先日、セキュリティの国際資格のCISSP(Certified Information Systems Security Professional)の試験を受験し、実務経験3年ほどで無事合格しました。
この記事では勉強方法、試験当日流れ、その他知っておいてほしい注意事項などをお伝えしていきます。
- CISSPについて気になっている方
- これからCISSPに挑戦される方
の参考に少しでもなったら嬉しいです!
CISSPとは
CISSP(Certified Information Systems Security Professional)とはアメリカの(ISC)² (International Information Systems Security Certification Consortium アイエスシースクエアと読む)が認定を行っている、国際的に認められた情報セキュリティ・プロフェッショナル認定資格のこと。
世界中で15万人以上が保有している資格で(2022年現在 日本は数千人程度)、国際的に人気度の高いセキュリティの資格です。
法律、セキュリティリスクアセスメント、ネットワーク、セキュリティ運用、モニタリング、物理セキュリティ、人的セキュリティ、セキュリティアウェアネス…などとにかくセキュリティにまつわる話を、『(ISC)² CISSP CBK』※に沿って体系的に学んでいく試験です。
※『(ISC)² CISSP CBK(Common Body of Knowledge)』とは(ISC)² が提唱する、情報セキュリティの共通言語。全世界にいるセキュリティ専門家の知識の尺度として 情報セキュリティに関する知識を分野別にまとめているものです。
試験概要
受験方法:Computer Based Testing(CBT)
問題数 : 250問/4択(日本語・英語併記)
試験時間 : 6時間
受験費用:749米ドル
試験申込み:ピアソンVUE
※2022年11月時点の情報です。
セキュリティはあくまで経営目標を達成するための手段と考え、それをベースに経営・マネジメント目線でセキュリティについて考え、学べる資格です。
著者の経歴(スペック)
システムエンジニア4年目(=社会人4年目)。大学は理系でしたが非情報系でした。
実務経験は
- 社内CSIRTでセキュリティ関連業務
- インフラ構築(オンプレ、AWS…)
- セキュリティ製品(IPS、IDS)の導入
などインフラ・セキュリティ関連の業務に携わってきました。
資格は
- 基本情報技術者
- 応用情報技術者
- 情報処理安全確保支援士(RISS)
- LinuC レベル1
などを所持しています。
個人的な感覚ですが、情報処理安全確保支援士相当のセキュリティ知識があると、CISSPの勉強もスムーズにできると思います。
勉強方法
合格するために行ったことはこんな感じです。
- CISSP トレーニングセミナー参加
- CISSP公式問題集を解く
- CISSP 勉強ノートで各ドメインの内容・単語確認
- テキスト(Student Guide)読み込み
- CISSP勉強中の人と集まって勉強会
①CISSP トレーニングセミナー参加
私は某社のCISSP公式CBKトレーニングを受講しました。このトレーニングを受講してから、本格的にCISSPの勉強を始めました。
受講費は40万円ほどとかなり高額ですが、CISSPの試験はCISSPとしての考え方をどれくらい深く理解しているかが肝になるので、セミナーを受講することがCISSPに合格するための一番の近道だと思います。
独学で合格されている方も多くいらっしゃいますが(独学で合格される方は本当に素晴らしい方だと思います!)
- テキストを読むだけではCISSPとしての考え方を理解するのが困難すぎる
- 出題範囲がとても広い(システム関連のセキュリティだけではなく、法律、物理セキュリティ…などセキュリティが関連するもの全てが盛り込まれています)
といった感じなので、独学にかなり自身がある人以外は公式トレーニングを受講することがおすすめです。
公式トレーニングを受講すると、Student Guide 日本語版(セキュリティ共通知識分野(CBK)に基づいて作成したセミナーテキスト)が貰えます。このStudent GuideがCISSPを勉強する上で大切なテキストになります。
私はこのStudent Guideをテキストとして使い、勉強しました。Student Guideがあれば3万円くらいで売られているCISSP CBK公式ガイドブックは別途買う必要はないかと思います。
②CISSP公式問題集を解く
公式問題集について
セミナーを受講すると、hontoというサービスでCISSP公式問題集の電子書籍が貰えます。
CISSP公式問題集はAmazon(kindle)でも3000円ほどで購入できます。
個人的な感想ですが、
- hontoだと目印をつけるときの操作性がkindleほど良くなかったり
- 問題の答えを表示すると周辺の問題の答えが表示されてしまったり(kindleだと該当する問題の答えだけが表示されるようです)
などkindleより少し使いづらい印象でした。(hontoが合わず、kindleでCISSP公式問題集を買い直した知り合いもいました)
セミナー等を受講せず、自分でCISSP公式問題集を購入する場合はkindleがおすすめです。
公式問題集の使い方のイメージ
CISSPの試験は「この単語を知っているか」が問われるというより「学んだ単語や概念を使ってどう考えるか」が問われる試験なので、問題集はあくまでCISSPとして理解すべき単語レベルの知識が身についているかを確認するために使うような立ち位置になります。
私は実務経験が浅く、単語レベルの知識が結構足りていなかったので…3周ほどしました。
間違えた問題をチェックしていき、2周連続で間違えた問題を3周目で解く、といったような感じで進めました。
③CISSP 勉強ノートで各ドメインの内容・単語確認
800ページほどあるStudent Guideを持ち歩くのは難しいので、通勤時間やスキマ時間ではこちらのブログを見て(大変お世話になりました…)CISSPのドメイン(章)の内容・単語を体系的に確認しました。
各ドメインでどういうことが書かれていて、どういう考えが出てくるのかが頭の中で整理されてくると、問題を目の前にしたときにどのドメインで学んだことを使えば良いのかがスッと分かるようになるので、各ドメインの内容・単語を体系的に、脳に焼き付けるのはとてもおすすめです。
じっくり読むのではなく、どちらかと言うとザっと全体を読むを何度も繰り返すことがおすすめです。
④テキスト(Student Guide)読み込み
試験1か月前くらいからは、トレーニングで貰ったテキスト(Student Guide)を読み込みました。
じっくり読んだり、ザっと全体を流して読んだり、CISSPとしての考え方が身に付くように読み込みました。
トレーニングに参加していない場合は公式ガイドを.
根気がいりますが、問題集だけではなく、テキストの内容を深く理解しておくことが大切です。
⑤CISSP勉強中の人と集まって勉強会
社内でCISSPを受験する方が数人いたため、週1ペースで集まって勉強会をしました。
ひたすら問題集を解いたり、印象に残った問題や難しかった問題について話したり、試験に対する不安などを共有したりしていました。
一人で勉強していると気が滅入りそうな試験なので、同じ境遇の方と一緒に勉強会をしたのはかなり良かったと思います!
勉強期間・時間など
勉強期間は3か月です。じっくり時間をかけて勉強するというより、トレーニングで習ったCISSPとしての考え方を忘れないうちに受験するようにしました。
勉強時間は150~200時間ほどです。平日は平均して1時間、休日はできる日は5,6時間程度勉強しました。
試験当日について
試験会場が離れているため前泊
日本では東京・大阪あたりの限られたPeason VUE会場でしか受験できません。
私は地方(宮城)に住んでいるので、最寄りの試験会場は東京…とのことで日比谷のPeason VUE会場で受験しました。
試験開始が8時からで(8時から開始ですが30分前には受付をしている必要があります)、宮城から試験場までは朝一の新幹線を乗ったとしても間に合いそうになかったので前泊しました。
日比谷のPeason VUE会場で受験される方におすすめなホテルは「レム日比谷」。試験会場である帝国ホテルタワーが目の前にあるホテルで(ホテルの部屋の窓から試験会場が見えます)、綺麗で比較的リーズナブルで良かったです。
若干ホテルの場所が分かりにくいのですが(Googleマップ上では理解できるが何故か辿り着けない)、ホテル名を探しながらこの周辺をうろうろしていると見つかります。
前日はホテル近くにある日比谷公園や皇居周辺で散歩してリフレッシュしながら、コンディションを整えていきました。
試験当日
私の試験当日のタイムスケジュールはこんな感じです。
時刻 | 内容 |
5:30 | 起床、朝ごはん、最終チェック |
7:00 | チェックアウト(荷物はホテルに預けました)、試験会場へ |
7:10 | 試験会場到着・受付 |
7:30 | 試験開始 |
10:30 | 休憩 |
11:30 | 試験終了 |
試験会場・受付について
日比谷のPeason VUE会場は帝国ホテルタワーの18Fにあります。エレベーター前には警備員さんがいらっしゃるのですが、試験受験の旨を伝えると通してもらえます。
試験開始は8時からですが30分前には受付する必要があるので、余裕を持って7時くらいに到着するようにしました。
私が一番乗りかなと思って行ったのですが、既に2,3名の方がいらっしゃいました。1人ずつチェック・案内していくような流れなので、待ち時間がありました。テストセンターに入ったらテキストは一切読めなくなるので、待ち時間中は何もできません。早めに行って早めに試験開始した方が良いな、と個人的に思いました。
休憩について
試験時間は6時間あり、試験時間内に自由に休憩をとることができます。休憩時には飲み物や軽食を摂取することもできます(事前にバックから出した状態で、ロッカーを開けてすぐの場所に置いておく必要あり)。
当日はアドレナリンが出て試験を突き進みたくなるのですが、CISSPとして冷静な判断をするためにも「何問解いたら休憩する」と決めておき、適度に休憩を取りつつ解き進めていくのがと良いと思います!
私は180問(全250問)解いたら休憩しよう、と決めていました。
時間配分について
試験時間6時間、全250問あるので、単純計算で1問1.4分程度で解く必要があります。(休憩を取ることを考えるともう少し早め)
問題もランダムに出題され、文字の分量も様々なので、時間ギリギリというより気持ち早めに解いていくのがおすすめです。
判断に迷う問題ばかりかつ、解いた問題が戻れないので、「次へ」ボタンの重荷がかなりあります。解けた感の無い問題を解き進めていくのはかなり不安だと思いますが、自分を信じて進めていきましょう!
CISSPとしての実力はもちろん、精神力も見られているような試験でした…(それもCISSPとして大切なことかもしれませんね)
その他注意事項
試験の予約はお早めに!
試験会場は東京・大阪の限られた場所のみであるため、試験予約もなかなかの争奪戦。
私はセミナー終了後、3カ月先の日程で申し込んだのですが既に土日は埋まっていて、平日で予約しました。
試験日変更も50ドルほど手数料がかかるので、日程面・金銭面からも安易に試験日を変更できる試験ではないです。
なるべく早めに予約して、受験日に向けて計画的に勉強していくのが大切になります!
5年以上の業務経験がないとアソシエイト(準会員)になる
CISSP の認定要件に
CISSP CBK 8 ドメインのうち2 ドメインに関連した5 年以上の業務経験があること
があります。
業務経験の年数に満たない場合も受験はできますが、CISSPとして認定してもらうには試験合格だけではなく、5年間の業務経験も必要になります。
ただ、大学卒業学位取得者は分野問わず、1年分の経験が免除されるので、大学を卒業している場合は業務経験満4年で正式にCISSPになることができます。
私は社会人4年目(業務経験 満3年)なのでアソシエイト(準会員)として登録しています。
アソシエイト(準会員)として継続できるのは最大で6年間で、経験年数を満たしたら自分で申請する必要があるので、忘れずに申請しようと思っています。
アソシエイト(準会員)についてはCISSPとは年会費・CPEクレジットも異なります。
年会費:50ドル
1年あたりCPEクレジット※:15ポイント(グループAのみ)
※CPEクレジットとは、Continuing Professional Educations creditsの略で、継続教育を登録する単位のこと。合格後も資格認定を維持するためにセキュリティの勉強を行い、CPEを取得していく必要があります。
まとめ
セキュリティの国際資格のCISSP(Certified Information Systems Security Professional)の勉強方法、試験当日の流れについて紹介しました。
- セミナー・受験費用が高く
- 試験会場も限られていて
- 出題範囲も広い
といったように取得するのがなかなか大変な資格ですが、経営目線でもセキュリティが学べる良い資格だと思います。気になった方はぜひチャレンジしてみてください!
コメント