CISSP合格までにやったことをまとめました

最近後輩がCISSPを受験をするに際してアドバイスをする、ということが続きました。日本語の情報も十分ではないと思うので、彼らに話した内容を記事としてまとめておきます。

私含めて、後輩たちも1週間のトレーニング(50万前後…)は利用せずに独学で合格できているので、会社のサポートを受けられない方々の参考になれば嬉しいです。

CISSPとは

「(ISC)2(International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認証資格」だそうです

個人的には、CISSPは「業界の人たちが、初対面でも真面目に話を聞いてくれるためのチケット」のような感覚でいます。「資格なんて意味がない」とのスタンスを強く持つ人でも、比較的ちゃんとこちらの話を聞いてくれる実感があります。

受験の経緯

会社の先輩に誘われて、淵上真一先生のセキュリティセミナーに参加したのが最初だったと思います。専門性を持ちながらも、謙虚でわかりやすくフランクに解説下さる淵上先生はとても素敵でした。

その後、海外のセキュリティを担当するメンバーと交流する中で、優秀なメンバーの多くがこの資格を持っていたので、自然と私も取得を目指すようになりました。

前提

  • セキュリティの実務経験 当時は3年程度のセキュリティ業務(監査、リスク評価等)の経験がありました。
  • セキュリティの学習経験 合格前年にセキュリティスペシャリスト(今でいう情報処理安全確保支援士)に合格しています。また、学生時代から趣味でCTFをしていました。
  • 学習期間 毎日60分を半年継続しました

勉強方法

勉強の流れ

大きくは以下の流れで勉強しました。()内は時間配分です。

  1. 基礎の習得(30%)
  2. 演習(60%)
  3. 穴埋め(10%)

後述する(ISC)² CISSP Certified Information Systems Security Professional Official Study Guideには「3.穴埋め」段階まで取り組まず、演習を優先したのが半年で合格できたポイントかなと思います。

使用教材

  1. 基礎の習得:CISSP Study Guide 演習に入るための最低限の知識をインプットしました。ヘタに業務経験があると斜に構えて適当に勉強しがちですが、そんなに量がある訳でもないのでこの本くらいは最初から最後までしっかり読むと新たな発見があると思います。
  2. 演習:CISSP Official (ISC)2 Practice Tests CISSP合格のベースになったのがこの本でした。CISSPの問題は「どれも正解らしい4つの選択肢の中から、最も問題文に沿った選択肢をひとつ選ぶ」タイプの問題が多く、殆どの問題は消去法で解くことになると思います。この本は的中問題を求めて読むというよりは、消去法を行う上での思考の流れをトレーニングする意識で読むのが良いと思います。
  3. 穴埋め:(ISC)² CISSP Certified Information Systems Security Professional Official Study Guide ここまで問題演習中心で勉強していたことから、最後に知識の抜け漏れを埋めるためにStudy Guide(教科書)を読みました。多くの人がCISSPで挫折する(or 無勉で挑んで撃沈する)のは、最初からこの本をベタ読みするからでは無いかと思います。

結果

結果として無事に初受験で合格できました。

なお、受験勉強中に

  • CISSP独特の考え方を学ぶ必要がある
  • 独特の考え方を習得するには50万円のトレーニングを受けるしかない

との言説にはとても惑わされました(トレーニング実施会社だけでなく受験生ブロガーも口を揃えてこれを言うので、商業的意図は無いと思い余計に迷いました)。

「CISSP独特の考え方」の内容について皆さん詳述しないので正確にはわからないのですが、私の感覚で言語化を試みると

  • 「機密性が最優先であり、完全性・可用性は二の次だ」と言う考え方は間違っている
  • 「最も適当な選択肢を選びなさい」と言われたら、消去法を使わなければならない

との内容を言っているのかなと思っています。でもこれって別にCISSPだけに固有の話では無いし、トレーニングを受けなければ習得できない話でも無いですよね。


以上です。冒頭で、CISSPは「業界の人たちが、初対面でも真面目に話を聞いてくれるためのチケット」と書きましたが、これは先輩方が築いてきた信頼のおかげだと思います。この信頼を損ねることがないよう、自分も頑張ります。

なおCISSPの出題範囲がやや変更になりましたが、上記内容は出題範囲に紐づいた話では無いので依然として参考にしていただけると思います。受験生の皆さん頑張ってください!