はじめに
今年の10月にISC2のCISSP(Certified Information Systems Security Professional)に合格しました。試験体系が4月に大きく変更され、情報が少ないため不安がある中での受験となりました。変更後の試験でどのように合格につなげたのか、皆さんに共有できればと思います。
ISC2 CISSPとは?
ISC2 CISSPはISC2が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。
CISSPは日本での知名度が少しずつ上がっているとはいえ、認定者数はISC2のあるアメリカに比べると多くなく、3699人程度となっています(2022年7月時点認定者数)。
また、2024年のGlobal Knowledge社の調査2024年最も稼げるIT資格トップ20によると、CISSPは10位にランク入りしており、取得者の平均年間所得は156,699米ドル(日本円では2300万円強)とされています。そのため、CISSPを所有している人はCISOなど責任が大きい職についている人が多いのだと推測されます。
CISSPのカバーする範囲は後述する8ドメインに及ぶのですが、共通的な考え方として組織のガバナンスをどのように実現するのかということがあります。それを実現するためにCISSPでは技術的な話だけではなく、運用の話や法律の話を理解している必要があります。
受験のきっかけ
CISSPを受験した理由には、次の3点が挙げられます。
- 私の勤務先では昇格に必要な資格の1つである
- CISSPがセキュリティの資格の中で最高レベルの評価を受けていること
- 周囲の先輩や上司が昨年CISSPを取得したばかりであり、直接体験談を聞くことができた
CISSPは国際的な知名度があるため、私の勤務先でもこの資格を持っていると評価されます。そのため、早いうちに取得したいという気持ちは元々持っていました。その中で、改定する前の試験体系でしたが、周囲の人が受験し合格したことに背中を押され受験しようと思いました。
事前知識レベル
セキュリティに関係するSIer業務経験が4年、SOCアナリストや脅威インテリジェンスアナリストとしての業務経験が2年半ほどあります。資格としてはセキュリティ系でいうと、CompTIAのSecurity+, CySA+, PenTest+を取得しています。
試験概要
2024年の4月からCISSPの資格試験が更新されました。私は更新後に受験をしています。
試験が更新されたことにより、連続出題形式からCAT試験形式へと変更されました。それにより試験時間は最大3時間(途中退出可)に短縮され、問題数は最低100項目、最高150項目となりました。合格スコアは1000点満点中700点以上となっています。ただし、取得したスコアは受験者に開示されません。
問題の回答は基本的に4択から選ぶことになります(そのため、選択肢を絞って回答するやり方が効果的です)。また、CAT試験形式については、こちらに情報があります。私も受験後に知ったのですが、問題の中には予備試験問題として採点されない問題が25問存在するようです。実際、私が受験した際も自信をもって回答できた問題数が7割を下回っていた体感でしたが合格していたので、この25問が関係していた可能性があります。
CompTIA PenTest+ 出題範囲
出題の範囲と比率は下記の通りになっています。数パーセントの出題比率の差しかないので、全体的に満遍なく出題されます。実際、体感としてもドメインごとの出題範囲の偏りは感じませんでした。
| ドメイン | 試験分野 | 出題比率 |
|---|---|---|
| 1 | セキュリティとリスクマネジメント | 16% |
| 2 | 資産のセキュリティ | 10% |
| 3 | セキュリティアーキテクチャとエンジニアリング | 13% |
| 4 | 通信とネットワークのセキュリティ | 13% |
| 5 | アイデンティティとアクセスの管理 | 13% |
| 6 | セキュリティの評価とテスト | 12% |
| 7 | セキュリティの運用 | 13% |
| 8 | ソフトウェア開発セキュリティ | 10% |
改訂により多少出題比率に変更があったようですが、ドメイン1が15→16%、ドメイン8が11→10%になっただけなのでほぼ誤差と言えそうです。また、ドメインごとのさらに詳細な分類は英語ですがこちらにあります。なんとpdfで7ページもありますので、CISSPの範囲の広さがここからも伺えます。
勉強方法
今回、私は下記をベースに学習をしました。
- NTTアドバンステクノロジ株式会社 公式CISSP CBK研修 ※受講は7月頃(受験の3か月前)
- NTTアドバンステクノロジ株式会社 日本語版公式問題集 ※公式の記述を見ると唯一の日本語版公式問題集とのこと
前回受験したCompTIA PenTest+と同様に、幸運なことに会社の費用負担で研修を受講させてもらうことができました。研修は週に最大2回まで、合計で5日間の日程です。研修の講師は公式で紹介があるのですが、皆さま非常に素晴らしい経歴を持っている方々ばかりで、私が受講した研修でも実務の内容にも絡めながら分かりやすくCISSPの基本となる知識や考え方を伝えてくれました。
ただし注意が必要なのですが、あくまで研修では非常に広い範囲のCISSPの内容について基本的な知識や考え方を伝えてくれるだけです。そのため、試験に出る過去問の話や合格のためのノウハウのようなことは研修の中では教えてくれません。研修以外にも十分な学習が必須となります。
今回、研修に公式問題集が付属していましたので、研修後の学習はこの公式問題集をベースに進めました。ただし、この問題集は2019年発売であり、改訂した内容には対応していません。とは言え、コアとなる知識には大きな変更はないため、私はこの問題集を使って学習しています。公式の説明を見ると1300問以上の問題を掲載しているようなのですが、私は3周解きました。
7月の研修受講以降に学習を始めたので学習期間は3か月です。既に合格済みのCompTIA CySA+やPenTest+と一部内容が重複するような部分もあったのと、通信・ネットワーク系の部分は過去の業務経験とこれだけ持っていてもあまり自慢できないCiscoのCCNAの知識が活きたかなと感じています。そのため、知識ゼロから学習を始める場合にはもう少し学習期間の余裕を持っておくのが良さそうです。
より具体的に計算すると、研修は大体6時間(休憩抜いて)が5日間で30時間、それ以外に問題集や模擬試験の学習時間が61時間あり、他にもたまに外出した際の電車の中で自作した単語帳で暗記(高々5時間くらい?)をしていました。なので大体100時間ほどの学習で合格できました。ただし、受験中は正直落ちたと思うくらい手ごたえが無かったので、もっと時間をかけて勉強するとより安心して受験できると思います。
所感
本当に合格していて良かったという気持ちが強いです。長期の学習期間、受験の金額、当日の問題量の多さの全てが当日プレッシャーでした。合格後にはエンドースメントが必要となり、エンドースメントが承認されて晴れてCISSPの会員となります。実はこの記事の公開時点でも審査の途中であり、無事に承認されることを祈るのみです。
コメント