どうも、のみぞうです。趣味でセキュリティをやっている者です。
趣味の延長でCISSPを受験したら受かったので試験対策にやったことなどを書きます。ちなみに会社から補助とか出てないので受験料の約10万円は自腹で支払っています。それに関してはまあそれほど珍しいことではありません。
CISSPとは?
この記事を読んでらっしゃるような方には説明不要と思いますが、一応公式サイトを引用しておきます。簡単に言うと、セキュリティ業界で有名な難しめの資格です。認定には5年(場合によっては4年)の実務経験が必要。(ISC)²は「アイエスシースクエア」と読むらしい。おしゃれ。
CISSP(Certified Information Systems Security Professional)とは、(ISC)² (International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。
CISSP®とは
試験時間は6時間。だいたい四択で250問を解答する。1000点満点で700点で合格(配点は非公開)
取得したら年収イッセンマンが狙えるそうです。まじで???
体感で私のTwitterのフォロワーの8割くらいがCISSP持ってる気がするんだけど…みんなもっとおごってくれていいんですよ??私はお寿司が好きです。待ってます。
受験の動機
高尚な理由があるわけではなく。試験会場の予約がそこしか空いてなかったから。お店で在庫残り1個ってなってるとなんか急に欲しくなって買ってしまうあの感じでそのまま受験を決めてしまった。
あとお正月なので去年の振り返りをしたら「あんまりインプットができてないなー」ということを反省したので、資格試験とか受けると強制的にインプットすることになるからいいかなーって思って。
ついでなのでTwitterのハッシュタグつけて毎日勉強の報告をすることにしました。日々のツイートをまとめたのでリアルな感覚を共有したいという酔狂な方はどうぞ。誰用なのかは不明。
前提知識
私はエンジニアではありませんし、趣味でセキュリティをやっているだけですが。だからこそ知識を補うために資格勉強にハマってた時期がありましていろいろとってます(詳しくはプロフィールに書いてます)最近は飽きてやってないけど。
資格って何の役にたつの?ってたまに煽られたりしますが、ゴリゴリの技術者の人でなければ勉強で得た知識は役に立ちますよ。腕一本で生きていくんだって人は手が動くかの方が大事だろうけど。そういう魑魅魍魎の世界は知らん。
実際に受験したCISSP試験の難易度の感想としては。完全にセキュリティ初心者ですって人が2週間で合格するのは難しいと思いますが「情報処理安全確保支援士試験で勉強しなくても合格ラインとれる」くらいの人(ITSSレベル4.5〜5くらい)であれば、少しCISSP向けにチューニングすれば普通に大した追加学習をしなくても取得可能な範囲では?という感覚があります。(個人の感想です)(当然人によります)
試験対策でやったこと
本題です。しかし2週間は短すぎてそれほど特別なことをやっている時間はなかった。
身も蓋もない話をすると公式問題集を1.5周くらい回したらそれで時間切れでした。仕事も日常生活もあるし。ご飯食べたり寝たりお風呂入ったり犬の散歩行ったりしないといけないし、普通の大人はそんな暇じゃないですよね。いかに効率化するかが肝だとは思います。
戦略を練る
戦いを略すと書いて戦略です(これ前も言ったな)幸いにもCISSPはいろんな先人たちが受験記や合格体験記を書き残しているので、片っ端からググって読ませていただきました。偉大なる先輩のみなさんありがとうございました。
Twitterでも書いてますが、しのべさんの記事には大変お世話になりました。
この記事を参考にして、得点の記録をつけつつひたすら公式問題集を解いていきました。ちなみに教科書は買ってない。多分読む時間ないから。
問題集の解き方
問題集をKindleで買ったので、白いコピー用紙に解答を書いて答え合わせしてました。別にノートでも良いんだけど個人的には汚い字で書いても役割が済んだら捨てられるペラ紙の方が気楽。積み重ねが自信につながるタイプの人はノートの方がいいかも。
コツは、問題解いている中で聞いたことない用語が死ぬほど出てくるので、端っこに用語をメモっておいてあとで調べて自分なりのカンペを作ること。もちろん試験に持ち込んじゃダメですけど、直前まで見るのに使います。
マジで汚いので…メモ作り終わったら容赦なく捨てていきます。
用語を調べるのはインターネッツを使ってもいいですし、本を読んで調べたりもしました。こちらのCISSP勉強ノートさんにも非常にお世話になりました。ありがとうございます。
問題を解く ⇒ 調べる ⇒ 問題を解く ⇒ 調べる の繰り返しを時間切れまで繰り返す感じでした。直前までの得点はこちら↓
ポイントは解説を読むだけだと多分知識として身につかないので、ちゃんと自分で腹におちるまで調べつくすことでしょうか。
ツッコミとか入れながらやると感情が乗るので覚えやすくなるらしいですよ。
空き時間に関連書籍を読む
とは言え問題解いてばっかりだと飽きるので、関連する本をいろいろ読んだりしてました。直接役に立ったかはわからんけど、多分こういうのもあとあと自分の血肉になるのだ…多分。
言わずと知れた名著。初心者にこの本を勧めてくるのはだいたいオッサン。だけど外せない。ドメイン3~4あたりではネットワークの理解が不可欠になるのでこういうのやっぱ大事だわーと思いました。セキュリティ編も持ってるんですけどCISSPは入門編の範囲だけで十分だと思う。
ドメイン3の暗号周りの理解は難しいので読んだ。いや、前から持ってたんだけど、改めて再読。やっぱ良いわ。
CISSPの気持ちになれれば受かる…と聞いたのですが、CISSPの気持ちがよくわかんなかったので代わりにせめてCISOの気持ちになろうと思って読んだ。なれたかなあ。
ドメイン6のペネトレーションテストのあたりの話がよくわかる。この辺になるともうただの趣味で読んでるだけなのであんまり試験に関係ないがまったく関係ないわけではない。
雑誌。たまたま興味があって読んでたんだけど、たまーに出てくる物理インターフェースの話とかカーネルの話しとかがちょっと役立つかも?と思った。
試験当日
朝早いので試験会場の近くにホテルをとるのやりたかったんですけど、犬を飼っているので外泊は避けたく普通に早起きして行きました。寝坊を恐れるあまり早起きしすぎた。午前3時台って。お年寄りか。
会場が開いてない
朝早すぎたせいか、試験会場のビルが開いてないぞーー?あれれーー?って困っていたらフォロワーさんから「インターフォン鳴らして入れ!」って教えてもらいました。よく見たら裏口があってそこから入るようになってた。入ってすぐ受付の方に「カバンをロッカーにしまってください。もう勉強は禁止です」って言われてちょっと早く来すぎた事を後悔しました。いやここまで来たらそんなに変わらんのだけど。
あとなんか手続きしたりして(おやつを持ち込みすぎて笑われるというハプニングもあり)7時45分くらいに試験開始になりました。
試験中の時間配分
6時間の試験中休憩は自由にとっていいということですが、試験管の方を呼ばないといけないのでちょっと気を遣うよね…。気にしすぎ?
100問目くらいで集中力切れたから休憩とろうかと思ってたのですが、なんかバタバタしてて忙しそうだったので125問目(半分)まで解いてから休憩にしました。
お茶とおにぎりとチョコ2箱とレッドブルとラムネを持っていきましたが、正直お茶だけでよかった…あんま休憩する感じじゃないし。スマホいじるわけにもいかないし。早々に切り上げて問題を解ききってからゆっくり休憩しました。
試験終わったのが11時15分くらいなので、休憩込みで250問でだいたい3時間30分くらいでした。体感としてはかなりゆっくり1問1問慎重に解いていました(1度解答した問題は後戻りができないため)それでも時間は大幅に余るので、まあ焦らずじっくり考えて解くのが良いと思います。
試験について
当然内容は非公開ですが。良くも悪くも試験対策としての勉強はあまり役に立たない試験なんだなあというのが正直な感想です。
よく試験範囲の広さが取り沙汰されますが、情報処理技術者試験で慣らした人間にとっては範囲の広さはそんなに問題にならないと思うんですよねえ…(高度試験の午前1の方がよっぽど範囲広くて深いですよ)
でも問題集解いて解答と用語を覚えましたくらいだと全然歯が立たないとは思います。じゃあ他に何を勉強すればいいのかっていうと正直よくわからん。まあ本当に資格が必要で受かりたいだけなんじゃー!!って人は独学じゃなくて普通に集合研修受けた方がいいと思います。おカネをかけられるか(そういう環境に身を置いているか)も含めて、なんだかんだ総合力が試されている試験なんだなあという気がしました。
手ごたえがわからなすぎて、今回受からなかったらあと2年は無理かもしれない…と思ってたので「おめでとうございます!」の字を見たときは安心した。
この記事で言いたかったこと
べつに2週間で合格した俺スゲー!って言いたい訳ではなくて(いや、ほめてもらえるのはうれしいです)(もっと褒めて)
どーせ受かっても落ちてもセキュリティなんて一生勉強なんだから、問題集解いて答え合わせするような勉強はなるべく早くさっさと終わらせて、自分が本当にやりたい学びに時間使った方がいいんじゃないですか?ってことを伝えたかったです。正解のある問題を解けるようになることだけが勉強ではないし、自分なりの探求を深めるほうが豊かなんじゃないかなあと個人的には思います。だからCISSPも、取得だけじゃなくて維持の方にもそれなりにコストがかかるようなしくみになっているのかなと(まあ支援士はそのコスト払うの嫌だから未登録なんですけど)
多分、大人になってから受ける試験って受かってからまたスタートみたいなところがあって。つくづく沼だなあ~とか。そんな事を思ったりします。
よし、じゃあ俺はハッキングに関する学びを深めるぜ!と思った方は良かったら拙著をお買い上げいただけると幸いです(宣伝)w
2023/01/17追記:kanameさんが良いこといってくださったので載せます。迷ってる人はまずは試験を予約してからやってみるのも良いと思いますよ。