www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

CISSP に挑戦した話

どうも。森久です。

お久しぶりです。2019年4月から半年ほど時間を取って CISSP の勉強をしていました。そして2019年10月18日、テストセンターでの試験に合格しました(認定ではない)。今回はその話を記事にしようと思います。

なお最初に断っておきますが、CISSP 試験は秘密保持契約(NDA)により実際の試験問題について紹介したり解説したりすることが禁止されています。そのため本記事では、公開情報のまとめと、私が CISSPを受験するにあたりどのように勉強したのかということと、受験の流れなどを中心に書いています。

 

CISSP テキスト

戦友たち


CISSP とは

Certified Information Systems Security Professional(CISSP)は、(ISC)2が認定をおこなっている国際的な情報セキュリティに関する資格です。特定のベンダーに依存するものではなく、共通知識分野(CBK)と呼ばれる8つの分野における情報セキュリティの知識を理解しておく必要があります。そしてその知識を合理的かつ実践的に使えることが望まれます。

ざっくりと要約しましたが、より詳しく知りたい方はCISSP 8ドメインガイドブックをご参照ください。

試験は日本語で受験する場合、360分で4択問題を250問回答して、1000点中700点を超えれば合格です。ただし配点は一律ではありません。
なお英語で受験する場合、CISSP Computerized Adaptive Testing(CISSP CAT)という試験方式で受験することになります。こちらは3時間で100問程度に回答する方式です。

私は日本語で受験しました。ただ問題の基準となる文章は英語であり、日本語は訳されているにすぎません。日々、翻訳の精度は上がっているはずですが、どうしても日本語の意味が読み取りづらい場合は、英語の問題文を参照することが可能です。

 

学習のアプローチ

恥を忍んで告白しますが、今回が初受験ではありません。過去に受験し、残念ながら不合格でした。そのときに、CISSP試験における自分の思考を見直しました。

その結果、自分の中で4つのパターンがあることに気づきました。

  1. 自信を持ってコレが正解だと選択肢を選べる問題
  2. 自信を持てないが選択肢を絞れる問題
  3. 問題文は解釈できるが選択肢がまったくわからない問題
  4. 問題文も選択肢もわからない問題

 

1は解けているので、特に問題ありません。

2は、いわゆるCISSPとして合理的かつ実践的な考え方ができておらず、迷っているのが原因だと考えました。

3と4は単純に知識不足だと感じました。特に4は自分が普段扱わないような技術や知識分野に関することで、自分の不勉強さと、CBK8ドメインがいかに広範囲であるかを思い知りました。

以上を反省し、2-4を強化するべく、ガッツリ勉強することにしました。

 

使用教材

ここでは私が使用した教材について紹介します。

新版 CISSP CBK公式ガイドブック


CBK の8つのドメインについて、それぞれ詳細に解説している書籍です。

紙の本と電子書籍が販売されています。私は紙の本を買いました。が、4冊組で1700ページにも上る内容量です。家に置いておいて読んだり、次に紹介する問題集で分からないことを調べたりすることに使うのに適しています。持ち歩きには向きません。

2019年4月に購入して読み進めましたが、まず通読することが辛かったです。とはいえ読まなきゃ始まらないので、各節のタイトルをざっと見て、知らないことや面白そうなところから読みました。まずはテキストとお友達になるところから始めました。

本書が優れているところは、著者や翻訳者の方々は CISSP の認定を受けられているので、単純な用語の説明に留まるのではなく、CISSP としての考え方に沿った説明になっている(と思う)点です。ただし、どこが CISSP 的な考え方かということは明記されていません。

たとえば HDD のデータ残留の対策は「クリア」「パージング」「破壊」の3つが紹介されています(280ページ)。そして破壊の説明文に”データの残留を防止する最も安全な方法である”と記載があります。そのため考え方の基準としては、HDDのデータ残留に対しては媒体を破壊することが推奨されるのだな、というのが1つのマインドセットになります。

が、そうは問屋がおろしません。冒頭のCISSPとはのところでも書きましたが、CISSPには合理的かつ実践的なことが要求されるということを忘れてはいけません。

 

CISSP公式問題集

CISSP問題集

 

 

 

 

 

 

 

 

 

 

2019年6月に発売された新しい問題集です。こちらは紙の本で出版されておらず、電子書籍のみの販売がされています。

CBKの8つのドメインに対して約100問ずつ、また模擬試験が4回分(1回125問)の合計約1300問が収録されています。約というのは、各ドメインについては100問+αがあり、模擬試験はいくつか同じ問題が重複しているのを加味しています。

私はこの問題集をAnkiというアプリで管理して勉強しました。Ankiは分散学習をサポートしてくれるソフトウェアで、PC、アンドロイド、iOSのそれぞれで利用することができます。

分散学習とは、長期記憶に定着しやすいように、勉強の間隔を開けながら覚える学習方法です。
具体的には、初期設定だと新しい問題は10分後にもう一度出題され、覚えていたら次は1日後、その次は4日後・・・というような塩梅です。間隔は調整可能です。

問題の登録は、1枚のカードに対して表面(最初に表示される)に問題文、裏面(選択肢を選んだ後に表示させる)に回答となるようにしました。

私は問題集の章ごとに分けて登録をしました。なお個人の使用(私的複製)に留めるため、AnkiWeb での他人との共有はしていません。

最初の1ヶ月はCBK8ドメインを中心にして、次の1ヶ月は模擬試験を中心に挑戦しました。なぜかというと、Ankiの初期設定では1日に1つの章から未学習の新問題が20問出題されるためです。

つまり初日は8章*20問で160問に挑戦する必要があります。2日目はまた160問に加えて1日目の再学習分が加算されます。さらに3日目は160問に1日目の再々学習文と2日目の再学習分が加算される・・・といったように加算分がジャブのように効いてくるので、出題間隔が短期間のうちは、後になるにつれて問題量が増えるのです。未学習の問題が無くなり、かつ出題間隔が4日や8日となっていくと楽になるまでの辛抱です。

最初からすべてに挑戦すると効率が悪くなりそうだったので、CBK8ドメインと模擬試験を分けた次第です。とはいえ最初の1週間は辛いです。つらい。。。

でもここでくじけてはいけません。継続してこなしていくことで、分散学習は真価を発揮するのです。

 

さてAnkiを活用することによって、問題集の攻略はできるかもしれません。ですが、本当に必要なことはCISSPとしての考え方を身につけることです。
ここで例題を1つ紹介します。次の問題は、本問題集の第2章資産のセキュリティ(ドメイン2)の19番から引用したものです。

==引用ここから==

「Chrisは、会社の全ワークステーションの責任者であり、数台のワークステーションは専有情報を扱うために利用されていることを知っている。彼が責任を受け持っているワークステーションがEOLを迎えた時にとるべき最適の選択肢は何か?」

A.消去(Erasing)
B.クリアリング
C.サニタイズ
D.破壊

==引用ここまで==

回答は4択の中から1つを選ぶ必要があります。どれだと思いますか?
1つ前のテキスト紹介のところで、HDDのデータ残留対策には破壊が最適であると紹介しましたよね。そのためここでも選択肢Dを選んでしまいそうになります。

問題集の解説にきちんと書いてありますが、ワークステーション全体を破壊する組織は存在するかもしれませんが、一般的にコストに見合ったものではありません。問題文ではHDDに限定しているのではなく、ワークステーション全体についての対応で最適なものを選ぶことが求められています。

 

正解は選択肢Cのサニタイズです。専有情報を扱うワークステーションが含まれることから、データを復旧できないようにする必要がありますが、具体的な構成や台数、ポリシーなどが問題文に明示されていません。そのためデータを復旧できないようにするプロセスの組み合わせである「サニタイズ」が正解になるのです。

この例題のように単純な単語の意味を覚えるだけでないところが、CISSP試験が難しい要因の1つだと思います。とはいえ単語の意味を知っていないと、選択肢を選ぶこともままなりません。つまり泥臭い暗記から逃れることはできません。

 

Official (ISC)² CISSP Study

こちらはiPhoneのアプリです。まだCISSP公式問題集が発売されていないときに、問題集が欲しくなったので購入しました。

中身はCBK8ドメインごとの問題集です。解説もついています。なお(ISC)2公式のアプリのため、英語です。

最初は頑張って出題される問題を問いていたのですが、ランダムに出題されるだけで、学習するタイミングを自動的に計算してくれる機能はありません。また覚えた問題・覚えていない問題の管理も難しく途中で挫折しました。

CISSP公式問題集が入手できる今となっては、あえて購入する必要性は低いと思います。もちろんCISSP公式問題集だけでは不安だ、という人は購入する価値があるでしょう。

また模擬試験の機能が備わっているので、ゲーム感覚で挑戦すると面白くなるかもしれません。

 

(ISC)2公式CISSP CBKトレーニング

これは教材というよりも、教材を題材とした講習会です。CBK8ドメインについて認定トレーナーによる講義がメインです。また講師がCISSP認定を受けているため、CISSPとしての考え方も踏まえた内容になっています。
当然ながら、CISSP試験のNDAのため、試験に出る問題などは教えてくれません。あくまで考え方を整理し、自分のものにすることが目的です。

もし受講できるのであれば、受講することをオススメします。が、5日間にかけて講義があり、また費用も50万円と高額なので、申込みはよく考えてください。

振り返ってみれば、このトレーニングを受ける時期としては、CISSP公式問題集を一通り覚えた後であれば、CISSPの考え方を吸収しやすかったのだろうなと思いました。

 

ちょっと脱線

4月から個人の趣味の時間を削って勉強していましたが、途中で精神的に辛くなったので気分転換になるような、まったく違うことに挑戦することにしました。

1つ目は自動車の運転免許を取るために、自動車学校に入学しました。大型自動二輪の免許を取って以来です。久しぶりの運転なので、目配りから手足の動作など難しくもありますが、結構面白いです。ただ仮免許の試験を迎えたときに、それはそれでストレスを感じたので正直やりすぎだった感が否めません。

また自動車学校は仕事の出勤日だと通うことができず、また教習時間と往復時間や待ち時間で2時間ほどかかります。もっと短時間でできることがないかと探していたところ、職場の人がボクシングをしていることを知りました。

フィットボクシングは良いぞおじさん「フィットボクシングは良いぞ」

初めて任天堂スイッチを買いました。Fit Boxing 楽しい。おじさんには連続ダッキングやウィービングが辛い。
なお勉強期間中にアニメ化された「ダンベル何キロ持てる?」は、CISSP試験が終わったその日に全話視聴した模様。

 

閑話休題

 

受験にあたって

これから試験を受験する人のために、受験の流れを紹介します。

まずは受験の申込みです。

Pearson VueのWebページから申し込みします。ISC2で検索するとCISSPが出てくるので、内容に沿って申し込みしてください。

試験会場は東京にしました。なお試験会場はCISSP以外の試験もおこなわれているため、希望した日に受験できない可能性があります。もし受験したい日付や時期が決まっているのであれば、早めに申し込みした方がよいでしょう。

受験当日は忘れ物をしないように気をつけましょう。特に身分証明書(2つ)を忘れると、受験できません。私はパスポートと運転免許証を持参しました。

また6時間の試験時間のなかで休憩は自由に取れますが、休憩時間中にカバンや私物にアクセスすることはできません。そのため飲み物や軽食、おやつなどは会場到着前に購入して持っていきましょう。

 

私は朝一の試験だったので午前8時に試験開始でした。ただし、30分前には会場に到着してチェックインする必要がありました。

チェックインでは、身分証明書の提示、署名の確認、手のひらの登録、写真撮影、携帯電話の電源オフ、ロッカーに荷物の格納などをする必要があります。

また私が受験した東京会場の帝国ホテルでは、受付と休憩室が兼用の部屋であったため、参考書を読んだりすることができませんでした。電車が遅れることもあるので、7時頃には会場近くのカフェでコーヒーを飲みながら最後の見直しをしていました。

チェックインの詳しい説明は、「受験当日のテストセンターでの流れ」の動画が参考になります。

 

チェックインが完了すると、いよいよ試験室へ。
試験室入室前には、再度身分証明書と手のひら認証による本人確認、ポケットに何も入ってないことやメガネの確認(ウェアラブルメガネはNG)などがおこなわれます。あとはパソコンに向かって問題を解くだけです。

休憩は受験者の好きなタイミングで取れます。手を上げれば試験官がパソコンをロックして外に連れ出してくれます。
6時間の長丁場ですので、時間管理は重要です。腕時計は持ち込みできませんが、残り試験時間はパソコンに表示されます。
私の場合、100問解くごとに15分程度の休憩を取りました。合計2回取りました。あらかじめおにぎりとチョコレートを買って持っていったので、それらをちょこっと食べました。

すべての問題を解き終わり、見直しも完了したら、手を上げて試験官に終了する旨を告げます。時間が余っていても問題ありません。私は残り40分ぐらいで終わりました。

 

受付に行くと、結果の紙を渡されます。

合格であれば、その旨が記載されています。ただし得点は未記載です。

不合格であれば、得点が記載されています。またCBK8ドメインについて成績順位が記載されています。低いものを勉強し直してリトライしましょう。

また極稀に採点に関して分析の対象に選ばれることがあるようです。もし対象になった場合、その場で合否はわからず、後日Eメールで通知されるそうです。

 

CISSP試験の合格により即時認定されるわけではありません。認定の登録手続きとして(ISC)2の特定の資格保有者に推薦者(エンドーサー)となってもらって申請する必要があります。業務経験の期間が足りなければ、アソシエイツとして登録することが可能です。またこの申請の段階においても、無作為抽出により監査対象となる場合があります。

(ISC)2によって認定されると、晴れてCISSPとして名乗ることができます。

 

最後に

本記事ではCISSP試験について、私がどのように勉強したのかを書きました。

もし試験に不合格だったとしても、決して勉強に費やした時間は無駄ではありません。諦めずにリトライしましょう。

この記事がこれからCISSPを受験する人の助けになれば幸いです。

 

Written by 森久

10月 22nd, 2019 at 2:00 pm

Posted in Security,その他