はじめに
少し前ですがCISSPに独学で挑み、なんとか無事合格することができました。
合格までに至るまでどんな参考書・問題集を利用して、どんな勉強方法をやってきたか、整理してみました。これから受験される方にとって参考になれば幸いです。
読んで頂きありがとうございます。
簡単に私のプロフィールを紹介させて下さい!
学習開始時のスペックと学習期間
学習開始時のスペック
受験当時、セキュリティを仕事にしたい思ってキャリアチェンジするために転職して間もない時期。セキュリティ担当としては未経験でした。
それまでのキャリアとしてはインフラエンジニア・情シスの経験が長く、インフラやネットワーク周りの知識はありました。
セキュリティ関連の資格は、CISAと情報処理安全確保支援士試験はいずれもPASSしていました。
学習期間
学習期間は3ヶ月程度。平日は仕事もあるため30分〜2時間、休日に3〜4時間がっつり時間を確保して勉強しました。
これまでいろんなIT資格試験で挑戦してきましたが、過去こんな長い期間勉強したことはありませんでした(笑)
合格体験記を読むと1ヶ月程度でも合格出来た方もいるようで、当初は1ヶ月もあれば余裕だろ思ってました。
しかし、実際勉強を始めると試験範囲の多さに絶句。また、なかなか自分の都合の良い日時で試験予約ができないこともあり予約に難航。結局合格までに3ヶ月程度かかりました。
CISSPとは?
試験概要
| 項目 | 内容 |
|---|---|
| 定義 | 情報システムのセキュリティに関する専門知識を証明する資格。 |
| 焦点 | 情報システムの実装、運用、保守。 |
| 主催団体 | (ISC)² |
| 試験内容 | 8つのドメインをカバーする広範なセキュリティ知識。 |
| 実務経験 | 5年以上の関連する実務経験が必要。 |
| 試験形式 | CBT(Computer Based Testing)方式。 |
| 試験時間 | 3時間 |
| 出題数 | 100〜150問(日本語・英語併記) |
| 合格基準 | 1,000点中700点以上 |
| 更新周期 | 3年ごとに試験内容が更新 |
| 費用 | $749 |
まずは合格体験記を読み漁る
先輩方の合格体験記を読んでわかったことは2つ。
- 公式問題集をやり込めばとりあえずは受かりそう
- 公式問題集の暗記は無意味(本番同じ問題は出ない)
勉強方法
まずはCISSPの全体感・雰囲気を掴む
いきなり問題演習すると挫折するだろうし、かと言ってあの公式ガイドブックを読むのも違うと思い、まずはCISSPの概要把握や言葉に慣れるために次の3つを利用しました。
- 猫とCISSP
リストラ候補の崖っぷちSEがCISSP取得を目指す話。物語調で単純に読み物として面白い。ところどころに試験に出てくる単語や概念を噛み砕いて説明されています。文量的には多くないので、数時間あれば読めます。問題演習の合間に繰り返し読むと結構良い復習になります。
- 晴耕雨読の勉強ノート
諸先輩方の合格体験記で幾度となく絶賛されているこのページ。CISSPで出てくる用語や考え方がコンパクトにまとまっています。ぶっちゃけこれさえあれば公式ガイドブックいらないんじゃないか。問題演習していてわからない単語とかの検索に使ったりしてました。
問題演習メイン、参考書は知識の整理
問題演習のメインは公式問題集
CISSPの概要をさらっと掴んだあとはひたすら問題演習を行います。メインは公式問題集を利用しました。公式問題集の使い方、その他に利用した問題集等は別の記事で整理しています。良ければ参考ください。
参考書で不足知識の補完する
問題演習していてわからない言葉ができたり、 間違えた分野については参考書で都度復習しました。地道ですが、このサイクルが一番効率的です。
CISSPでは米国の法律の名称(GLBA,FISMA…)やアクセス制御モデルの種類(Bell-LaPadula,Biba…)など日本の資格試験では出てこないような単語も多いです。私は公式ガイドブックや晴耕雨読の勉強ノートでわからない単語を調べていました。
また、暗号技術などわかりづらい分野については別途参考書を読んで理解を深めました。分野別の参考書については、別記事でまとめる予定ですのでそちらを参考ください。
本番試験・問題演習における注意事項
本番試験について
- 2024年4月15日以降試験体系が一部変更
- 試験日時の空き枠があまりない
- 試験変更$50、キャンセルには$100かかる
- 解答後の問題はあとから見直し不可
私は仕事の都合もあり試験日時を泣く泣く3回変更しました・・・。確実に受験できる日時を選定し、余裕を持ったスケジュールで試験に挑みましょう。
また、本番試験は一度解いた問題は再度も復讐することはできません。てきとうに解答せず慎重に選びましょう。
なお、2024年4月15日以降の試験体系の変更点について別記事でまとめていますので、よければ参考ください。
問題演習について
- 海外サイトのWeb問題に惑わされない
- 公式問題集の模擬試験は力試しに
- 過去問の暗記は通用しない
1. 海外サイトのWeb問題に惑わされない
日本語の問題集は市販だと公式問題集くらいですが、英語だとBoson等複数の海外サイトでWeb問題集か多数存在します(海外版クラムメディアのイメージ)。
実際それらを利用して合格された方もいるようですが、英語が得意でなければあまりおすすめしません。
私もいっとき翻訳機能を利用しながら利用してましたが、ブラウザ翻訳がイマイチで正しく理解しているか不安になり、やめてしまいました。
2. 公式問題集の模擬試験は力試しに
実際の試験問題は公式問題集の問題と全く同じ問題はでないと思ったほうが良いです。他のベンダー資格試験では、過去問と同じ問題はまず出ません。
そのため、新しい問題・見覚えのない問題に対して同様せず解く必要があります。
私のおすすめは、公式問題集の模擬試験4回はある程度学習が終了した段階で力試しとして解くことです。
時間がある方は、UdemyやKindleにある模擬問題集を解くことをおすすめします。詳細は別記事で解説していますのでよければ参考にしてみてください。
3. 公式問題集の暗記は通用しない
具体的にどんな問題が出たかを規約上で述べることはできませんが、一つ言えるのは公式問題集の問題の暗記はあまり意味がないということです。
もちろん、知識問題もあるので一定暗記は有効だと思います。ただ、CISSPの本番問題は知識問題のほかに、シチュエーションに応じて回答を求められる問題も出題されます。
公式問題集にもよく出題されていると思いますが、とある企業のセキュリティ管理者やコンサルタントの立場で自社・対顧客のセキュリティ火大に対して原因指摘や改善アドバイスするといったシチュエーションでどういう判断をするべきかといった問題です。
そういったシチュエーション問題解答の注意点として、その際問題の選択肢として正しいと思える選択肢は必ずしも1つだけとは限りません。単純な解答だけで言えば複数の正解が選択肢にある場合があり、その中からよりそのシチュエーションに適した正解を選ぶ必要があるのです。
他の合格体験記でも言われていることですが、より適した正解を選ぶ際にCISSP的な考え方に基づいて正解を選ぶ必要があります。CISSP的な考え方とは、ざっくり言えば経営目線・ビジネス目線でセキュリティ対策を講じることです。
この辺りの考え方についても晴耕雨読の勉強ノートでまとめられているので一読されてることをおすすめします。
終わりに
2024年4月からCISSP試験が一部変更になったようです。それにより、問題数(250問→100~150問)や試験時間(360分→180分)が少なくなりました。
個人的にこの変更は大賛成で、250問を6時間の長丁場で解くのは、休憩できるとは言えしんどかったですめちゃめちゃしんどかったです。
とはいえ、CISSPの試験範囲の広さや合格基準が7割以上である点は不変で、難関なセキュリティ資格であることは変わりないでしょう。
ただ、難しい分、合格したことによる達成感や自信、合格によるメリットは大きいです。
これからCISSPを受験される方にとって一助になれば幸いです。