OSCPに合格しました
約半年間の取り組みの末、推定90pt(AD set + rooted *2 + Bonus)OSCPに合格しました。
これを書くことで自分の中で区切りをつけられる、ということで長いですが経緯など書いていきます。
-
私が受けたバージョン
2021年末からのAD set(3台)と独立ホスト(3台)のものです。
-
取得の動機、バックグラウンド
セキュリティの資格はもう取らないでよいのでは?と思っていましたが、会社の予算を使えたため、前からうっすら考えていたOSCPに挑戦することにしました。
ペネトレーションテストについては技術的にはGCIH取得の過程で少し触れてはいました。取得後にほとんど触っていなかったので忘れていましたが。
Offsecが出しているPEN-200のCourse prerequisitesは満たしていました。私はやっていませんが、PEN-200に申し込めば付属するPEN-100をクリアすればそれらが身につくのかもしれません。
英語力はまぁまぁ読めれば問題ないと思います。私はTOEICスコアだけはそこそこですが、全体をとおしてほぼ機械翻訳(DeepL、Google)を使いました。(翻訳のために使う脳内リソースの余裕がない) レポート作成も同様。ただ、機械翻訳時のぬけもれや違和感のある単語など、合わない表現がないかは見直しました。(たまにある)
-
勉強時間
これまでの記事でも書いているとおり、バックグラウンドによって合格に必要な時間は異なると思います。私の場合はダラダラやっていたのもあり正確ではありませんが、500~600時間程度は使っていると思います。仕事から帰宅後に休憩し22時~3時くらいまで学習、休日も6時間程度時間を使いました。
-
試験までの振り返り
THMやHTBで練習してからPEN-200に取り組む人が多いと思いますが、私はすぐにPEN-200を始めました。コースとそれに対応する試験という形式である以上、十分なはずだと考えたためです。
6月上旬~8月上旬
とにかくテキスト中心で丸2ヶ月かかる。テキストに書かれていることはほぼ全てkaliとテキスト用のマシンを使い手を動かしました。今思うとちょっとやりすぎだったように思います。(すぐ忘れたし)
8月中旬~9月中旬
8月初めにボーナスポイント(10pt)が取りやすくなりました。
旧ボーナスポイントは量が膨大かつテキストの指示もはっきりしておらず、これをやるなら腕を磨いたほうがマシとまで言われていましたが、新ボーナスポイントは1ヶ月位取り組めば、各章のエクササイズ80%以上クリアは仕事をしながらでもできると判断し、達成。毎日のように朝方までkaliをいじっていましたが…。わからない問題はOffsecの公式discordの検索窓から"16.2.6"などエクササイズ掲載の章番号を入れてみましょう。誰かが質問し誰かが答えてくれています。私の場合はdiscordからヒントを探し出し、クリア条件の各章80%以上を達成できました。(問題数が少ない章だと全問正解が前提です) ものによっては目標がわかりにくかったりしますが、総じて面白い課題が多かったように覚えています。
10ptプラスは本番試験時に安心感が違いますので条件は満たしておくべきだと思います。マシン攻略でせっかく70ptを取得しても、レポートで減点されたら落ちますので。(redditでもレポートの記載が悪く落ちたケースはあまり見ませんでしたが)
今でしたら1~2ヶ月かけて、エクササイズ攻略ベースでテキストの勉強をするというスタイルで取り組んでいたでしょう。
9月下旬~12月
ここから本題のラボ攻略です。Learning Pathから始めました。テキスト24章のsandbox.localもフラグを提出すればボーナスポイントのもう一つの条件(ラボ30台以上クリア)に加算されるのでLearning Path + sandbox.localでもう半分の15台達成です。
あとはひたすらラボを攻略していました。ヒントはdiscordよりもforumで調べました。(forumのアカウントはoffsecのhelp宛にメールして作ってもらった)
1日1台クリアを目標に進め、分からないところはさっさとヒントを探しちゃっていました。今思うといかにenumし攻略の糸口にたどり着けたか、見逃さなかったか、というプロセスが重要だったように思います。エクスプロイトを刺すとかフラグを取るとかは二の次かなと。特に権限昇格でkernelの脆弱性を利用したエクスプロイトの利用は最終手段にしたほうがよいと思っています。exploit DBやGitHubに落ちているものを使うことはenumの結果で設定不備の脆弱性を突くことと比べると安易ですし、マシンがフリーズする可能性もありあまりスマートではないと考えます。(熟練したペンテスターはフリーズする可能性のある方法を避けるのでは?)またenumの力も磨かれないためです。
結局55台ほどクリアしました。ラボのマシンをクリアするだけ本番の合格率も上がるのですが、有益なマシンもあればこれ意味ある?ってマシンもあるなど。55台を越えたあたりから急に燃え尽き、redditばかり読んでいました。(役に立ったような、立たなかったような)
-
試験
準備
年内に一区切りするためにも受験を決意。子供には部屋に入らないよう言って聞かせ、家族は特に外出もせず在宅していました。Webカメラはメルカリで購入した定価5000円程度のもの。それでも文字がよく見えないと言われたのでパスポートをスマホで撮影し、PCに転送して画面投影しました。これは予め準備しておいてもよいかもしれません。以下、当日のざっくりな時系列です。
| 10:15 | テスト開始 |
| 15:30 | AD Set攻略 |
| 16:30 | AD Setのスクショ、攻略手順を確認 |
| 18:30 | 独立ホスト1の初期シェル入手 |
| 21:00 | 独立ホスト2の初期シェル入手。ボーナスポイント込みで合格点到達 |
| 22:00 | 独立ホスト1,2のスクショ、攻略手順を確認 |
| 22:30 | 気分転換に20分程度入浴 |
| 3:00 | 独立ホスト3の初期シェルを取得しようとしていたが歯が立たず断念 |
| 4:30 | 独立ホスト2で権限昇格成功 |
| 7:00 | 独立ホスト1で権限昇格成功。 |
| 9:45 | レギュレーションの確認をしつつ、漏れが無いか確認し、攻略終了 |
| 16:00 | 休憩、仮眠を挟みレポート作成開始 |
| 翌9:00 | レポート提出、終了 |
攻略中の所感
サクッと書きましたが一睡もしていません。(軽食は適宜食べていました) そして前日は緊張からあまり眠れませんでした。
ADの足場をなかなか作れなかったのは焦りましたが、以降は運もあり、ADの攻略ができました。独立ホスト1,2についても初期シェルまでは気づきが冴え、スムーズに取れました。
一方で独立ホスト3については全く糸口をつかめない。ハマりにハマって5時間近く使い、それでもダメなので断念。ただ、70点は確定していたので気は楽でした。
残された2機の権限昇格については深入りせず、試行する手数を増やしたことが功を奏した感じ。70点が確定したときのシェル取得が一番記憶に残っています。Metasploitは使いませんでした。残っていた独立ホスト3への使い所が思いつかず。
レポートの所感
語られることは少ないですが、レギュレーションやテンプレートはしっかり確認しておいたほうがよいです。悪用した脆弱性の説明、解決方法などにも対応できるようにしておく必要があります。(英語で) ノンネイティブも多く受けているのであまり厳しいことはないと思いますが、箇条書き、短文で済ませるのがコツかなと思います。私の場合、主語は"OS-XXXXX"とUSER IDにしておきました。この例がそうしていましたので。
脆弱性の悪用については読者がコピペで再現できるように、という指定があります。ディレクトリの移動とかkaliからエクスプロイトなどを持ってきたりだとか、そういったものは省きましたが、enumやexploitなどほとんどのコマンドを記載しました。そのコマンドの出力結果はスクショで掲載しました。フラグの提出・スクショにもきっちり要件がありますので要熟読です。
私の場合は14時間ほどぶっ続けで書き、Wordで60ページ程度になりました。多くはスクリーンショットですが。redditなどでは20ページ程度で受かったという人もいるみたいですが、確実に終わらせたかったので最善を尽くしました。画像が多いからか、Wordが重いこと重いこと…いつフリーズするかストレスになり、頻繁に保存&バックアップを作成しました。PDF印刷ができるかも度々確認しました。(本番でPDF印刷がフリーズし、レポートが提出できなかったという書き込みをどこかで見ました) 。7zで圧縮し提出する、ネーミングルールもあるのでこちらも要確認です。不備があると受け付けてくれないということです。
- 提出後
終了1時間前に疲れ切った状態で提出したため、レポートの要件を満たせていただろうか、提出の作法は守れていただろうかとモヤモヤしつつ、エナジードリンク効果であまり眠れず疲れ果てていました。翌日も仕事にならないくらい疲労困憊。レポート提出から36時間後に試験にパスしたことを告げるメールが届き、半年間に及ぶ挑戦は終わりました。ボーナスポイント込で90ptということで少々レポートでミスをしても大丈夫だろうと思ってはいたのですが、レギュレーションも気になり気を抜けませんでした。
次は…OSEPはとても楽しいみたいですが、妻子にもあまりかまってあげられなかったので今度こそ資格取得はもういいかな…と思っています。Threat Intelligence・OSINTなど、別の挑戦をしていきたいな、と。
半年間があっという間に終わるくらいに楽しい挑戦ではありましたが、正直きつい挑戦でもありました。ライフワークになっていたので喪失感もありますが、しばらく自分を甘やかしつつ、家族の時間を過ごしたいと思います。(たくさん協力してもらいました、旅行に行ってきます!)
- Tips
・チートシートやテキストのメモはonenoteを使いました
・ラボの攻略メモはpentest.wsを利用。3ヶ月で$9.95と安い割には使えます
・どうしても解けないラボはGoogle検索スキルがあるとわりとなんとかなる(ダメだけどネタバレしている人がたまにいる)
・スキャンはNmap、rustscan、autoreconを利用。Webについてはniktoやgobusterなど。
・pivotはchisel
・権限昇格はwinpears、linpeasの出力結果で怪しいものを浅く広く試す
・Tib3rius先生の権限昇格udemyもやりました
Linux、Windows
・認証についてはデフォルトのものや簡単なやつをまずは試す。
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Passwords/Default-Credentials/mssql-betterdefaultpasslist.txt
https://github.com/ihebski/DefaultCreds-cheat-sheet
・こちらのリバースシェルジェネレータにはお世話になりました
・チートシート
自分のonenoteにあるのは、スキャン系、rdp系、ファイルアップロード/ダウンロード系のコマンドなど本当によく使うものだけにしました。
各ポート固有のenumについては先人のチートシートを複数使用しました。(あまり自分を当てにしていないので)
https://book.hacktricks.xyz/welcome/readme
https://liodeus.github.io/2020/09/18/OSCP-personal-cheatsheet.html
https://github.com/six2dez/OSCP-Human-Guide/blob/master/oscp_human_guide.md
https://totes5706.github.io/Offensive-Security-Cheat-Sheet/
https://hackerifg.com/smb-server-enumeration/
…探すと他にもたくさんありますので、いくつもブックマークしておくとよいかも。
攻略の際は対象のポートに集中して、いろいろな手法を試すと良いかもしれません。(私の場合)
・AD
こちらも皆さん言っていますが、ラボにAD Setが2つ、エクササイズにも2つあります。これらを完璧に侵害し、詳しい攻略手順を残せるくらいにしておけば大丈夫だと思います。有名なミミミミミッミも大変有効でした。
ただしそれはAD環境における横移動の話で、初期シェル取得や権限昇格は普通にWin機の攻略になります。Win機攻略の練習をたくさんすると良いでしょうが、ラボ環境ではあまりいいWin機はなかった印象…。
・BoFは有名なこれでよいのだろうと思います
他にもなんか思い出したら追記します!
ウェブ・セキュリティ基礎試験(徳丸基礎試験)に合格しました
もうセキュリティの資格はいいでしょう、と思いつつ申し込んでしまったのでウェブ・セキュリティ基礎試験(通称徳丸基礎試験)を受験し、合格してきました。
- 徳丸基礎試験概要
セキュリティ担当者だけでなく、開発者にも広く読まれている徳丸浩氏著の「体系的に学ぶ安全なWebアプリケーションの作り方 第2版」(通称徳丸本)を試験範囲とした、Webアプリケーションセキュリティに関する基本的な試験です。
・徳丸本
・徳丸基礎試験詳細
合格率は20年10月の記事で78.6%と公表されていますので、数字的には受かりやすい試験だと思います。JavaScriptは出るものの、PHP等特定言語に関する問題(関数名なども)は出ないと公表されています。試験時間は1時間、40問中28問正解(70%)で合格です。 - 受験のきっかけ
CISM合格でセキュリティ試験は打ち止めだと思っていたのですが、話題になっていたし費用も手ごろ(海外の試験ばかりだったので麻痺)で試験範囲が広くないので軽い気持ちで申し込みました。 - 勉強方法
素材は言うまでもなく徳丸本2版一択です。
上記で記載のとおり、特定言語については出ないということで割り切りました。本のスペースの多くをPHPのスクリプトが占めていると思いますが、PHPヨクワカランのでそこら辺はさっと済ませ、脆弱性の原因、影響、対策について重点的に理解するようにしました。例題が上記のリンクの3つ程度で問題の傾向も全くわからず、徳丸本を読みこむことしかできませんでした。 - 試験申し込み
自分で申し込んだときはよくわからず苦労しました。
まず試験会場を選び、直接申し込みます。
https://cbt.odyssey-com.co.jp/place.html
私は地元のパソコン教室的なところを選びました。
試験の選択肢にウェブ・セキュリティ基礎試験(通称徳丸基礎試験)がない場合、自分でその会場に問い合わせて追加して貰う必要があります。
私はメールで問い合わせ後、すぐに追加してもらえました。
なお、オデッセイIDが予め必要です。
https://cbt.odyssey-com.co.jp/cbt/registration/index.action - 試験当日
会場が歩いていける範囲なので助かりました。会場は普通のパソコン教室に併設された試験室。6席ありましたが満席でした。MS関係の試験を受けている人が多かった模様。試験開始時にオデッセイのIDでログインし、徳丸試験を選択してスタート。(PHPとかの試験も表示されていた記憶、それを選べば受けられちゃうのか?)
即答できるような問題もあれば、あれどうだったっけ?というような問題もあり。言われているとおり、JavaScriptに関しては少し出たもののPHP等については出ませんでした。徳丸本の2章、6章、7章を除く範囲から満遍なく出たような気がします。キモはやはり4章ですが。
25分程度で一通り解き終わり、もう一度解き直して40分程度で終了。
結果がすぐ出るかと思いきや表示されるのはCBTお決まりのアンケートで、それへの回答後に結果が出ます。775点で無事合格。
1問25点だとして9問ほど間違えてしまった模様。
これまで受けてきた試験より金銭的や勉強量、プレッシャーの負荷は低かったのですがそれでもホッとしました。 - 振り返り
基礎試験という言葉が示すとおり、徳丸本の主要な箇所を理解できていれば難易度は高くないと思います。とはいえ私の場合は読み直さなければ、合格には至らなかったかもなぁと。基本的とはいえそれなりに細かいことも聞かれた印象がありますので。
PHPのコーディングのことは流したので身についたと言えませんが、徳丸本の幅広いところが身についたんじゃないかな~と。(Webアプリ脆弱性の原因や対策は似たようなものが多いとか)細かいところは本を見れば良し!
勉強期間は20時間~30時間でしょうか。難易度はどうだろう…人によると思いますが、範囲が徳丸本のみなのでIPAのSCよりは労力は掛からないのでは。 - 今後
TOEICの目標点超えるまでまだまだ時間が掛かりそうなので今年~来年は英語に専念になりそう。現時点でスコアも勉強開始当初よりそれなりに上がったので、目標達成したら記事を書きたい所存。
セキュリティ試験を受けるとしたら以下を検討中。
・徳丸実務知識試験
2021年秋頃にリリース予定?
例題を見るとすごく難しいわけではないし、PHPも最低限で良さそうなので様子見しつつ受験を前向きに考えます。
・AWS 認定 セキュリティ – 専門知識
純粋なセキュリティの試験ではなく、AWSのソリューションをセキュリティのために使う、がテーマな気がしている。(当然かもしれないですが)あまり優先度は高くない。
・OSCP
知名度やステータスがだいぶ高くなっていて魅力的だけど自分がペンテストをやることはないので趣味と割り切る必要。それに15万円ほどかぁ…(会社支援なし)英語片付いたら考える。GCIH取得のために勉強したことが少しは使えると思っている。
・GIAC
FOR508あたり受けたかったけど会社支援ないので断念!別の会社に行ったら検討!
資格を取る理由とか勉強方法など
どうやって勉強していますか、とかモチベーションはどこから湧くの?と聞かれたことがあるので、資格取得も一段落なので振り返ってみます。
IPAの2016年4月の情報セキュリティマネジメントが初の資格取得で、それまでは取ろうとも思っていませんでした。(というか試験勉強をしたくなかった)
- 何故資格を取るの
・会社が資格を取れとうるさくなったから。また少しは評価につながるから
・勉強をしたらなんだか時間を有意義に過ごした気分になる
・試験ごとに体系的にまとまっており、身に付けるにあたって効率がよい
・資格取得は目標や成果として設定しやすい
・技術的な経験、強みが浅いので自信が欲しい
・名刺やlinkedinを彩ってドヤりたい
・少しでも転職に有利になればいいな
- 実際どう?
・情報処理安全確保支援士に合格してから、会社がCISSP、GIACの高額なトレーニング費用を出してくれた
・社内でスペシャリストとして認知されるようになった
・名刺交換時、たまにすごいですね!と言われる(主にCISSP)
・アラフォーでも人材紹介会社以外の企業からそれなりにスカウトをもらえる
・転職では決定打にはならない。チャンスは増えるけど、面接以降はあまり関係ない気がする
(自分が採用側でも資格があるからといって決定打にしない)
・わかりやすい成果を出せるし新しい知識も得られるので勉強が習慣になり、半分趣味になった
・頑張って合格すると嬉しい
・大作RPGはクリアまで100時間は掛かるけど、150時間も勉強すればそれなりに試験に受かる。ゲームクリアより資格取得のほうが有意義に思う
・知識が増えることで自分の判断に自信が付いた。勲章みたいなもの
- 勉強方法
・問題演習中心。参考書は辞書代わり。
・分からないところがあってもとりあえず最後まで進める。で、何度も繰り返す
・毎日少しでも続けて習慣にする
・試験日を設定し、プレッシャーを掛ける
- 資格を取得しての感想
・情報セキュリティマネジメント
第1回で受験。簡単でしたが良問だと感じました。90%近い合格率には閉口しましたが、最近はそこまで高くない様子。事務職の方でも勉強すれば受かっています
・情報処理安全確保支援士
こちらも第1回で受験。なんとなく敷居が高い印象がありましたが、周囲ではIPA高度の中でも最も受かりやすい試験として、セキュリティ経験が全くない3年目くらいの若手が複数名合格しています。なのでブランド力はほとんどないと個人的に感じます。(セキュリティ経験があまりないのに取れていた人はみんな応用情報技術者を持っており、応用の方が難しかったと口々に)午前1はネットワーク、セキュリティ系以外暗記だけで乗り切りました。半分以上過去問の使い回しなので、簡単な計算問題すら暗記です。午前2はセキュリティの仕事をしていれば難しくないです。やったことは過去問道場を回しただけです。午後問題は問題演習に時間がかかるので、過去問解説の本を問題を解かずに読み込んだこと、人気のポケスタでIPAが求める回答を身に付けました。それでOKかは経験に依存してしまいますが。金銭的な事情から登録はしていません
・CISSP
問題集中心で勉強しましたがあまり役に立った気がせず。試験中も全くできた気がせず、今でも何故受かったかよくわかりません。取りたいという人が多く、ブランド力は高い。合格してから1年半経ちますが、結局どういう知識が付いたのだっけ(薄く広くはついたっぽいけど)と思う。ISC2のセミナーで色々な企業のCISSPと話せる機会があるのはよいと思います。ユーザー企業相手に適当なことをいうベンダの人もたまにいますが、名刺にCISSPが書いてあると多少は牽制になるかも。
・CISA
内部/外部監査に見られてもよいように、コントロールを有効にするためには、という視点で仕事ができるようにもなると思います。ISACA東京支部のセミナーにはコロナ禍や内容に興味があまり持てないのもあり出ていません。CISMもですが、情報処理安全確保支援士程度の知識があれば問題集だけでも繰り返せば合格するかもと思います。
・GIAC(GCIH)
本を読むだけではなく手を動かすことの重要性が分かります。SEC504受講後は自宅でも仮想環境で要演習。英語ができれば問題自体は素直なので難しさは減る。ペネトレーションテストで使うツールやインシデント対応についての基本的な内容が範囲だと思います。セキュリティベンダの人は1年目でも取っています。
・CISM
勉強方法はCISAと同じです。経営や事業部サイドと話す際のヒント、セキュリティ分野のマネージャーとしての行動規範?を得られました。自信があったのにギリギリの合格で納得いっていません。
- 個人的な合格ハードル
- 仕事に役に立った順
また何か思い浮かんだら追記します。
CISM試験に合格しました
試験の話ばかりですがCISM(Certified Information Security Manager)認定をいただきました。
2020年7月18日に試験(予備合格?)、28日に合格確定、即日申請して8月5日に承認(approved)、8月7日に認定です。
試験の概要や勉強した内容など記載します。受験される方の参考になれば幸いです。
- CISM概要
詳細は下記のリンクのほうが詳しいです。
https://www.isaca.gr.jp/cism/
http://www.nekodasuke.jp/cism/
グローバルでは?おそらくCISSPやCISAの次くらいには有名で、稼げるIT資格の上位常連です。2020年はCISSPを抑えて年収14万ドル稼げる?そうです。
…が、CISMを取れば14万ドルってわけではなく、14万ドル稼げるような管理職の方がCISMを持っている、と考えたほうがよいです。
(そこまで難しいわけではないAWSソリューションアーキテクトアソシエイトはもっと高いので)
勉強すると、企業のセキュリティに関する部署の管理職が行うべき行動が身につく感じです。ただ堅牢な情報セキュリティを達成するのではいいというものではなく、企業の目標に整合するセキュリティを達成していくために必要なことをマネージャーとして実践することがメインテーマだと理解しています。そういう業務を担当するのであれば役に立つと思います。
- 受験のきっかけ
今回は会社命令ではなく、完全自腹です。合格後の報奨金すらありません。マネージャーとしての考え方を身に着けたいということと、大手監査法人のシニアセキュリティコンサルタントは大抵CISSP、CISA、CISMをセットで持っている印象があったので、CISSPとCISAだけではなんとなくちょっと足りないかな?と思ったためです。
ベンダやコンサルだと昇格要件やら報奨金やらがあるのだと思いますが、私の場合は趣味みたいなものです。
- 勉強時間
2ヶ月程度です。毎日2時間~3時間程度はスキマ時間を見つけて勉強しました。
CISSPとCISAを持っているのであれば試験範囲の多くをカバーしているはずですが不安でしたので。
- 勉強素材
CISAのときと同様、95%はISACA公式のCISMサンプル問題集です。
(2020年8月現在でも2017年くらいに発行された9版が最新)
CISM試験レビューコースも受けましたが、勉強も終盤でしたので大体のことは理解していました。特に参考になったのは、CISSP・CISAで勉強しても苦手だったBCP関係(RPOとかRTOとかAIWとか)の資料です。
オンラインになったためか自費でも受けやすい価格です。
勉強開始時に受けられていたらもっと役に立っただろうなぁと。
- 勉強方法
これもCISAのときと同じです。CISMサンプル問題集をスキャンやらOCRやらマクロやら駆使してankiに取り込み、ひたすら問題を解きまくりました。
20回近く間違えても理解しきれない問題もありましたが、毎日のノルマは土日であっても消化しました。5000回程度問題を解いたようです。
後述しますが私の得点がアレなので、効果的ではないかもしれませんが…。答えを覚えるだけではだめで、それぞれの選択肢の正解、不正解の理由を理解する必要があると思います。意味不明な理解しにくい文章を度々目にしますが、そういう問題は印でも付けて後回しにすることをおすすめします。なお、サンプル問題集は過去問ではなくあくまで練習問題です。似た問題は出ないと思ったほうがよいです。あくまで知識や考え方を身につけるための道具です。
レビューコースについては配布資料を流し読みで復習しました。
- 試験当日
CISAのときと同様、 東銀座の歌舞伎座タワーです。駅直結ですし、試験環境もよいですし。受付の方に言えば耳栓を貰えます。
問題については例によって書けませんが、サンプル問題集と同じ問題はありませんでした。サンプル問題集にはないIoTやらクラウドやらの話も出てきますのでそれらの基本的なセキュリティ対策は知っておくべきです。
50問解いてトイレ休憩&給水を繰り返し、3時間ほどで一通り終了。微妙だった問題に付けたフラグは15個ほどで、20分ほど掛けて見直し試験を終わらせました。正直、解いていてサクサク進められており、50問解いたくらいでこれは受かるだろうな、と余裕がありました。むしろ落ちたら改善点が分からないくらいには自信を持っていたほどです。
めんどくさいアンケートにヤキモキしつつ、結果表示。案の定合格でした。
ちなみに、日本語のクオリティは問題集より良好でわかりやすかったと思います。言葉が足りなくてよくわからない、ってのもあった気がしますが、それは英語版でも同じだと思うようにしました。
- 予備判定合格後
トータルで600点後半くらい取れているのではないか?と、だいぶ余裕をカマしつつ、10日後に正式なスコアがメールで送られてきました。
英文読むのは後回しでとりあえず数字を拾おうと思っても、1段落目では450という数字しか見当たりません。450が合格の最低スコアってのは分かっているけど自分のスコアは?と若干戸惑い、英文を読んでみたら私の得点はまさかの450点で合格ギリギリでした。
スケールドスコアなので諸々の調整もあるのだと思いますが、それにしても合格最低点とは…。ということで全く受かった気がしていませんしCISMとしての自信もありません。
ちなみにスコアは下記のような感じです。
-----
Your Total Scaled Score is 450.00
Information Security Governance 400ちょい
Information Risk Management and Compliance 600くらい
Information Security Program Development and Management 300後半
Information Security Incident Management 600くらい
-----
セキュリティガバナンスは苦手でしたが頑張ったのに。そしてセキュリティプログラムはむしろ得意だったのに400以下だなんて…。
経歴を申請し無事に認定していただきましたがモヤモヤしか残っていません。合格は合格なのですが…。ということで勉強方法も合っていたのかどうか?1問でも間違えたら不合格だったということですので運が良かったのでしょう。この選択肢しかあり得ないと自信を持って答えたあの問題はどうだったのか、私に知る術はありません。
自分の素としての判断ではこの選択肢だけど、CISM的にはこれしかないよなー、という方針で解いていましたが間違いだったのか…いやでもこの解き方は米国資格試験の基本ではないかなどとまだ引きずっています。
- 振り返りと今後
当初は3ヶ月の勉強期間を予定していましたが、CISAのときの経験からダレるかなと思い2ヶ月にしました。1ヶ月は大きいので短縮できたのは良かったです。モヤモヤは残りますが、この振り返りを書くことでだんだん昇華できてきたので良しとします。ankiを使った勉強方法自体は間違っていないと思いたい。
毎日のノルマで解くサンプル問題集については、最終的には9割以上の正解率でした。
SG、SC、CISSP、CISA、GCIHに続いて6つ目の資格ということで、もうセキュリティの資格はいいでしょう、と思っていたのですが徳丸本2版がおまけで付くということでついつい徳丸基礎試験に申し込んでしまったり、業務でAWSを触らなくてはいけなくなったのでソリューションアーキテクトアソシエイトをざっくり勉強しつつ、要点整理から攻略する『AWS認定 セキュリティ-専門知識』を買ってみたり、試験合格という目標とプレッシャーが勉強のモチベーションになっているのでまだ受けるのだと思います。あ、Twitterの広告で毎日必ず出てくるOSCPも気になっているんだよなぁ、持っているとかっこいいよなぁ…。
以上です。
GCIH試験に合格しました
半年ぶりの更新になりますが、GIAC Certified Incident Handler (GCIH)に合格しました。
認定証も届いてやっと振り返る気になったので、例によって酔っ払って散らかっていますが少しでも参考になる方がいればと思い記事を書きます。
- GIAC GCIHとSEC504概要
いきなり手抜きですが、下記が詳しいです。
・GIAC概要
https://www.sans-japan.jp/giac/index
・GIAC Certified Incident Handler (GCIH)
https://www.giac.org/certification/certified-incident-handler-gcih
また、受験者の殆どは下記のSANSのトレーニングである、「SEC504(Hacker Tools, Techniques, Exploits and Incident Handling)」を受講済みだと思われます。
受講しなくてもGCIHを受験できるが、試験代がSEC504受講者よりも倍くらい高かったような?
トレーニングではテキストが7冊ほど配られますが、試験問題は基本的にその中の要素から出ます。100%その中からしか出ないかというとどうかわかりませんが、少なくともテキストをマスターすれば合格ラインに乗ると思います。
・Hacker Tools, Techniques, Exploits and Incident Handling
https://www.sans-japan.jp/sans_japan_live_online_2020/sec504
Incident Handlerと名がつくとおり、セキュリティインシデント発生時の対応を準備、検知から対応終了後の教訓まで、プロセスごとに身に着けられるものです。
また、SANS的にはペネトレーションテストに分類されたテスト・コースですので、実際に現場でよく使うツールについても語られているのだと思います(ペネトレーションテスト経験なし)
講師はザック先生。実際の経験とともにユーモアを交えつつ日本語堪能で6日間、非常に楽しく受講できました。ハンズオンが多いですが、コマンドラインに抵抗がなければ問題ないはずです。
資格の評価としてはどうなのでしょう?CISSPほどの知名度はありませんが、分かっている会社であればそれなりに評価すると思います。より評価、難易度の高いものがGPEN、GCFA、GREM、GWAPTあたりでしょうか。あとはOSCPなど。
redditにセキュリティ資格の難易度表がありましたが、CISSPとOSCPは高めで、GCIHは中くらいの難易度です。
https://i.redd.it/yo33xlys53141.png
- 受験のきっかけ
会社命令です。試験問題が苦手な英語でしたので気が進みませんでしたが…。トレーニング代金、受験料ともに会社が出してくれたものの、万が一不合格だった場合は自費で再受験しなければならない($799!!)ため、必死になりました。
- 勉強時間
トレーニングの受講後、基本的に4ヶ月以内に試験を受ける必要があります。(延長費用を払えば延長可)カウントはしていませんが、前述の通り必死でしたので一日平均2~3時間は勉強していたと思います。
これも個人のバックグラウンドに大きく依存するかと思います。ペネトレーションテストの経験があればそんなに必要ではないかもしれません。
-
勉強素材
私が使ったのはトレーニングで配られたテキストのみです。というか受験当時、試験に特化したものはそれくらいしかありませんでした。2020年8月以降に市販のものが出るようですが、無論英語で書かれています。(あるに越したことはないと思いますが、トレーニングのテキストだけでも大丈夫だと思います)
「GCIH」で検索すると怪しい有料の問題集が山程出てきますが、信頼できるものではありません。サンプル問題を見ても問題が古すぎるし(WinXPが出てくることも)、解説もなければ解答が合っている保証もなく、実際の試験にはない複数の答えを選ばせるような問題もありますので惑わされないように。
トレーニング前に予習したい方は、ハッキングラボやインシデントレスポンス第3版、サイバーセキュリティテスト完全ガイドが参考になると思います。
- 試験の特徴
・問題文、選択肢ともに全て英語
・紙媒体持ち込み可(自作の資料や英和辞書。模擬試験のプリントアウトはNG)
・4時間で106問に解答。
・CISSPやCISAと違い、一度解答したら戻れない。スキップして後から解答は15問程度可能だったと覚えています。
・試験時間にカウントされない休憩が15分程度、1度だけ取得可能。ただしスキップした問題は解答しておく必要がある。試験時間にカウントされる休憩はいつでも取れる模様。(私は取っていませんが、試験監督に聞く限りそのようでした)
・ラボ問題(Cyberlive Testing)が10問程度(ブラウザ内で実際にGUI、CUIの操作をする必要がある)
・4択。ラボ問題はそれ以上から一つ選択
・72%以上の得点率で合格
・CISSP、CISAと同じくその場で合格判定
- 私の勉強方法
3種類ほど実践しました。
- オリジナルインデックス作成
国内、海外問わず皆さんが実践されていると思います。
テキスト内から重要語句を拾いまくり、インデックスを作成、テキストにタグを付けるなどしました。giac pancakesなどのワードで検索すると、どんな感じかわかります。問題を解いている際に、わからない単語に出会ったらすぐに7冊のテキスト調べられるよう工夫しました。ラボ問題に備え、重要なコマンドラインについてもまとめました。自分がやりやすいように作ると良いかと思います。このインデックス作成も勉強のうちになります。
6冊目のテキストにもインデックスがある場合がありますが、正直使いにくかったです。(一つの単語に複数のページが割り当てられているなど) - テキストを読みまくる
とにかくテキストを読みまくりました。10周近く読んだと思います。テキストは上半分がパワポ資料、下半分が英語での解説になりますが、スマホのAR翻訳も活用するなど英語部分についてもしっかり吸収しました。 - ラボ問題で手を動かす
去年くらいから4択問題だけでなく、ブラウザ上の仮想OSで実際に操作が必要なCyberliveという問題が新設されました。nmapやnetcat、John the Ripper、WindowsやLinuxの標準コマンドを駆使してお題を解く必要があります。その対策のためにもラボ問題をテキストに従って、自宅でも仮想環境を使って手を動かしました。頻出、重要コマンドはプリントして試験に持っていくのも良いと思います。
- 模擬試験
試験に申し込むと、2回の模擬試験を自宅PCから受験できます。形式は本番同様です。追加費用を支払えば2回以上受験できますが、私はやりませんでした。
もったいぶらずに一通りテキスト、ラボ問題を復習したら受験すればよいかと思います。それで今後の対策の立て方も変わってくると思いますので。
私はトレーニング終了後、2ヶ月してやっと受験しましたが、もっと早く受験しておけばよかったと思いました。
個人の感想ですが、本番の問題は模擬試験よりも難しかったように思います。
模擬試験のスコアは、勉強開始から2ヶ月後の1回目で64%、3ヶ月後の2回めで71%といずれも合格ラインに達せず、焦りました。しかし本番では88%と、90%以上のAdvisory Board招待には届かないものの合格ラインを余裕で超えるスコアでした。
- 試験当日
試験会場はPearson VUEになります。私は新宿会場で受験しました。休憩中は食事もできますので、チョコやラムネ、栄養ドリンクなどを持ち込みました。
試験問題については例によって具体的なものは書けませんが、個人的には前述の通り、模擬試験より難しかったような気がします(スコアは模擬試験より良かったですが)。
逐一、自作のインデックスを用いテキストを調べていたので、時間は足りなかったと言って良いです。何より英語が得意ではない私にとってはやっぱり英語がきつい。(受験者は口々にどちらかといえば英語の試験、と言っています)英和辞書が大活躍しました。
英語が得意な方なら難易度は一つ落ちると思います。CISSPのように捻った問題は少なく、ストレートな問題が多かったように思います。
3時間経過したくらいでやっと休憩、糖分を補給し、15分待たずに再開。
ラボ問題も緊張から手が震えtypoしまくり散々な感じで手応えらしい手応えもなく、ああ10万円自腹かと思い、タイムリミット間近で解答終了。
合格していただけでなく目を疑うハイスコアで合格していました。
- 合格後
試験終了と同時に登録したメールアドレスにも合格通知が届いていました。CISSPやCISAと違い、認定に審査はいりませんので認定書の注文のみで手続き終了。数週間後にやっと認定書が届きました。思いの外ペラペラな認定証…。
- 振り返りと今後
問題集がないので、勉強しにくいことこの上ありませんでした。一方、実際にコマンドを叩いて勉強できたので受験してよかったなと。インシデント発生時も自身を持って対応できそうです。バッファオーバーフローやルートキットは難しかった…。
そして圧倒的に足りない英語力。英語の試験なんて二度と受けたくないと思ったくらい。現在はCISM勉強中でこれはこれでGCIHと別の脳みそを使っていますが、CISM合格後は今度こそセキュリティ資格の勉強は打ち止めにし、英語の勉強に本腰を入れたい次第。
(GCFAやGWAPTなど気になる資格もありますが)
以上です。加筆修正はあるかもしれません。
CISA試験に合格しました
ほぼ1年ぶりの更新になりますが、表題のとおりCISAに合格しました。
きっかけから合格までを書いていきます。
きっかけから合格までを書いていきます。
・受験のきっかけ
2018年にCISSPに合格し、19年5月ころからそろそろ次の資格勉強でもするかーと思い始めました。
CISSPのときと同様、高くてもいいからトレーニングに行ってこいということで、SANSのSEC504に行けることになりました。ではGIAC(GCIH)の勉強でも始めるかと思ったものの、試験対策本が英語ですら売られていません。また社内都合によりSANSに行けるのも11月下旬に延期となったのもあり、4ヶ月近く勉強しないのはもったいないな、ちょうど内部監査対応もやってたしCISAにするかーと。合格体験記などを探すと、問題集だけで受かるようで時間を潰すにはちょうどいいかなと思ったことがきっかけです。
2018年にCISSPに合格し、19年5月ころからそろそろ次の資格勉強でもするかーと思い始めました。
CISSPのときと同様、高くてもいいからトレーニングに行ってこいということで、SANSのSEC504に行けることになりました。ではGIAC(GCIH)の勉強でも始めるかと思ったものの、試験対策本が英語ですら売られていません。また社内都合によりSANSに行けるのも11月下旬に延期となったのもあり、4ヶ月近く勉強しないのはもったいないな、ちょうど内部監査対応もやってたしCISAにするかーと。合格体験記などを探すと、問題集だけで受かるようで時間を潰すにはちょうどいいかなと思ったことがきっかけです。
・CISAについて
詳細の説明はhttp://www.isaca.gr.jp/cisa/にあるとおりです。ただ、「監査」がついているからといって監査に特化した内容ではなく、有効なITガバナンスだとか、どういう開発、運用プロセスにリスクが存在するかとか、ITリスクへの対策とかITリスク全般に対してどのように対策していくか、ということに重きをおいているように思います。サイバーセキュリティに特化という感じではありませんが、ユーザー企業のセキュリティ担当であれば開発や運用周りも見ることがあると思いますので損しない知識が身につくと思います。
詳細の説明はhttp://www.isaca.gr.jp/cisa/にあるとおりです。ただ、「監査」がついているからといって監査に特化した内容ではなく、有効なITガバナンスだとか、どういう開発、運用プロセスにリスクが存在するかとか、ITリスクへの対策とかITリスク全般に対してどのように対策していくか、ということに重きをおいているように思います。サイバーセキュリティに特化という感じではありませんが、ユーザー企業のセキュリティ担当であれば開発や運用周りも見ることがあると思いますので損しない知識が身につくと思います。
・勉強時間
CISSP、情報処理安全確保支援士に合格済という前提で8月~11月中旬の間、合計で150時間ほどは費やしたように思います。CISSPとはBC/DRや開発、運用、情報資産の保護あたりが被っており、試験範囲の3割位は勉強済みだったように感じました。一方、監査やITガバナンス、ソフトウェア導入あたりは私にとって新しい分野だったので力を入れました。監査経験は内部統制対応を監査側で1年ほど、監査を受ける側で数回、といった具合で、そんなに豊富な経験はありません。(自分の監査経験が試験合格に役立ったと思えない)
CISSP、情報処理安全確保支援士に合格済という前提で8月~11月中旬の間、合計で150時間ほどは費やしたように思います。CISSPとはBC/DRや開発、運用、情報資産の保護あたりが被っており、試験範囲の3割位は勉強済みだったように感じました。一方、監査やITガバナンス、ソフトウェア導入あたりは私にとって新しい分野だったので力を入れました。監査経験は内部統制対応を監査側で1年ほど、監査を受ける側で数回、といった具合で、そんなに豊富な経験はありません。(自分の監査経験が試験合格に役立ったと思えない)
・勉強素材
2019年7月に発売したCISAの公式サンプル問題集が90%、残り10%未満が公式レビューマニュアルやインターネット検索です。
公式サンプル問題集は非常に良くできており、各選択肢についてなぜ正解or間違いかのわかりやすい解説がついています。(一部意味不なものもありましたが)掲載されている問題もただ知っているだけで解けるものではなく、「最も重要なものはどれか」「最も適したものはどれか」のような選択肢を比較して検討する問題が多く、CISAとして考える力を養うのにとても有効なように思いました。CISAというかアメリカっぽい考え方?が身につくので、CISSP試験に対しても効果的だと思います。(CISSP試験の前にこの問題集をやっておけばもっと多く正解できたかもなと思いました)
公式レビューマニュアルは他の方も書いているとおり構成も文章も読みにくすぎて、私の精神力では通読できませんでした。分からない用語などの辞書代わりには使えると思います。また、詳しい解説付きの練習問題がトータルで50問以上付いていたり用語集も付いていて知識の棚卸しにも使えるには使えます。
2019年7月に発売したCISAの公式サンプル問題集が90%、残り10%未満が公式レビューマニュアルやインターネット検索です。
公式サンプル問題集は非常に良くできており、各選択肢についてなぜ正解or間違いかのわかりやすい解説がついています。(一部意味不なものもありましたが)掲載されている問題もただ知っているだけで解けるものではなく、「最も重要なものはどれか」「最も適したものはどれか」のような選択肢を比較して検討する問題が多く、CISAとして考える力を養うのにとても有効なように思いました。CISAというかアメリカっぽい考え方?が身につくので、CISSP試験に対しても効果的だと思います。(CISSP試験の前にこの問題集をやっておけばもっと多く正解できたかもなと思いました)
公式レビューマニュアルは他の方も書いているとおり構成も文章も読みにくすぎて、私の精神力では通読できませんでした。分からない用語などの辞書代わりには使えると思います。また、詳しい解説付きの練習問題がトータルで50問以上付いていたり用語集も付いていて知識の棚卸しにも使えるには使えます。
・勉強方法
CISSPのページでも記載した「anki」を用い、スキマ時間をフル活用し徹底的に問題集を吸収しました。
7000問ほど解いたようです。1000問の問題集を7周ということではなく、簡単な問題は3回未満、なかなか理解できなかった問題は15回以上など、紙の問題集を周回するより効果的な勉強ができたと思っています。
CISSPのページでも記載した「anki」を用い、スキマ時間をフル活用し徹底的に問題集を吸収しました。
7000問ほど解いたようです。1000問の問題集を7周ということではなく、簡単な問題は3回未満、なかなか理解できなかった問題は15回以上など、紙の問題集を周回するより効果的な勉強ができたと思っています。
ankiへの取り込みについては簡単に書くと下記みたいな感じです。丸2日掛かったような…。
1 問題集を自炊(背表紙を裁断&スキャナでjpg取り込み)
2 OCRを使い文字列として取り込み
→e.Typist Oneは30日ライセンスを500円で購入でき、取り込み精度もかなり高く満足
3 マクロや手動で頑張ってCSVにし、anki取り込み
1 問題集を自炊(背表紙を裁断&スキャナでjpg取り込み)
2 OCRを使い文字列として取り込み
→e.Typist Oneは30日ライセンスを500円で購入でき、取り込み精度もかなり高く満足
3 マクロや手動で頑張ってCSVにし、anki取り込み
今回の合格もankiなしでは考えられなかったので、そのうち受けるCISMでも同じことをやるつもりです。
GCIHは有効な問題集が無いのでこういう勉強の仕方はできなさそう。
GCIHは有効な問題集が無いのでこういう勉強の仕方はできなさそう。
・試験当日
会場は東銀座の歌舞伎座タワーでした。きれいな会場で土曜日にも関わらず両隣を空けてもらえて集中できました。受付の方に言えば耳栓ももらえます。
実際の問題がどのようなものであったかは例によって書けませんが、問題集そのままのものはなかったように思います。また、問題集のものよりも現実に即していたような気もします。問題集とどちらが難しいかについてですが、同じくらいな印象です。解いていて絶望しか感じず、落ちたときの言い訳ばかり考えていたCISSPより明らかに簡単でした。
50問毎に給水・トイレ休憩をとり、3時間で一通り回答、2~30問にチェックが付いていたので40分ほどかけて見直し。多分受かるはず…とは思いつつもドキドキしつつ終了。早く結果見せろ!と思いつつアンケートに回答してから結果画面。あなたは試験合格しました、予備調査云々の表示が出ました。
会場は東銀座の歌舞伎座タワーでした。きれいな会場で土曜日にも関わらず両隣を空けてもらえて集中できました。受付の方に言えば耳栓ももらえます。
実際の問題がどのようなものであったかは例によって書けませんが、問題集そのままのものはなかったように思います。また、問題集のものよりも現実に即していたような気もします。問題集とどちらが難しいかについてですが、同じくらいな印象です。解いていて絶望しか感じず、落ちたときの言い訳ばかり考えていたCISSPより明らかに簡単でした。
50問毎に給水・トイレ休憩をとり、3時間で一通り回答、2~30問にチェックが付いていたので40分ほどかけて見直し。多分受かるはず…とは思いつつもドキドキしつつ終了。早く結果見せろ!と思いつつアンケートに回答してから結果画面。あなたは試験合格しました、予備調査云々の表示が出ました。
・合格後
CISSPのときと違って合格したことを示す紙はもらえません。あれ、本当に受かってたよな?とも思いつつ、11日後に「CISA Exam Result Notification」メールが届き、PASSEDの文字列を確認しました。
得点については下記みたいな感じです。(ぼかしています)
得点については下記みたいな感じです。(ぼかしています)
トータルスコアは5つのドメインの平均でもないしどういう基準なのでしょうか…。監査分野はわりと得意に思っていたはずが、合格ラインを下回る具合。CISSPのときから苦手意識のあったシステム調達については高得点、もっとも得意に思っていた情報資産の保護は下位…と手応えと違うなぁという感想。600点くらいはいったかな?と思っていましたが500点台前半でした。
それはともかく合格は合格です。まぁそれなりにはできていたということでスッキリしたので、CISSPも点数表示してほしかったなぁ。CISSPはホントあの手応えで何故受かったか分からない。
それはともかく合格は合格です。まぁそれなりにはできていたということでスッキリしたので、CISSPも点数表示してほしかったなぁ。CISSPはホントあの手応えで何故受かったか分からない。
・振り返り
土日も含め毎日勉強したサンプル問題集は、最終的に95%くらいの正答率だったと思います。それでも本番の試験はどんな問題が出るかわからなかったのでやはり緊張しました。でもCISSPのときほど根を詰めて勉強せずとも合格できたのはよかったなと。また、サンプル問題集の正答率が上がってきてからは割と気持ちもだれてしまったのであと1ヶ月勉強期間を短縮しても合格ラインは乗ったかな?とも思います。
また、身につけた知識を何度も業務で活かせる機会があったのも勉強してよかったなと。
土日も含め毎日勉強したサンプル問題集は、最終的に95%くらいの正答率だったと思います。それでも本番の試験はどんな問題が出るかわからなかったのでやはり緊張しました。でもCISSPのときほど根を詰めて勉強せずとも合格できたのはよかったなと。また、サンプル問題集の正答率が上がってきてからは割と気持ちもだれてしまったのであと1ヶ月勉強期間を短縮しても合格ラインは乗ったかな?とも思います。
また、身につけた知識を何度も業務で活かせる機会があったのも勉強してよかったなと。
・今後
例によって申請手続きと年会費の支払いをしなければなりません…。それを片付けてからはトレーニングを受けていたGCIHを年度内合格を目指し勉強です。GCIHは実技も増えたし、CISAよりも頑張らないとだめだろうなぁ…。
GCIHが終わり、来年度になったらCISMを同じような方法で取ろうと思います。CISAとCISMはセットの印象が漠然とあり、片手落ち感があるので。
例によって申請手続きと年会費の支払いをしなければなりません…。それを片付けてからはトレーニングを受けていたGCIHを年度内合格を目指し勉強です。GCIHは実技も増えたし、CISAよりも頑張らないとだめだろうなぁ…。
GCIHが終わり、来年度になったらCISMを同じような方法で取ろうと思います。CISAとCISMはセットの印象が漠然とあり、片手落ち感があるので。
以上、なぐり書きな感じなので後日見直して修正することもあるかもしれません。
これから受験しようというかたに、少しでも参考になればと思います。
CISSPのときと同様、日本語で書かれた合格体験記については検索しまくって参考にさせていただきました。anki同様、他の方の合格体験記なしでは一発合格とはならなかったと思います。ありがとうございました。
これから受験しようというかたに、少しでも参考になればと思います。
CISSPのときと同様、日本語で書かれた合格体験記については検索しまくって参考にさせていただきました。anki同様、他の方の合格体験記なしでは一発合格とはならなかったと思います。ありがとうございました。
CISSP試験に合格しました
2018年12月、CISSP試験に合格しました。
受験の切っ掛けや勉強法などなど、つらつらと備忘録的に記載します。眠気+酔っ払いながら推敲もせずに書きたいだけ書いたので、文体が安定していませんがご容赦いただければ。
※12月28日にドメインガイドブックのことを12月の実施事項に追記
- 勉強時間
必要な勉強時間は当然ながら、受験者の経験によって全く異なる。無勉で受かったという人も知人にいるので。私はIDSログ解析、インシデント対応、脆弱性診断、脆弱性ハンドリング、内部統制、サービス構築、アカウント管理など経験。あまり時間計測はしませんでしたが、200~300時間は勉強したと思う。なお、NRIセキュアのオフィシャルCBKトレーニング受講済み。
- CISSPを知った切っ掛け
一昔は前になりますが、その頃から漠然となかなか取れない資格、ということだけは印象にあった。ホルダーもデキる人が多かった印象。そして例の黄色本を読破したツワモノ、あるいは会社から支援してもらった人だと思っていた。そこまで勉強して資格を取らんでも…くらいには思い、受けようとは思っていなかった。
- 受験の切っ掛け
会社が資格資格うるさくなり、2016年5月に情報セキュリティマネジメント合格、2017年6月に情報処理安全確保支援士合格(別記事参照)してからじゃあ次は何取るかと。CISSP合格者のブログなどを見ると、トレーニングに行かなくても、黄色本を読まなくてもいけるらしいということを知り、Conrad本を購入。Kindleを買い通勤中に頑張って読もうとするも、英語の壁からすぐに挫折。
とはいえ資格は取り続けろと会社が言うのでIPAのネスペかなーと思い1万円くらいかけて参考書を集めるが深いところまで興味はなかったのでやはり進まない。
そんな時、会社から高くてもいいから何か有償の研修行っこい、ってことでじゃあCISSPのトレーニングにするか、と。費用出してもらうからには落ちられないのでしっかり勉強するかと決意したのが2018年5月です。追い込みモードに入ったのが9月中旬、10月にトレーニングを受け、12月に受験、という流れです。
- 勉強編
2018年5月~6月
使用教材
・Eric Conrad CISSP Study Guide
・Eric Conrad CISSP Study Guide Eleventh Hour
挫折したConrad本に再挑戦。昨年購入したConrad本の更に要点をまとめたバージョンである「Eleventh Hour」を購入。通勤中や昼休み中にKindleでわからない単語は調べつつ頑張って読む。眠気と戦いながらも読み終え、何となく全体像を把握したつもり。もうちょっと詳細を把握するかとConrad本に再挑戦。同じく通勤中にダラダラ読む。とりあえず6月中に読み終えるが、同じく全体を何となく把握した程度。1回読んだだけではこんなものかもしれないけど、自信はあまりつかず。会社にて無事に10月実施分のNRIセキュアのCISSP CBKトレーニングの申込み完了。 なお、Eleventh Hourはこの界隈で非常に評価が高いです。
CISSP Study Guide (English Edition)
- 作者: Eric Conrad,Seth Misenar,Joshua Feldman
- 出版社/メーカー: Syngress
- 発売日: 2015/12/08
- メディア: Kindle版
- この商品を含むブログを見る
Eleventh Hour CISSP®, Third Edition: Study Guide
- 作者: Eric Conrad,Seth Misenar,Joshua Feldman
- 出版社/メーカー: Syngress
- 発売日: 2016/09/23
- メディア: ペーパーバック
- この商品を含むブログを見る
2018年7月~8月
使用教材
・ALL-IN-ONE CISSP認定試験 学習参考書 第5版
・CISSP Practice Questions Exam Cram 4th
やっぱり日本語で読みたいと思い、 Amazonでも買える日本語版のAIOを購入。10ドメイン時代の本で2010年2月が初版の模様。(日本語訳版は2014年リリース)
Kindleで読めるし、古いと言っても黄色本より5年は新しいので読む価値はあると思い、先月と同じく通勤中、昼休み中に通読。が、やはり読んでいて眠さはある。11月以降、辞書的に使うには非常に便利でしたが。Kindleだから厚さは感じないけど、原著は1200ページ超えのもので、1回読み切るのに1ヶ月はかかった。何となくこんな感じなんだなーとその場では分かるけど、長い分忘れるのも早かったと思う。参考書の通読は時間の割には効果は薄いということに気づく。
ということでアウトプットせねばとExam Cramに取り組む。こちらは2016年発行の第4版。2018年に5版が出ているみたいですが、Amazonでは常に品切れで本当に出たのかは不明。こちらも英語は頑張りつつKindleで1ヶ月掛けて解く。現時点(2018年12月)ではあまり覚えていないのですが、参考書の通読よりよっぽど基礎力が固まった気がします。
【発刊記念キャンペーン価格】ALL-IN-ONE CISSP認定試験 学習参考書 第5版 ?情報セキュリティプロフェッショナルのための総合事典?
- 作者: ション・ハリス
- 出版社/メーカー: 株式会社インフォクラスター
- 発売日: 2014/02/02
- メディア: Kindle版
- この商品を含むブログを見る
CISSP Practice Questions Exam Cram: CISSP Pract Quest Exam Cram_4 (English Edition)
- 作者: Michael Gregg
- 出版社/メーカー: Pearson IT Certification
- 発売日: 2016/06/27
- メディア: Kindle版
- この商品を含むブログを見る
2018年9月
使用教材
・CISSP Official (ISC)2 Practice Tests
・anki mobile
Exam Cramは一通り解き、どうせ本格的に勉強するなら2018年最新バージョンの書籍がよいと思ったこと、基礎力はついたのではないかと思ったことから、これまた各所で勧められている2018年版のSYBEX Practice Testsで勉強。この勉強をするにあたり、スマホのフラッシュカードアプリである anki mobileを試験直前まで使った。
その使い方について簡単に記載します。Practice Testsは書籍を購入すればオンラインで勉強可能。そこでオンラインから問題をコピーし、そのコピーしたテキストを置換など駆使し整形。さらにGoogleのテキスト翻訳で一気に日本語化。その後はPCのマクロを使いanki mobileに読み込ませるCSVをひたすら作成し、PC版ankiに読み込ませ、スマホ版ankiに読み込ませるファイルを作る、という具合。ankiの長所はググると色々出てきますが、早い話スマホで使える単語帳。機能は色々あり、完全に理解した問題は今後出てこないようにしたり、間違えた問題、理解度が微妙な問題は数日後に再度出てくるようにしたりすることが可能。11月以降はSYBEXのStudy Guideの問題集についてもanki化し、試験直前までトータルで100時間近くankiを使用した。通勤中、昼休み、就寝前などなど、スキマ時間を含めフル活用しました。ankiを使った勉強は他の試験でも活用できるので今後も使いたい。iOS版で3000円とやや高価だが、その価値はあると思う。このAnkiを使ってPractice Testの理解を深めました。問題を解くだけでなく、間違いの選択肢がなぜ間違いなのか、というところまで徹底的に暗記・理解。Practice TestにはCISSPにおけるキーワードが詰め込まれているので、試験対策だけでなく自分のセキュリティに関する知識の底上げにも繋がり、大変有益な教材だった。説明がよく分からない箇所は他の書籍を使うか、ネットで検索して理解を深めた。総合問題が500問ほどあるが、それは試験直前の実力判定まで取っておくことにした。
並行し、CISSPトレーニングの3週間くらい前にトレーニング用の書籍が電子版で配られるのでそれを通読。(複製防止のため、非常に使いにくいアプリ利用が必須)。850ページほどだが、こちらも眠くなりつつひたすら通読。分かりやすい面もあるが、図がほぼないこと、ケルベロス認証やらコモンクライテリアやら重要要素と思われる内容が削られており(あったらすみません)この本大丈夫なのかよ…と思うほどカバー範囲が広くないように思えた。最後までこの本についてあまり注力しなかったが、考え方が詳しく書いてあるので試験中にもっと読み込み、理解を深めておけばなぁと思った。
そろそろ試験に申し込もうか…と思い、年末年始はスッキリしたかったので3ヶ月後の12月に試験日を設定。試験日を設定することで自分にプレッシャーを掛けられ、勉強しなければ…ということにもなったし、結果的に晴れやかな気分で年末年始を過ごせることになった。本気で勉強しようと思ったら試験日は先に設定すべきです。(最悪50ドル?払えばリスケもできるので)
CISSP Official (ISC)2 Practice Tests
- 作者: Mike Chapple,David Seidl
- 出版社/メーカー: Sybex
- 発売日: 2018/06/13
- メディア: ペーパーバック
- この商品を含むブログを見る
2018年10月
使用教材
・Practice Test(ankiを利用し継続)
10月の前半から3日間、2日間と分けてCISSP CBKトレーニングを受講。講師はLACの長谷川氏。これまで何度か講演・プレゼンをお聞きしたことがあった。トレーニングの速度は早く、PCを持ち込み説明を聞きながら必死でメモ。豊富な実例の紹介とともに、実際の仕事にも活用できる「CISSP的な考え方」が身につき、セキュリティに対する考え方のレベルが上がったのを実感した。試験対策の話は少なめに感じたが、非常に有益な5日間だった。トレーニング後も自宅にいるときは徹底的に復習しつつ資料作成。試験が始まるまでに2回見直した。実際の試験中も、ああ、あんなこと言ってたっけな~と思うことが数度あり、それを信じて答えを選択。仕事にも試験にも活きて、受講して本当に良かったと思った。
Practice Testについてはankiを用いて継続。
2018年11月
使用教材
・CBKトレーニングの復習
CBKトレーニングについては自作資料の復習。Practice Testも総合問題以外は何度か回したのでOfficial Study Guideの問題集に取り掛かる。こちらもPractice Testと同様にオンラインで勉強可能なので、同様の手段でankiに取り込み学習継続。Practice Testと合わせると合計で2000問以上をAnkiで学習。Google翻訳にはお世話になったが、NOTを省略するなど、しばしばわけわからない翻訳をすることがあるのでそこら辺は注意。Study Guideはカバー範囲も広く、説明も分かりやすいので英語を頑張れるなら辞書的に使うのがおすすめ。そんなにわかりにくい英文ではないけど。
試験まで残り1ヶ月ほどとなり、だんだん気持ちに余裕がなくなっていく。
- 作者: Mike Chapple,James Michael Stewart,Darril Gibson
- 出版社/メーカー: Sybex
- 発売日: 2018/04/11
- メディア: Kindle版
- この商品を含むブログを見る
2018年12月~試験まで
使用教材
・CISSP Official Study Guide & Study Guide
・CBKトレーニングの復習
・ドメインガイドブック
基本的にこれまでと同じ。実力だめしにPractice Testの総合問題を実施。概ね7割~8割は取れていて、安心したようなそうでもないような気分。そんな時に同僚が受かり、焦り始める。
また、暗号、ネットワーク、ソフトウェア開発が苦手分野だったが、暗号とソフトウェア開発についてはふと苦手意識がなくなり、これはいけるかも…と思うようになる。切っ掛けは別に暗号学や開発を求められているわけではなく、決まりきった概念や考え方でしかないことに気づいてからだったかな。
ドメインガイドブックについてはドメインごとの基本的な考え方や、特にキーワードがズラッと並んでいます。キーワードすべての概要やメリデメを説明できるのであれば、合格は近いんじゃないかと思います。知識の棚卸しのため必ず見直すべきです。(もっと早い段階でやっておいてもいいかも。
妻からも試験代は投資だと思って、ダメだったとしてもまた受ければいいじゃないと勇気づけてもらう。そんなこんなで試験へ。
- 試験当日
前日は幸いにもよく眠れて、体調はバッチリ。試験中に摂取するブドウ糖とユンケル、おにぎり、チョコ類を購入。このブドウ糖は効果があったと思われて、休憩の都度摂取したのだけど、試験の終わりまで一定の集中力を保てた。非常におすすめ。
試験会場は有楽町駅近くの帝国ホテルタワー18階。関東の人は皆さんここで受けるでしょう。8時30分より余裕を持って到着。てっきり9時から開始だと思っていたら、もう始められますよと言われる。腕時計や携帯など私物はすべてロッカーに保管。写真撮影や静脈認証の設定をしてもらい、9時40分くらいには試験開始。部屋は最大10人ほどの狭い部屋で、パーテーションで区切られたもの。後ろはガラス張りで監視カメラも各所に配置され、常に職員の方が見張っている感じ。耳栓とヘッドホンを貸してもらえて落ち着ける環境と言える。
試験問題の内容は例によって書けませんが、難しいというか見たこともないような問題が多かった。何を言っているのか、情報が足りなくてよくわからないのも。いや、これ明らかに正解3つあるだろ、とか。おまけに日本語フォントが不審サイトでよく見るような中華フォントっぽいものが使われていることもあり、不安さが増す。あとよくわからない問題については英文の原文確認が必須。判断において重要な単語が省かれて翻訳されていることもあった。
おいおい、こんなのわかんねーよ、あれだけ練習問題を解いたのに今までの勉強は何だったんだよと思いつつ問題を進める。(半分くらい諦めが入っていて、次回受験に向けてどういう勉強をすべきか、周囲になんて負け惜しみを言おうかとすら考えていた)解答ペースは遅めで、100問終わった時点で2時間は経っていた気がする。そこでブドウ糖補給とトイレ休憩、200問終了時点で4時間経過くらい?そこでも再度ブドウ糖補給とトイレ休憩、250問終了時にはあと1時間くらいしかなかったような。見直しのためのユンケル投入。
要見直しフラグは5~60くらい。ちなみに試験問題は250問あり、そのうちの25問は採点対象外のリサーチ問題。合格ラインは70%以上。そこら辺から考えると250問中90問は間違えても達成できる計算になる。(問題ごとに点数が異なるため、一概には言えないが)要見直しフラグははじめから見直す意味がない分けわからない問題には立てず。
解答の内訳としては、自信のある問題、よくわからないけど消去法でこれしかない問題、答えを2つまで絞れて迷った問題、意味不明な問題の4パターンだったか。
全部見直せたとも言えず、残り5分になったので半ば投了の気分で終了。あー、ダメだったかなーと思い受付へ 。
- 合格発表
実は文面を見なくても合格か不合格はネタバレされています。ネタバレなので後述。
そのネタバレ要素から、あれ、これ俺の?もしかしてイケた…?と思いつつ職員さんから渡された紙を読んだら無事に合格。何度か見直し、ガッツポーズというよりは大きな安堵のため息を吐きました。嬉しい気持ちよりもひたすら安堵。ああ、これで安心して年末年始を過ごせる、やりたいことが出来るという気分でした。
- ふりかえり
5月から勉強を始め、本気になって取り組んだのは9月からの約3ヶ月だった。本番の試験問題は個人的にはあまり好きではなかった。IPA の午後問題なんかは実例に即していたりして解いていても勉強になったのだけど。
・効果のあった勉強
やはり問題演習(Practice Test&Study Guide)で知識の底上げができたこと。そしてトレーニングでCISSPとしての考え方が少しでも身についたこと
・イマイチだった勉強
参考書の通読。読むだけじゃ私の頭には定着しなかった。一通りどんなもんか知る程度の読み方でいいと感じた。 分厚い参考書は問題演習をしていて分からない要素を調べる辞書的な存在だと思った
・もっとやっておけばよかった勉強
様々な用語について、長所、短所を理解して似たような用語と比較し考えること。問題演習で知識を積み上げるより、本質的な理解が必要だった
IPAの試験(SG、SC)もよい問題です。過去問があるのでどこまで勉強すればよいか掴みやすいし、5000円程度の受験料なのでそんなに気負わずに受験ができる。一方CISSPは過去問が公開されていないためどこまで勉強すればよいか分からないし、受験料も9万近く掛かってしまうのでプレッシャーがある。その分、IPAの試験の何倍も勉強したし、知識も判断力も向上したと思うので勉強してよかった。合格してしまうと点数がわからないのでモヤモヤしているけど。
- 今後
エンドースメントは知人にやってもらえるので、色々書類作業が待っています。勉強する習慣は身についたけど、しばらく遊ばせていただきます。今後は英語の勉強でもしてTOEICのスコアを上げ、転職市場での自分の価値を上げていきたいと考えています。求人内容を見るとTOEIC○点以上~というのはそれなりに見るので。GIACやCISAを始めセキュリティの資格はまだまだありますが、一区切りにします、多分。
以上、書きたいだけのことを書いた長い文でしたが、少しでも受験者のお役に立てれば幸いです。加筆修正は適宜するかもしれません。
最後に、勉強するにあたって日本語で書かれたWEBで見つかるCISSP合格体験記はほとんど参考にさせていただき、勇気づけてもらいました。一発で合格できたのもそれら体験記のおかげだと思っております。ありがとうございました。
※合格不合格のネタバレ
合格ならプリンターから出てくる紙は「暫定的な合格おめでとうございます」の1枚のみ出てきている。不合格ならその通知が一枚、ドメインごとのスコアが記載されている紙が一枚と計2枚出てきている。合格なら一枚、不合格なら二枚の紙。
