こんにちは。霜月です。
この度、CISSPに無事合格したので、忘れないうちに振り返りをしようと思います。CISSP関連のブログやまとめ記事はたくさんありますが、これから受験の方や将来受験を検討している方の参考になれば幸いです。独学なので勉強方法は我流ですが、それでも良いよという方は是非どうぞ。
はじめに
受験のきっかけ
セキュリティの仕事をしているとCISSPはよく聞くというのと、周りの先輩たちも結構受けていたので自然な流れで受験を考えました。
また、私の場合は資格を取ること自体は目的にしておらず、試験勉強を通してセキュリティの知見を広げる、ということを目的にしていました。とにかく時間はかかっても良いので「丁寧に理解する」ということを優先していたので、勉強方法も「最速で合格する」ということはあまり意識せず、マイペースに進めました。勿論、資格の勉強の目的は人それぞれだと思っています!(CISSP持ってないと入れない案件とかも実際ありますしね!)。
バックグラウンド
私がどんなバックグラウンドの人間かを簡単にご紹介します。新卒からずっとセキュリティの仕事をしており、セキュリティコンサル、SOCアナリスト、CSIRT要員、をしてきました。どちらかというと技術寄りの人間ではあるのですが、上流の仕事も経験してきたので、その辺りはCISSPを受ける上でよかったなと思っています。とにかく、CISSPはセキュリティに関することは広く問われるので、特定の分野を専門的に担当してきたという人にとっては、非常に視野の広がる良い資格だと思っています!実際、私も試験勉強を通してかなり視野が広がりました。
勉強方法
これと言った特別なことはしていないような気がします。基本的には、他の多くの方が書いているブログと同じです。しかし、CISSPの研修はちょっと時間とお金に余裕がなかったので、本を購入して独学で試験勉強を進めていきました。
基本は公式ガイドブック+公式問題集の2つです。自分に負けて日本語版を買ってし待ったのですが、セキュリティの仕事する上で英語は普段から使いますし、国際資格なので英語で勉強すればよかったと後悔...。次から国際資格は英語でチャレンジしようと思います。
具体的な勉強方法ですが、まずはガイドブックを読んで、わからない単語が出てきたら(わからない単語ばかりですが)、その都度、その単語について歴史も含めて徹底的に調べる、ということをしていました。勉強を通して色んなことを知れるのは資格勉強の醍醐味だと思ってます。
あとは、会社の先輩や上司に聞いて、「実際どんな感じ?」というところを教えてもらいました。特にフレームワーク系は詳しくなかったので、コンサルの先輩に「こんな時に使うよ」と教えてもらったり、法律周りも教えてもらったり、周りの人に助けてもらいながら勉強していきました。というのも、調べても、書いてあることはわかるんだけどいまいちイメージできない、という場面がとても多かったからです。技術系の資格は、わからなかったら自分で作ったり動かしたりがある程度ならできますが、フレームワークや法律はイマイチぴんときませんでした。
ガイドブックを一通り読む&単語調べを並行して行ったら、問題集を解き始めました。4周ほどして、8割or9割ほどちゃんと理解した上で回答できる状態になってから受験することにしました。ちゃんと理解できる、という線引きは、この問題の解説を誰かにできるか、としてました。できないものは「バツ」の扱いです。
余談ですが、過去にPCI DSSの案件に携わっていたことがあり、その時の経験は役に経ったと思ってます。PCI DSSの要件を全部精読したので、「セキュリティ対策の全体感」みたいなところのベースは培われたような気がします。
勉強時間についてですが、基本は土日メインです。1日4時間くらいだったと思います。週8時間の勉強を8ヶ月行ったのでトータルで256時間くらい?かなあと思います。勿論誤差はありますが、大体他のブログでも書かれている勉強時間とそんなに差はないかな?と思ってます。平日は仕事で疲れて脳も体もバテてしまっているので(体力がない汗)、基本は土日に学んだメモを読み返したり、調べた単語の深掘りなどしてました。
試験の予約
試験の予約はピアソンから行います。受験できる場所は、東京は新宿が2ヶ所と大阪に1ヶ所あるみたいです。私は新宿のPMOというところで受験しました。
ご存知の通り、試験時間は6時間です。8時から14時の回で予約しました。2ヶ月先まで埋まっていることがあるので、早めに予約することを強くお勧めします。予定を決めてしまった方が勉強も捗ると思いますし。
が、万が一予約を変更したい場合には注意点があります。
①変更するには手数料が発生する(USD$50)
②24時間を過ぎてからの変更はできない(全額負担)
私は2日前に体調を崩したので急遽予約を変更しました。2022年現在、円安ドル高なので痛い出費でした。また、拘束時間が長いこともあってか、土日はすぐに埋まります。私は平日に有給を取って受験しました。
試験当日
試験が8時からだったのでとにかく早起きです。ネットで事前に調べた感じだと、30分前には到着しておくことをお勧めしている人が多かった(或いは15分前まで)ので、7時半に到着を目指して家を出ました。
!アクシデント発生!
これまでの人生で数多くの試験を経験したきたものの、この歳でまさかのアクシデントが多発しました。
①電車酔いして途中下車からの遅刻スレスレ
②クーラーが頑張り過ぎてお腹を下す
③寝不足で試験中に寝る
④昼ごはん用のおにぎりが腐っていた(しかも朝食抜き)
余談ながら1つずつ説明していこうと思います!つまらない後日談なので、興味ない方は読み飛ばして下さって結構です。ただこれだけはお伝えします。
試験の準備と体調管理は万全の状態で!
①電車酔いして途中下車からの遅刻スレスレ
まず①について。行きの電車で思いっきり酔いまして、とんでもない吐き気に襲われました。乗ってる途中で「何かおかしい」と思いつつ気にしないフリをしていたのですが、遂にこれはヤバいとなって途中下車しました...。ホームで倒れ込んでしまい、駅員さんが駆けつけてくれて医務室を案内してくれました。が、私の頭の中では受験料のことでいっぱいだったので、「体調が戻るまでゆっくりする」という選択肢はありません。その為、「さっさと吐いて楽になるべきか?我慢すべきか?」の究極の2択試験を実施し、結局「我慢して試験に向かう」を選び、駅員さんにお礼を言って電車に乗り込みました。汚い話ししてすみません...。
②クーラーが頑張り過ぎてお腹を下す
次に②について。なんとか無事に到着し8時丁度に試験を開始できたのですが、8月だったということもあって、クーラーがよく効いていました。勿論、試験会場なので温度の管理はしてくれていると思いますし、私が寒がりだったからかもしれません。が、なんと到着して吐き気が収まったら次に腹痛に襲われるという事態に陥りました。呪われているのかなあと思いつつ、まあ、お手洗いは何度行っても良いので、合計3回行きました。戻って5分後にまた行ったりしてたので、変に目立たないか少し心配しましたが、明らかにお腹が痛そうにしていたのでまあ良いでしょう、と思ってます...。
③寝不足で試験中に寝る
次に③について。①と②で体調を崩した話をしましたが、これの根本原因が寝不足だったのではないかと推測しています。本当に最悪だったんですが、3時間しか寝れませんでした。緊張して寝られませんでした。そして、そんなこともあって、なんと試験中に寝てしまいました。どのくらい寝てたかはよくわかりませんが、流石に30分とかは寝てなかったはずです。10分くらいだと思ってます。ただ、これはちょっと言いたいのですが、250問って結構長いです。人によって違うと思いますが、100-150問あたりで意識がなくなりました。1-100問は最初の気合でノンストップ、150-250問はラストスパートがかかってまたノンストップだったのですが、中弛みしてしました。こうならないためにも、しっかり睡眠を取ってから試験に挑みましょう。
④昼ごはん用のおにぎりが腐っていた(しかも朝食抜き)
最後の④について。これも稀だと思うのですが、持参したコンビニのおにぎりが腐ってました。袋から開けて食べようといたら強烈な異臭&糸を引いていることに気がつき....。大事なことなので念のため書きますが、おにぎりが最初から腐っていたのではなく、2日常温で放置したおにぎりを私がなんの疑いもなく持参した(8月)のが100%悪いです。朝から何も食べてなくて超空腹だったのですが、諦めて水だけ飲んで部屋に戻りました。因みに、新宿PMOのすぐ近くにはコンビニがあるので、朝ちゃんと買えます(私は買う時間がありませんでした)。また、近くに朝からやってるカフェもあるので、早く着いたらコーヒーを飲むこともできると思います。
...と、吐き気→腹痛→眠気→空腹という過酷な試練と戦いながら試験を完走してきました。色々書きましたが、皆さんも体調管理には充分気をつけていただければと思います。
ただ幸いなことに、こんな状態だったので「もう終わりだ...」と一種の諦めのようなものが発動し、迷った問題も思い切りで選択できたことが、もしかしたら試験合格に効いたのかもしれないです(?)。
また、インシデント対応は日頃から業務で慣れているので、それも効いたのかもしれないです(???)。
実際に受けてみて
アクシデントも発生しましたが、試験中のこととか少し書いていきます。
時間配分について
試験にかかったトータル時間は3時間半でした(休憩込み)。8時に開始して11時半に手を上げて試験終了しました。時間配分としては、100問90分→休憩10分→50問→休憩5分→ラスト100問、という流れです。お手洗いはアクシデントのところで書いた通り3回行きました(休憩含む)。
問題について
問題に関することはお約束があるので書けませんが、「え、知らんがな!!」みたいなものが個人的には結構多かった印象ですw そのため、公式問題集でしっかりと「考え方のベース」を訓練しておくことが大事かなあと思いました。アクシデントのところでも書きましたが(2回目)、思い切りの良さも大事かもしれないです。日本語翻訳は、そこまで気にならなかった気がします。一応、自信のない問題は必ず英語文も確認するようにはしました。受けてみて思ったんですが、別に英語受験でもよかった気がしています。
結果について
試験が終わったら挙手をして退出です。部屋を出たら直ぐに紙を裏面の状態でもらいました。ぱっと見で「合格」とか「PASS」とかわかりやすい文字列が見つからず落ちたかと思いましたが、本文一行目に「おめでとうございます」と書かれていたので安心しました。アクシデントで色々あったので(3回目...)、本当に落ちたかと思ったので嬉し過ぎて「よかったああ」っとデカい声で言ってしまいました。受付の人以外誰もいなくて本当によかったです。
試験が終わったらスタバでご褒美フラペチーノを買って帰る予定でしたが、さっさと帰って爆寝しました。
感想
全体を通しての感想となります。CISSPは本当に勉強してよかったです。とにかく範囲が広いということもあって、「こんなことも考えないといけないのか」と発見と驚きの連続でした。普段セキュリティの仕事をしている中で、自分がいかに狭い世界しか見えていなかったか、ということを知ることができました。
勿論、まだまだ知らないことばかりですが、自分が携わっている(見えている)セキュリティも、今後より良いものになっていけるんじゃないかなあと思えたことが、CISSPを受けてよかったことです。
技術面はやや少なめだった印象ですが、技術屋だとしてそもそも知っておかないといけないビジネスの観点はとても勉強になりました。自分の仕事の仕方に対しても「現実が見えていないべき論ばかりを語るのはよくないなあ」と、気付かされました(勿論、べき論が大事な場面もありますが)。
あとは、CISSPの講座を受講してから受験している方も知人にはいました。「よかったよ〜」と言っていたので、時間とお金に余裕のある方は受けてみるのも良いかもしれないです。
また、少しだけ脱線ですが、Cysecという東京電機大学のサイバーセキュリティに特化した教育プログラム(年単位のもの)も、CISSPに対応した講座を開いているらしいので興味のある方を調べてみても良いかもしれないです。会社の先輩が何名かCysecに参加していて、感想を聞くとかなり良いみたいなので、リンクも貼っておきます。(CISSP以外にも面白そうな講義がたくさんなので私もタイミングが合えば受講したい...!)
cysec.dendai.ac.jp
今後についてですが、マルウェアの勉強と脅威インテリジェンスの勉強を並行してやっていたので、そちらにもう少し集中していこうと思っています。
最後まで読んでいただきありがとうございました。どなたかの参考になれば幸いです。
