2018年12月、CISSP試験に合格しました。

受験の切っ掛けや勉強法などなど、つらつらと備忘録的に記載します。眠気＋酔っ払いながら推敲もせずに書きたいだけ書いたので、文体が安定していませんがご容赦いただければ。

※12月28日にドメインガイドブックのことを12月の実施事項に追記

 

• 勉強時間

必要な勉強時間は当然ながら、受験者の経験によって全く異なる。無勉で受かったという人も知人にいるので。私はIDSログ解析、インシデント対応、脆弱性診断、脆弱性ハンドリング、内部統制、サービス構築、アカウント管理など経験。あまり時間計測はしませんでしたが、200～300時間は勉強したと思う。なお、NRIセキュアのオフィシャルCBKトレーニング受講済み。

• CISSPを知った切っ掛け

一昔は前になりますが、その頃から漠然となかなか取れない資格、ということだけは印象にあった。ホルダーもデキる人が多かった印象。そして例の黄色本を読破したツワモノ、あるいは会社から支援してもらった人だと思っていた。そこまで勉強して資格を取らんでも…くらいには思い、受けようとは思っていなかった。

 

• 受験の切っ掛け

会社が資格資格うるさくなり、2016年5月に情報セキュリティマネジメント合格、2017年6月に情報処理安全確保支援士合格（別記事参照）してからじゃあ次は何取るかと。CISSP合格者のブログなどを見ると、トレーニングに行かなくても、黄色本を読まなくてもいけるらしいということを知り、Conrad本を購入。Kindleを買い通勤中に頑張って読もうとするも、英語の壁からすぐに挫折。

とはいえ資格は取り続けろと会社が言うのでIPAのネスペかなーと思い1万円くらいかけて参考書を集めるが深いところまで興味はなかったのでやはり進まない。

そんな時、会社から高くてもいいから何か有償の研修行っこい、ってことでじゃあCISSPのトレーニングにするか、と。費用出してもらうからには落ちられないのでしっかり勉強するかと決意したのが2018年5月です。追い込みモードに入ったのが9月中旬、10月にトレーニングを受け、12月に受験、という流れです。

 

• 勉強編

 2018年5月～6月

使用教材

・Eric Conrad　CISSP Study Guide

・Eric Conrad　CISSP Study Guide Eleventh Hour

挫折したConrad本に再挑戦。昨年購入したConrad本の更に要点をまとめたバージョンである「Eleventh Hour」を購入。通勤中や昼休み中にKindleでわからない単語は調べつつ頑張って読む。眠気と戦いながらも読み終え、何となく全体像を把握したつもり。もうちょっと詳細を把握するかとConrad本に再挑戦。同じく通勤中にダラダラ読む。とりあえず6月中に読み終えるが、同じく全体を何となく把握した程度。1回読んだだけではこんなものかもしれないけど、自信はあまりつかず。会社にて無事に10月実施分のNRIセキュアのCISSP CBKトレーニングの申込み完了。 なお、Eleventh Hourはこの界隈で非常に評価が高いです。

 

 

2018年7月～8月

使用教材

・ALL-IN-ONE CISSP認定試験　学習参考書　第5版

・CISSP Practice Questions Exam Cram　4th

やっぱり日本語で読みたいと思い、 Amazonでも買える日本語版のAIOを購入。10ドメイン時代の本で2010年2月が初版の模様。（日本語訳版は2014年リリース）

Kindleで読めるし、古いと言っても黄色本より5年は新しいので読む価値はあると思い、先月と同じく通勤中、昼休み中に通読。が、やはり読んでいて眠さはある。11月以降、辞書的に使うには非常に便利でしたが。Kindleだから厚さは感じないけど、原著は1200ページ超えのもので、1回読み切るのに1ヶ月はかかった。何となくこんな感じなんだなーとその場では分かるけど、長い分忘れるのも早かったと思う。参考書の通読は時間の割には効果は薄いということに気づく。

ということでアウトプットせねばとExam Cramに取り組む。こちらは2016年発行の第4版。2018年に5版が出ているみたいですが、Amazonでは常に品切れで本当に出たのかは不明。こちらも英語は頑張りつつKindleで1ヶ月掛けて解く。現時点（2018年12月）ではあまり覚えていないのですが、参考書の通読よりよっぽど基礎力が固まった気がします。

 

 

  

2018年9月

 使用教材

・CISSP Official (ISC)2 Practice Tests

・CISSP CBKトレーニング用参考書

・anki mobile

 Exam Cramは一通り解き、どうせ本格的に勉強するなら2018年最新バージョンの書籍がよいと思ったこと、基礎力はついたのではないかと思ったことから、これまた各所で勧められている2018年版のSYBEX Practice Testsで勉強。この勉強をするにあたり、スマホのフラッシュカードアプリである anki mobileを試験直前まで使った。

その使い方について簡単に記載します。Practice Testsは書籍を購入すればオンラインで勉強可能。そこでオンラインから問題をコピーし、そのコピーしたテキストを置換など駆使し整形。さらにGoogleのテキスト翻訳で一気に日本語化。その後はPCのマクロを使いanki mobileに読み込ませるCSVをひたすら作成し、PC版ankiに読み込ませ、スマホ版ankiに読み込ませるファイルを作る、という具合。ankiの長所はググると色々出てきますが、早い話スマホで使える単語帳。機能は色々あり、完全に理解した問題は今後出てこないようにしたり、間違えた問題、理解度が微妙な問題は数日後に再度出てくるようにしたりすることが可能。11月以降はSYBEXのStudy Guideの問題集についてもanki化し、試験直前までトータルで100時間近くankiを使用した。通勤中、昼休み、就寝前などなど、スキマ時間を含めフル活用しました。ankiを使った勉強は他の試験でも活用できるので今後も使いたい。iOS版で3000円とやや高価だが、その価値はあると思う。このAnkiを使ってPractice Testの理解を深めました。問題を解くだけでなく、間違いの選択肢がなぜ間違いなのか、というところまで徹底的に暗記・理解。Practice TestにはCISSPにおけるキーワードが詰め込まれているので、試験対策だけでなく自分のセキュリティに関する知識の底上げにも繋がり、大変有益な教材だった。説明がよく分からない箇所は他の書籍を使うか、ネットで検索して理解を深めた。総合問題が500問ほどあるが、それは試験直前の実力判定まで取っておくことにした。

並行し、CISSPトレーニングの3週間くらい前にトレーニング用の書籍が電子版で配られるのでそれを通読。（複製防止のため、非常に使いにくいアプリ利用が必須）。850ページほどだが、こちらも眠くなりつつひたすら通読。分かりやすい面もあるが、図がほぼないこと、ケルベロス認証やらコモンクライテリアやら重要要素と思われる内容が削られており（あったらすみません）この本大丈夫なのかよ…と思うほどカバー範囲が広くないように思えた。最後までこの本についてあまり注力しなかったが、考え方が詳しく書いてあるので試験中にもっと読み込み、理解を深めておけばなぁと思った。

そろそろ試験に申し込もうか…と思い、年末年始はスッキリしたかったので3ヶ月後の12月に試験日を設定。試験日を設定することで自分にプレッシャーを掛けられ、勉強しなければ…ということにもなったし、結果的に晴れやかな気分で年末年始を過ごせることになった。本気で勉強しようと思ったら試験日は先に設定すべきです。（最悪50ドル？払えばリスケもできるので）

 

 2018年10月

使用教材

・CISSP CBKトレーニングおよび復習

・Practice Test（ankiを利用し継続）

10月の前半から3日間、2日間と分けてCISSP CBKトレーニングを受講。講師はLACの長谷川氏。これまで何度か講演・プレゼンをお聞きしたことがあった。トレーニングの速度は早く、PCを持ち込み説明を聞きながら必死でメモ。豊富な実例の紹介とともに、実際の仕事にも活用できる「CISSP的な考え方」が身につき、セキュリティに対する考え方のレベルが上がったのを実感した。試験対策の話は少なめに感じたが、非常に有益な5日間だった。トレーニング後も自宅にいるときは徹底的に復習しつつ資料作成。試験が始まるまでに2回見直した。実際の試験中も、ああ、あんなこと言ってたっけな～と思うことが数度あり、それを信じて答えを選択。仕事にも試験にも活きて、受講して本当に良かったと思った。

Practice Testについてはankiを用いて継続。

 

2018年11月

使用教材

・CISSP Official Study Guide

・CBKトレーニングの復習

CBKトレーニングについては自作資料の復習。Practice Testも総合問題以外は何度か回したのでOfficial Study Guideの問題集に取り掛かる。こちらもPractice Testと同様にオンラインで勉強可能なので、同様の手段でankiに取り込み学習継続。Practice Testと合わせると合計で2000問以上をAnkiで学習。Google翻訳にはお世話になったが、NOTを省略するなど、しばしばわけわからない翻訳をすることがあるのでそこら辺は注意。Study Guideはカバー範囲も広く、説明も分かりやすいので英語を頑張れるなら辞書的に使うのがおすすめ。そんなにわかりにくい英文ではないけど。

試験まで残り1ヶ月ほどとなり、だんだん気持ちに余裕がなくなっていく。

 

 

2018年12月～試験まで

使用教材

・CISSP Official Study Guide　＆　Study Guide

・CBKトレーニングの復習

・ドメインガイドブック

 基本的にこれまでと同じ。実力だめしにPractice Testの総合問題を実施。概ね7割～8割は取れていて、安心したようなそうでもないような気分。そんな時に同僚が受かり、焦り始める。

また、暗号、ネットワーク、ソフトウェア開発が苦手分野だったが、暗号とソフトウェア開発についてはふと苦手意識がなくなり、これはいけるかも…と思うようになる。切っ掛けは別に暗号学や開発を求められているわけではなく、決まりきった概念や考え方でしかないことに気づいてからだったかな。

ドメインガイドブックについてはドメインごとの基本的な考え方や、特にキーワードがズラッと並んでいます。キーワードすべての概要やメリデメを説明できるのであれば、合格は近いんじゃないかと思います。知識の棚卸しのため必ず見直すべきです。（もっと早い段階でやっておいてもいいかも。

妻からも試験代は投資だと思って、ダメだったとしてもまた受ければいいじゃないと勇気づけてもらう。そんなこんなで試験へ。

 

• 試験当日

前日は幸いにもよく眠れて、体調はバッチリ。試験中に摂取するブドウ糖とユンケル、おにぎり、チョコ類を購入。このブドウ糖は効果があったと思われて、休憩の都度摂取したのだけど、試験の終わりまで一定の集中力を保てた。非常におすすめ。

試験会場は有楽町駅近くの帝国ホテルタワー18階。関東の人は皆さんここで受けるでしょう。8時30分より余裕を持って到着。てっきり9時から開始だと思っていたら、もう始められますよと言われる。腕時計や携帯など私物はすべてロッカーに保管。写真撮影や静脈認証の設定をしてもらい、9時40分くらいには試験開始。部屋は最大10人ほどの狭い部屋で、パーテーションで区切られたもの。後ろはガラス張りで監視カメラも各所に配置され、常に職員の方が見張っている感じ。耳栓とヘッドホンを貸してもらえて落ち着ける環境と言える。

試験問題の内容は例によって書けませんが、難しいというか見たこともないような問題が多かった。何を言っているのか、情報が足りなくてよくわからないのも。いや、これ明らかに正解3つあるだろ、とか。おまけに日本語フォントが不審サイトでよく見るような中華フォントっぽいものが使われていることもあり、不安さが増す。あとよくわからない問題については英文の原文確認が必須。判断において重要な単語が省かれて翻訳されていることもあった。

おいおい、こんなのわかんねーよ、あれだけ練習問題を解いたのに今までの勉強は何だったんだよと思いつつ問題を進める。（半分くらい諦めが入っていて、次回受験に向けてどういう勉強をすべきか、周囲になんて負け惜しみを言おうかとすら考えていた）解答ペースは遅めで、100問終わった時点で2時間は経っていた気がする。そこでブドウ糖補給とトイレ休憩、200問終了時点で4時間経過くらい？そこでも再度ブドウ糖補給とトイレ休憩、250問終了時にはあと1時間くらいしかなかったような。見直しのためのユンケル投入。

要見直しフラグは5～60くらい。ちなみに試験問題は250問あり、そのうちの25問は採点対象外のリサーチ問題。合格ラインは70％以上。そこら辺から考えると250問中90問は間違えても達成できる計算になる。（問題ごとに点数が異なるため、一概には言えないが）要見直しフラグははじめから見直す意味がない分けわからない問題には立てず。

解答の内訳としては、自信のある問題、よくわからないけど消去法でこれしかない問題、答えを2つまで絞れて迷った問題、意味不明な問題の4パターンだったか。

全部見直せたとも言えず、残り5分になったので半ば投了の気分で終了。あー、ダメだったかなーと思い受付へ 。

 

 

 

 

 

• 合格発表

実は文面を見なくても合格か不合格はネタバレされています。ネタバレなので後述。

 そのネタバレ要素から、あれ、これ俺の？もしかしてイケた…？と思いつつ職員さんから渡された紙を読んだら無事に合格。何度か見直し、ガッツポーズというよりは大きな安堵のため息を吐きました。嬉しい気持ちよりもひたすら安堵。ああ、これで安心して年末年始を過ごせる、やりたいことが出来るという気分でした。

•  ふりかえり

5月から勉強を始め、本気になって取り組んだのは9月からの約3ヶ月だった。本番の試験問題は個人的にはあまり好きではなかった。IPA の午後問題なんかは実例に即していたりして解いていても勉強になったのだけど。

・効果のあった勉強

やはり問題演習（Practice Test＆Study Guide）で知識の底上げができたこと。そしてトレーニングでCISSPとしての考え方が少しでも身についたこと

・イマイチだった勉強

参考書の通読。読むだけじゃ私の頭には定着しなかった。一通りどんなもんか知る程度の読み方でいいと感じた。 分厚い参考書は問題演習をしていて分からない要素を調べる辞書的な存在だと思った

・もっとやっておけばよかった勉強

様々な用語について、長所、短所を理解して似たような用語と比較し考えること。問題演習で知識を積み上げるより、本質的な理解が必要だった

 

IPAの試験（SG、SC）もよい問題です。過去問があるのでどこまで勉強すればよいか掴みやすいし、5000円程度の受験料なのでそんなに気負わずに受験ができる。一方CISSPは過去問が公開されていないためどこまで勉強すればよいか分からないし、受験料も9万近く掛かってしまうのでプレッシャーがある。その分、IPAの試験の何倍も勉強したし、知識も判断力も向上したと思うので勉強してよかった。合格してしまうと点数がわからないのでモヤモヤしているけど。

• 今後

エンドースメントは知人にやってもらえるので、色々書類作業が待っています。勉強する習慣は身についたけど、しばらく遊ばせていただきます。今後は英語の勉強でもしてTOEICのスコアを上げ、転職市場での自分の価値を上げていきたいと考えています。求人内容を見るとTOEIC○点以上～というのはそれなりに見るので。GIACやCISAを始めセキュリティの資格はまだまだありますが、一区切りにします、多分。

 

以上、書きたいだけのことを書いた長い文でしたが、少しでも受験者のお役に立てれば幸いです。加筆修正は適宜するかもしれません。

 

最後に、勉強するにあたって日本語で書かれたWEBで見つかるCISSP合格体験記はほとんど参考にさせていただき、勇気づけてもらいました。一発で合格できたのもそれら体験記のおかげだと思っております。ありがとうございました。

 

 

 

 

 

※合格不合格のネタバレ

合格ならプリンターから出てくる紙は「暫定的な合格おめでとうございます」の1枚のみ出てきている。不合格ならその通知が一枚、ドメインごとのスコアが記載されている紙が一枚と計2枚出てきている。合格なら一枚、不合格なら二枚の紙。