サイバーセキュリティ分野の国際資格である「CISSP(Certified Information Systems Security Professional)」に合格しました。
CISSPは、ISC2(International Information System Security Certification Consortium)が認定する世界的に有名なサイバーセキュリティ資格であり、セキュリティ資格の中でも難関資格として知られています。(もちろん人によりますが、、)
私自身、以前から「いつかは取得したい」と考えていた資格でした。しかし、受験料が非常に高額であることや、学習範囲が広いこと、日本語教材が少ないことなどから、なかなか受験に踏み切れずにいました。
最終的には約3カ月の学習期間で合格することができました。
中には1週間の学習期間で合格される方もいますが、私は3カ月くらいかけました。
この記事では、実際に私が行った学習方法、使用教材、勉強時間、試験当日の流れ、苦労した点、感じたことなどを、できるだけリアルにまとめます。
これからCISSPを受験する方の参考になれば幸いです。
※あくまで、私が考えたことや感じたことをそのまま記載しているので、一個人の感想として受け取ってください。
自身のこと
私は通信事業会社で、企業向けのSI(システムインテグレーション)業務に携わっています。
主な業務領域は、企業向けのインフラ構築(クラウドソリューション導入、セキュリティ関連提案)、プロジェクトマネジメント(PM)です。
特に最近は、クラウドやセキュリティ関連案件のPMポジションを担当することが多くなっています。
セキュリティに本格的に関わるようになってからは約10年ほどになります。
CISSPは英語圏の資格であり、日本語試験であっても問題文や教材には英語由来の表現が多く出てきます。そのため、英語に苦手意識がある方にとっては、少しハードルが高く感じる資格だと思います。
ちなみに、私は英語は得意ではありません。
なぜCISSPを受験しようと思ったのか
CISSPを受験しようと思った理由はいくつかあります。
まず、前職では資格試験について、不合格でも1回までは会社が受験料を負担してくれる制度がありました。
CISSPは受験料が非常に高額です。円安の影響もあり、日本円換算ではかなり大きな金額になります。
そのため、「会社統合で制度がなくなる前に、一度チャレンジしたい」と考えたのが最初のきっかけでした。
また、業務上もCISSPを持っていることで、顧客に対してセキュリティ知識や実務能力をアピールしやすくなると考えました。
特に企業向けのクラウドやセキュリティ案件では、資格が信頼材料の一つになる場面があります。
さらに、CISSPは世界的に認知されているサイバーセキュリティ資格です。
自分自身の知識を体系化し、世界標準のセキュリティ知識を身につけたいという思いもありました。
※日本国内での認知度はどれくらいかは分かりませんが、、、
受験前の知識レベル
CISSPは8つのドメインで構成されています。
私の場合、業務で関わることが多い以下の分野は比較的理解しやすいと感じました。
- ドメイン1:セキュリティとリスクマネジメント
- ドメイン2:資産のセキュリティ
- ドメイン3:セキュリティアーキテクチャとエンジニアリング
- ドメイン5:アイデンティティとアクセス管理(IAM)
- ドメイン7:セキュリティの運用
一方で、苦手意識があったのは以下の分野です。
- ドメイン6:セキュリティの評価とテスト
- ドメイン8:ソフトウェア開発セキュリティ
特にドメイン8は普段の業務でソフトウェア開発に深く関わる機会が少なかったため、SDLCやソフトウェア保証、テスト手法などは重点的に学習する必要がありました。
最初に模擬問題を解いた時点では、良いドメインで70点台、悪いドメインで50点台くらいでした。
正直、この時点では「本当に合格できるのか?」という不安がありました。
最初に感じたCISSPの内容について
CISSPの学習を始めて最初に感じたのは、とにかく学習範囲が広いということです。
8ドメインに分かれているとはいえ、それぞれのドメインの内容が非常に多く、単純な暗記だけでは対応できません。
また、略語も多いです。
例えば以下のような略語が多く出てきます。
- SAML
- SCADA
- TOGAF
- DAC
- MAC
- EAL
- TPM
- SDLC
普段聞きなれている略語はだ丈夫ですが、アメリカの法律系は馴染みがないので集中して覚える必要がありました
さらに、日本語教材や問題集が少ない点も苦労しました。
練習問題は英語を日本語に翻訳したものが多く、「日本語なのに意味が分かりにくい」と感じることもありました。
勉強期間と勉強時間
勉強期間は約3か月です。
勉強時間の目安は以下のような感じでした。
- 平日:約1時間
- 休日:約4時間
ただし、仕事や家庭、子育てもあるため、全く勉強できない日も普通に多々ありました。
そのため、「毎日完璧にやる」というより、「継続を優先する」ことを意識していました。
かなり大雑把な計算をすると以下な感じです。
1週間 平日:約4時間 + 休日:約4時間 = 約8時間
約8時間 × 4週間/1カ月 × 3カ月 = 約96時間
こんなに勉強してたか?という感じです。
もちろん、通勤時間や隙間時間も積極的に活用しました。
使用した教材
・CISSP公式問題集(日本語版)[Kindle版]
最初に使ったのは、日本語版のCISSP公式問題集です。
まずは問題形式に慣れ、CISSP独特の考え方を理解するために使用しました。
最初の教材としてはかなり良かったと思います。
ただし、発売日が2019年なので、内容が少々古いのでは?という不安ありました。
タイトル:CISSP公式問題集
言語:日本語, 出版社:NTT-AT, 発売日:2019/05/28, 媒体:Kindle版, 価格:\3,300
・CISSP Official Practice Tests Fourth Edition [電子版(Wiley)]
途中から英語版の新しい問題集も導入しました。
理由は、日本語版だけでは情報が古いと感じたためです。
英語は得意ではないため、Google翻訳を使いながら進めました。
正直大変でしたが、新しい問題に触れられたことや、英語ベースの考え方に慣れたことは非常に良かったと思います。
ちなみに、2019年版と比べて問題の感じは大きい差を感じなかったので、2019年の問題での学習が無駄にならなかったと少し安心しました。
●タイトル:CISSP OFFICIAL PRACTICE TESTS Fourth Edition,
言語:英語, 出版社:John Wiley & Sons, Inc., 発売日:2024, 媒体:電子版(Wiley), 価格:$34.00(米ドル)
・新版 CISSP CBK公式ガイドブック [単行本]
この本はかなり高額です。
そのため、最初から購入したわけではありません。
学習中盤以降、「やはりISC2の考え方を深く理解したい」と思い購入しました。
ちなみに、メルカリで中古品を入手しました。(\17,000ほどで入手)
ただし、全部読むのはかなり大変です。(もちろん読破して内容を理解するのが一番良いと思いますが、、)
私は、分からない用語や背景知識を確認する「辞書」のような使い方をしました。
●タイトル:新版 CISSP CBK公式ガイドブック,
言語:日本語, 出版社:NTT出版, 発売日:2018/07/30, 媒体:単行本, 価格:\27,500
・Udemy(オンライン教材)
Udemyでは、日本語のCISSP講座を視聴しました。
動画形式なので、ドメイン全体像や用語イメージを掴みやすかったです。
内容としては重点ポイントを絞っての内容に感じました。
詳細な部分を学習するのは公式テキストを参照するのが一番良いと思いました。
ちなみに、会社のUdemy Businessで利用できたため、実質無料だったのも助かりました。
●タイトル:【日本語】初心者から学べるCISSP講座:CBK Domain 1~8 (各ドメイン分のコース)
価格:1ドメイン(1コース)/\3,000
・ChatGPT
個人的にかなり役立ったのがChatGPTです。
特に役立ったのは以下です。
- 問題の解説補助
- 選択肢の考え方整理
- 用語解説
- セキュリティモデル比較
- ISC2的な考え方の理解
CISSPは「答えを暗記する試験」ではありません。
そのため、「なぜその選択肢が最適なのか」を理解する必要があります。
その理解補助として、ChatGPTは非常に便利でした。
ただし、ハルシネーションが発生することは十分注意して利用しました。
実際の勉強法
私の勉強法は、かなり「問題演習中心」でした。
【Excelでの正解率管理】
模擬問題の結果はExcelに記録しました。
- 正解率
- 苦手ドメイン
- 間違えた問題
を可視化できるので、おすすめです。
【勉強ノート作成】
間違えた問題や分からない用語はExcelにまとめました。
これが最終的に「自分専用参考書」になりました。
また、勉強ノートはGoogle Driveに保存し、PCとスマホの両方から見れるようにしました。
通勤中はスマホで復習していました。
【学習スケジュール】
おおよその学習スケジュールは以下です。
■学習開始~1.5カ月目:
Kindleで日本語の模擬問題(8ドメイン×約125問)を2周 ※ドメインにより問題数のばらつきあり
■1.5カ月目~2.5カ月目:
より新しい英語の問題集を購入 (8ドメイン×約125問)を1周 ※ドメインにより問題数のばらつきあり
公式テキストをすべてを読むのではなく、辞書代わりとして用語やポイントを確認
■2.5カ月目~3か月目:
自身が作成した勉強ノートを中心に理科不足の点を補うように学習
試験当日の流れ
試験はAM10:15開始でした。私は大阪会場を利用しました。
余裕を持って新幹線で移動し、会場の位置確認も事前に行いました。
試験前は近くのカフェで最終確認をしました。
ただ、この時点で新しい知識を入れるより、「自分を落ち着かせる」ことの方が重要だった気がします。
Pearson VUE会場の雰囲気
Pearson VUE会場では、かなり厳格なチェックがあります。
- 私物のロッカー保管
- 電子機器の電源OFF(スマートウォッチも)
- 身体検査
- 眼鏡確認(スマートグラスでないかをチェックされていると思われる)
試験部屋は非常に静かで、独特の緊張感がありました。
席に案内されると、係の方が試験画面を起動します。
最初に規約への同意画面が表示されますが、ここで同意しないと試験終了となるため注意が必要です。
試験中の感覚
試験中は結構なプレッシャーがありました。
Pearsonの試験会場では何回か受験したことありますが、試験会場内が静かなので、他の方のキーボードやマウスの操作音が際立って聞こえて気になります。
常設されているヘッドフォンを付けてできるだけ集中しました。
試験は計180分で途中休憩も可能ですが、私は一度も休憩せずに最後まで解きました。
残り時間が100分を切ったあたり、100問目を解答したところで突然アンケート画面へ。 ※アンケートは日本語入力できないようで、簡単な英語で回答しました。
事前情報で、100問~150問の出題数という認識があったので、この時点では「落ちたかもしれない」と思いました。
試験終了を係員に伝えて試験部屋を後にする。
受付で結果の用紙を受け取り、期待せずに確認したところ合格していました。(一瞬、実感が湧かなかった)
実際に受験して感じたこと
CISSPは暗記試験ではない
用語暗記だけでは通用しない感じがしました。
ISC2的な考え方、つまり以下のような視点を理解する必要があるかと思います。
- リスクベース
- 人命優先
- 経営視点
- 最適解
- 管理的対策の重視
やはり、サイバーセキュリティに関する実業務を経験されているかは、理解しやすいかと思います。(当たり前ですが、、)
「技術者視点」だけでは危険
特に感じたのは、「技術的に正しい」ことと、「CISSP的に正しい」ことは違う場合があるということです。
CISSPでは、技術だけでなく、以下のような視点が重要になると感じました。
- 手順
- リスク
- ガバナンス
- マネジメント
- 管理的対策
実務経験がある人ほど、「技術的に最適な答え」を選びたくなることがありますが、CISSPではそれが正解とは限らないようです。
補足:試験料の支払いで苦労した話
意外な落とし穴だったのが試験料の支払いです。
なぜか自身のクレジットカードで決済がとおりませんでした。(複数枚で試したが決済できず)
ISC2のサポートに連絡して、ブラウザキャッシュクリアなどの手順を案内され試したが決済できず。
結局、一度自身のクレジットカードをPayPalに登録して、PayPal経由で支払いを進めたところ問題なく決済できました(原因は不明)
支払いの初回トライから支払い完了まで1カ月ほどかかりました。
受験予定の方は、試験予約や支払いはかなり早めに進めることをおすすめします。
あと、試験日時の予約も早めにした方が良いです。希望日の午後が埋まっていて、午前しか予約できず朝早く移動することになったので。
まとめ
CISSPは学習範囲が広く、受験料も高額で、気軽に受けられる試験ではないかと思います。
しかしその分、セキュリティ知識を体系的に学べて、国際的にみても価値のある資格だと思います。
特に実務経験がある人ほど、「知識が点ではなく線でつながる」感覚を得られる資格だと感じました。
これから受験する方は、単なる暗記ではなく、「なぜその判断が最適なのか」を常に意識して学習することをおすすめします。
ちなみに、試験合格後の正会員登録には、5年以上の業務経験を証明する申請が必要となります。(私は申請済で無事審査に通りました)
こちらに関しては、また別記事で書こうと思います。
この記事が、これからCISSP受験を目指す方の参考になれば幸いです。
コメント