウォークスルー(出題範囲を一通り学習する)
  2. 問題集を解く
  3. 間違った箇所だけノートを作る
  4. 全体要約ノートを作りながら復習 時間がなかったので他人の要約ノートを拝借して暗記

用語の確認は公式テキストやこちらのサイトで行いました。 carocaro-nist.jp

私を合格に導いた神ノートはこちらです。 tex2e.github.io

これから受ける人へ

① まず情報処理安全確保支援士を取るべし

CISSPを受ける前までにこんな資格を持っていました。

  • 情報処理安全確保支援士(RISS)
  • システム監査技術者
  • データベースやネットワーク、他いろいろ

情報処理安全確保支援士試験の過去問を見ると、システム開発の流れ、ネットワークの仕組み、ISO-*、NIST SP 800-*を理解していることを問うものが結構あります。CISSPの試験でも役立つ知識ですが、CISSPほど難しくない試験なので、まずこちらから受験することをお勧めします。

ただし、情報処理安全確保支援士試験に合格後、登録セキスペになると毎年2万円、3年に一度は追加で8万円前後のお布施が必要となります。とりあえず試験だけ合格すればOKです。

システム監査技術者は午後の小論文が難しいと言われていますが、CISSPにはベクトルの違う別の難しさがあるように感じました。

② オフィシャルセミナーを受けるべし

認定講師がCISSPとは何ぞやを5日間かけて解説してくれる公式のセミナーがあります。

50万円ぐらい掛かりますが!

セミナーを受けると、コミケカタログみたいな分厚いテキスト(800ページぐらい)と模擬試験が貰え、講師から問題を解くにあたって必要な『CISSP的考え方』(後述)を伝授してもらえます。

テキストを通読して、CISSPの出題範囲をウォークスルーするいい機会になります。また、仕事に忙殺されている人でもセミナーの受講を理由に時間が確保しやすくなるメリットがあります。

③ 公式問題集を最低1周はやるべし

おそらく受験生全員がこの公式問題集を買っています。もしくはセミナーで貰ってます。

いろんな電子書籍サイトで販売されてますが、私はクーポン盛り盛りの楽天ブックスで安く買いました。

公式問題集を一通りやって、不正解だったものや、正解だったけど当てずっぽうだったものは印をつけて、解説を読みながらノートを作りました。チャプターごとにB5のルーズリーフ裏表1枚程度です。

本番試験の合格ラインは70%ですが、公式問題集の初見スコアは平均72%でした。90%ぐらいまで高めてから本番に臨む方が多いようです。

公式問題集の中身はCISSPで出題される8つのカテゴリー毎の問題が100問ちょっとずつ、模擬試験が4回分と盛りだくさん。模擬試験には各カテゴリーの問題をアレンジしたものが出てきます。そのため、反復して公式問題集に取り組まなくても2周やった気になれます。

本番の試験内容を語ることは禁じられているので公式問題集と同じ問題が出るかどうかは言えませんが、普通に考えて、公式の問題集が試験に役立ちませんでしたというのは、流石にないと思います。

本番では250問を6時間以内に解く必要があるため、集中力も問われます。国立大入試の長い科目でも2~3時間なのにその倍です。公式問題集の各チャプターを2つずつ、模擬試験も2回ずつを1セットとして、6時間以内にダラけず250問を解き切る練習をしましょう。

CISSP的考え方を身につける

巷で話題の『CISSP的考え方』、これを身につけることがCISSP試験合格の近道と言われています。

私はこれを『技術・経営のいずれにも偏らず、置かれた状況から、最適な戦略・戦術を考える手法』と解釈しました。

ISC2の公式ページに書かれている通り、問題は4択で論述はありません。情報処理技術者系の午前問題は知識があれば自信をもって一つの答えの出せる問題がほとんどですが、CISSPの公式問題集では最も適した回答を選ぶ問題が頻発します。4択を2択に絞って、そのあとどっちかな~❓と思案する感じです。

よって、『選択肢の絞り込み方』との見方もできます。

セキュリティにはトレードオフがつきまといます。極端な話、機器をインターネットに接続しなければ、インターネットからサイバー攻撃を受けることはありません。しかし、それをすればビジネスへの影響はいかほどか?ということも考えなければなりません。

問題文の些細な表現が回答を選ぶ決め手になることが多いので、読み落とさないようにしましょう。

⑤ 暗記も大事

公式問題集に頻出する「○○というガイドラインはどんなものか」みたいな問題、知らないと絶対解けません。

他人のまとめたノートを試験に向かう途中で丸暗記しました。自分でまとめたほうが良いとは思うのですが、生きるのが大変で時間に余裕がありませんでした・・・。

⑥ 原文(英語)も読む

あくまで公式問題集の話ですがあくまでね、和訳がアレでちょっと何言ってるかわからないやつがたまにあります。選択肢が特に・・・。原文を確認しましょう。

業界用語などを含む英文も理解できる必要がありますが、日頃から技術文書を英語で読まざる得ない人なら大丈夫でしょう。

⑦ 落ちたら10万円を意識する

もしも落ちてしまったら、再チャレンジにはまた受験料を払わなければならず、現在の為替相場だとおよそ10万円です。

10万円あれば、新函館北斗から鹿児島中央まで🚅新幹線の旅が楽しめます、しかも往復。

ちなみに、模試の結果が悪くてどうせダメだーと思ったら、55ドルを払って日程変更するという手もあります。

⑧ 休憩を取らない

本番は休憩なし5時間40分ぶっ続けで問題を解きました。2~3回の休憩をとる方が多いようですが、トイレ等やむを得ない事情がない限り、休憩などとらず、集中して解き切ったほうがいいです。大して勉強していなかったので長考することも多く、250問で6時間は短く感じました。

⑨ 朝型人間になる

試験会場はピアソンVUEです。首都圏住まいだと東京と新宿のどちらかが選べますが、空いている枠は朝8時からの試験のみでした。試験開始の30分前には会場入りせよとのことなので正確には朝7時半からです。それに電車遅延の頻繁に起こる時間帯なので少し余裕をもって行く必要があります。

5時台に家を出たら、冬だからまだ日が昇ってなくてめちゃくちゃ寒かったです。

⑩ 身分証明書2点を忘れない

私は運転免許証とパスポートを持参しました。事前に案内を読んで対応しましょう。忘れると受験できません!

受かった後のエンドースメント

自己紹介(?)は短く3行。短すぎるとダメだった、監査の対象になったみたいな話もあるけど、要は客観的に見て自分がセキュリティの業務をやっていることが示せればよいのだと思う。

  • 現在の業務を1行で。
  • その業務はCISSPで学んだどのドメインと関連するのかを1行で。
  • 業務の詳細を1行で。過去に米国でセキュリティ関連の特許を申請していて、いくつかは成立したので根拠として並べた。

試験後わりとすぐエンドースメントを提出せよというメールが届きました。届く前に英文在籍証明書の作成を職場に依頼しておきましょう。エンドースメントは提出して1週間ぐらいで受け入れられました。

最後に

CISSPを取ったけど、今のところ何の役にも立ってません。現職の報酬が上がったりはしてないし、転職のオファーもたまに頂く感じのまま変わらず・・・。

CISSP持ってたら年収2000万円とかどこの世界線なんですかね/(^o^)\