CISSP に挑戦した話(再投稿)

どうも。森久です。

※本記事は当ブログを立て直す前に投稿していた記事(2019年10月投稿)をリライトして再投稿したものです。


2019年4月から半年ほど時間を取って CISSP の勉強をしていました。そして2019年10月18日、テストセンターでの試験に合格しました(認定ではない)。その後、2019年11月に正式に CISSP として認定されました。

今回はこの話を記事にしようと思います。

なお最初に断っておきますが、CISSP 試験は秘密保持契約(NDA)により実際の試験問題について紹介したり解説したりすることが禁止されています。そのため本記事では、公開情報のまとめと、私が CISSPを受験するにあたりどのように勉強したのかということと、受験の流れなどを中心に書いています。

戦友たち

CISSP とは

Certified Information Systems Security Professional(CISSP)は、(ISC)2が認定をおこなっている国際的な情報セキュリティに関する資格です。特定のベンダーに依存するものではなく、共通知識分野(CBK)と呼ばれる8つの分野における情報セキュリティの知識を理解しておく必要があります。そしてその知識を合理的かつ実践的に使えることが望まれます。

ざっくりと要約しましたが、より詳しく知りたい方はCISSP 8ドメインガイドブック(PDF)をご参照ください。

試験は日本語で受験する場合、360分で4択問題を250問回答して、1000点中700点を超えれば合格です。ただし配点は一律ではありません。
なお英語で受験する場合、CISSP Computerized Adaptive Testing(CISSP CAT)という試験方式で受験することになります。こちらは3時間で100問程度に回答する方式です。

私は日本語で受験しました。ただ問題の基準となる文章は英語であり、日本語は訳されているにすぎません。日々、翻訳の精度は上がっているはずですが、どうしても日本語の意味が読み取りづらい場合は、英語の問題文を参照して確認した方がいいです。

学習のアプローチ

恥を忍んで告白しますが、今回が初受験ではありません。過去に受験し、残念ながら不合格でした。そのときに、CISSP試験における自分の思考を見直しました。

その結果、自分の中で4つのパターンがあることに気づきました。

  1. 自信を持ってコレが正解だと選択肢を選べる問題
  2. 自信を持てないが選択肢を絞れる問題
  3. 問題文は解釈できるが選択肢がまったくわからない問題
  4. 問題文も選択肢も理解できない問題

1は解けているので、特に問題ありません。

2は、いわゆるCISSPとして合理的かつ実践的な考え方ができておらず、迷っているのが原因だと考えました。

3と4は単純に知識不足だと感じました。特に4は自分が普段扱わないような技術や知識分野に関することで、自分の不勉強さと、CBK8ドメインがいかに広範囲であるかを思い知りました。

なおCISSP試験では、一部採点されない問題が出題されます。これは新しい技術や法律、規則などに対応するものだそうです。どの問題が該当するかは一切わかりませんが、往々にして4になるかなという気がします。

以上を反省し、2-4を強化するべく、ガッツリ勉強することにしました。

使用教材

ここでは私が使用した教材について紹介します。

新版 CISSP CBK公式ガイドブック

CISSP 公式ガイドブック

2018年9月に出版された、CBK の8つのドメインについて、CISSP 保有者が詳細に解説している書籍です。

紙の本と電子書籍が販売されています。私は紙の本を買いました。が、4冊組で1,700ページにも上る内容量です。家に置いておいて読んだり、次に紹介する問題集で分からないことを調べたりすることに使うのに適しています。大きくて思いので、持ち歩きには向きません。

2019年4月に購入して読み進めましたが、まず通読することが辛かったです。とはいえ読まなきゃ始まらないので、各節のタイトルをざっと見て、知らないことや面白そうなところから読みました。まずはテキストとお友達になるところから始めました。

本書が優れているところは、著者や翻訳者の方々は CISSP の認定を受けられているので、単純な用語の説明に留まるのではなく、CISSP 的な考え方に沿った説明になっている(と思う)点です。ただし、どこが CISSP 的な考え方か、ということは明記されていません。

たとえばHDDのデータ残留の対策は「クリア」「パージング」「破壊」の3つが紹介されています(第1巻280ページ)。そして破壊の説明文に”データの残留を防止する最も安全な方法である”と記載があります。そのため考え方の基準としては、技術的には HDD のデータ残留に対しては媒体を破壊することが最も推奨されるのだな、というのが1つの指針になります。

とはいえ普段の業務の環境は人それぞれですし、話は簡単ではありません。冒頭の「CISSP とは」のところでも書きましたが、CISSP には合理的かつ実践的なことが要求されるということを忘れてはいけません。

CISSP公式問題集

CISSP 公式問題集(電子書籍版)

2019年6月に発売された新しい問題集です。こちらは紙の本で出版されておらず、電子書籍のみの販売がされています(記事執筆時点)。

CBK の8つのドメインに対して約100問ずつ、また模擬試験が4回分(1回125問)の合計約1300問が収録されています。約というのは、各ドメインについては100問+αがあり、模擬試験はいくつか同じ問題が重複しているのを加味しています。

私はこの問題集を Anki というアプリで管理して勉強しました。Anki は分散学習をサポートしてくれるソフトウェアで、PC、アンドロイド、iOS のそれぞれで利用することができます。

分散学習とは、長期記憶に定着しやすいように、勉強の間隔を開けながら覚える学習方法です。
具体的には、初期設定だと新しい問題は10分後にもう一度出題され、覚えていたら次は1日後、その次は4日後・・・というような塩梅です。間隔は調整可能です。

問題の登録は、手作業で1枚のカードに対して表面(最初に表示される)に問題文、裏面(選択肢を選んだ後に表示させる)に回答となるようにしました。またまとめ方として、私は問題集の章ごとに分けて登録をしました。

なお個人の使用(私的複製)に留めるため、AnkiWeb での他人との共有はしていません

最初の1ヶ月は CBK8 ドメインを中心にして、次の1ヶ月は模擬試験を中心に挑戦しました。なぜかというと、Anki の初期設定では1日に1つの章から未学習の新問題が20問出題されるためです。

つまり初日は8章*20問で160問に挑戦する必要があります。2日目はまた160問に加えて1日目の再学習分が加算されます。さらに3日目は160問に1日目の再々学習文と2日目の再学習分が加算される・・・といったように加算分がジャブのように効いてくるので、出題間隔が短期間のうちは、後になるにつれて問題量が増えるのです。未学習の問題が無くなり、かつ出題間隔が4日や8日となっていくと楽になるまでの辛抱です。

最初からすべてに挑戦すると効率が悪くなりそうだったので、CBK8ドメインと模擬試験を分けた次第です。とはいえ最初の1週間は辛いです。つらい。。。

でもここでくじけてはいけません。継続してこなしていくことで、分散学習は真価を発揮するのです。

さて Anki を活用することによって、問題集の攻略はできるかもしれません。ですが、本当に必要なことは CISSP としての考え方を身につけることです。
ここで例題を1つ紹介します。次の問題は、本問題集の第2章資産のセキュリティ(ドメイン2)の19番から引用したものです。

==== 引用ここから ====

「Chrisは、会社の全ワークステーションの責任者であり、数台のワークステーションは専有情報を扱うために利用されていることを知っている。彼が責任を受け持っているワークステーションがEOLを迎えた時にとるべき最適の選択肢は何か?」

A.消去(Erasing)
B.クリアリング
C.サニタイズ
D.破壊


==== 引用ここまで====

回答は4択の中から1つを選ぶ必要があります。どれだと思いますか?
1つ前の公式テキスト紹介のところで、HDD のデータ残留対策には破壊が最適であると紹介しましたよね。そのためここでも選択肢 D を選んでしまいそうになります。

問題集の解説にきちんと書いてありますが、ワークステーション全体を破壊する組織は存在するかもしれませんが、一般的にコストに見合ったものではありません。問題文では HDD に限定しているのではなく、ワークステーション全体についての対応で最適なものを選ぶことが求められています。

ということで CISSP 的には選択肢 C のサニタイズを選びます。専有情報を扱うワークステーションが含まれることから、データを復旧できないようにする必要がありますが、具体的な構成や台数、ポリシーなどが問題文に明示されていません。そのためデータを復旧できないようにするプロセスの組み合わせである「サニタイズ」が正解になるのです。

この例題のように単純な単語の意味を覚えるだけでないところが、CISSP 試験が難しい要因の1つだと思います。とはいえ単語の意味を知っていないと、選択肢を選ぶこともままなりません。つまり泥臭い暗記から逃れることはできません。

Official (ISC)² CISSP Study

CISSP Study(iPhone アプリ)

こちらは iPhone のアプリです。まだ CISSP 公式問題集が発売されていないときに、問題集が欲しくなったので購入しました。

中身はCBK8ドメインごとの問題集です。解説もついています。なお(ISC)2公式のアプリのため、英語です(日本語訳されていない)。

最初は頑張って出題される問題を問いていたのですが、ランダムに出題されるだけで、学習するタイミングを自動的に計算してくれる機能はありません。また覚えた問題・覚えていない問題の管理も難しく途中で挫折しました。

CISSP公式問題集が入手できる今となっては、あえて購入する必要性は低いと思います。もちろんCISSP公式問題集だけでは不安だ、という人は購入する価値があるでしょう。

また模擬試験の機能が備わっているので、ゲーム感覚で挑戦すると面白くなるかもしれません。

(ISC)2公式CISSP CBKトレーニング

これは教材というよりも、教材を題材とした講習会です。CBK8 ドメインについて認定トレーナーによる講義がメインです。また講師が CISSP 認定を受けているため、CISSP としての考え方も踏まえた内容になっています。
当然ながら、CISSP 試験の NDA のため、試験に出る問題などは教えてくれません。あくまで考え方を整理し、自分のものにすることが目的です。

もし受講できるのであれば、受講することをオススメします。が、5日間にかけて講義があり、また費用も約50万円と高額なので、申込みはよく考えてください。(費用は変更されているかもしれないので都度ご確認ください)

振り返ってみれば、このトレーニングを受ける時期としては、CISSP 公式問題集を一通り覚えた後であれば、CISSP の考え方を吸収しやすかったのだろうなと思いました。

受験にあたって

これから試験を受験する人のために、受験の流れを紹介します。

申し込み

最初にやるべきことは、受験の申込みです。

Pearson VueのWebページから申し込みします。ISC2 で検索すると CISSP が出てくるので、内容に沿って申し込みしてください。私が申し込みしたときは、クレジットカードで前払いしました(699USドル+税)。申込みが完了すると、メールアドレスに試験日程の確認メールと支払い完了メールが届きます。

試験会場は東京にしました。なお試験会場は CISSP 以外の試験もおこなわれているため、希望した日に受験できない可能性があります。受験したい日付や時期が決まっているのであれば、早めに申し込みした方がよいでしょう。有料となりますが、試験日を変更することも可能です。

なお試験に不合格となった場合は、一定期間は受験ができなくなるためご注意ください。(ISC)2の日本語 FAQの最後の設問参照。

受験当日

受験当日は、開始時刻までに到着することと忘れ物をしないように気をつけましょう。特に身分証明書(2つ必要)を忘れると受験できません。私はパスポートと運転免許証を持参しました。

また6時間の試験時間のなかで休憩は自由に取れますが、休憩時間中にカバンや私物にアクセスすることはできません。そのため飲み物や軽食、おやつなどは会場到着前に購入して持っていきましょう。ロッカーにまとめていれることになるので、食べ物などをあらかじめかばんから出した状態にしておくことをお忘れなく。

私は朝一の試験だったので午前8時に試験開始でした。ただし、30分前には会場に到着してチェックインする必要がありました。そのときの受付の状況(他の受験者のチェックインなど)によっては、予定時刻よりチェックイン完了が多少前後することはありますが、受験時間は規定通りです。

チェックインでは、身分証明書の提示、署名の確認、手のひらの登録、写真撮影、携帯電話の電源オフ、ロッカーに荷物の格納などをする必要があります。

また私が受験した東京会場の帝国ホテルでは、受付と休憩室が兼用の部屋であったため、参考書を読んだりすることができませんでした。電車が遅れることもあるので、7時頃には会場近くのカフェでコーヒーを飲みながら最後の見直しをしていました。

チェックインの詳しい説明は、「受験当日のテストセンターでの流れ」の動画が参考になります。

試験開始

チェックインが完了すると、いよいよ試験室へ。
試験室入室前には、再度身分証明書と手のひら認証による本人確認、ポケットに何も入ってないことやメガネの確認(ウェアラブルメガネは NG)などがおこなわれます。あとはパソコンに向かって問題を解くだけです。

休憩は受験者の好きなタイミングで取れます。ただし休憩時間は試験時間に含まれます。手を上げれば試験官がパソコンをスクリーンロックして外に連れ出してくれます。
6時間の長丁場ですので、時間管理は重要です。腕時計は持ち込みできませんが、残り試験時間はパソコンに表示されます。
私の場合、100問解くごとに15分程度の休憩を取りました(合計2回)。その際、あらかじめ買っておいたおにぎりとチョコレートをちょこっと食べました。

すべての問題を解き終わり、見直しも完了したら、手を上げて試験官に終了する旨を告げます。時間が余っていても問題ありません。私は残り40分ぐらいで終わりました。

受付に行くと、試験結果が印刷された紙を渡されます。

合格であれば、その旨が記載されています。ただし得点は未記載です。

不合格であれば、得点が記載されています。また CBK8 ドメインについて成績順位が記載されています。低いものを勉強し直してリトライしましょう。

また極稀に採点に関して分析の対象に選ばれることがあるようです。もし対象になった場合、その場で合否はわからず、後日 E メールで通知されるそうです。

試験後

CISSP 試験の合格により即時認定されるわけではありません。認定の登録手続きとして(ISC)2の特定の資格保有者に推薦者(エンドーサー)となってもらって申請する必要があります。業務経験の期間が足りなければ、アソシエイツとして登録することが可能です。またこの申請の段階においても、無作為抽出により監査対象となる場合があります。

(ISC)2によって認定されると、晴れて CISSP として名乗ることができます。また認定から10週間程度でウェルカムキットと呼ばれる認定証や認定カードなど一式が送付されてきます。

最後に

本記事では CISSP 試験について、私がどのように勉強したのかを書きました。
もし試験に不合格だったとしても、決して勉強に費やした時間は無駄ではありません。諦めずにリトライしましょう。

この記事がこれから CISSP を受験する人の参考になれば幸いです。