2024年1月21日にCISSP試験に合格したので受験記というものを書いてみます。何番煎じか分かりませんが、最新の情報がほしい方へ参考になれば幸いです。
CISSP試験について
CISSP試験はISC2という情報セキュリティプロフェッショナルの育成を資格制度を通して応援している団体が提供する試験のうちの1種です。国際的に認められている情報セキュリティ資格で、競争入札案件においては情報処理安全確保支援士に並んで応募要件の1つとなっていたりする場合もあるようです。
試験内容は2024年1月現在でCBKドメインと呼ばれる下記8つの分野からなる範囲から出題されます。
- セキュリティとリスクマネジメント
- 資産のセキュリティ
- セキュリティアーキテクチャとエンジニアリング
- 通信とネットワークセキュリティ
- アイデンティティおよびアクセス管理
- セキュリティの評価とテスト
- セキュリティの運用
- ソフトウェア開発セキュリティ
日本語で受験する場合、6時間以内に250問を回答し、70%以上正解することで合格となります。その他試験の詳細は下記をご覧ください。
ちなみに2024年4月から試験が更新され、各ドメインの出題比率が変わるようです。そちらも詳しくは下記をご覧ください。
前提
ところでお前さんは誰だという話ですが、しがない脆弱性診断員です。なので、普段はお客さんの情報システムやWebサイトをチクチクしてネチネチ言っています。(ゴメンね開発/運用担当者さん。。。)
簡単な経歴としては以下のような感じです。
- CSの大学卒
- 情シス2年
- 社内向けWebアプリケーションの設計/開発/運用/保守
- ヘルプデスク
- IT資産管理
- PCキッティング
- 脆弱性診断員4年
- Nessus、Nmap等のツールを使用したPF診断(Web診断はほぼ経験なし)
- 診断作業の自動化用スクリプトの開発
ちなみに、CISSP受験前の主な取得資格は以下です。()内は取得年。
- 情報セキュリティマネジメント(2018年)
- 情報処理安全確保支援士(2019年)
- CompTIA Pentest+(2021年)
- Securist 認定Webアプリケーション脆弱性診断士(2023年)
CISSP試験受験の動機は、脆弱性診断の報告会を担当するときに、現場レベルの人向けだけじゃなくて、経営者レベルの高い立場の人の心も動かせるようなアドバイスをしたいなという気持ちが高まってきたので、引き出しを増やす意味でも受験を決意しました。(そろそろ箔をつけたいなと。)
試験対策
他の方の合格体験記という先人の知恵を参考に下記のCISSP公式問題集を使用しました。
基本的に使用したテキストはこれのみです。「問題を解く」→「知らないキーワード、概念、問題を解くための考え方をGoogleスプレッドシートにまとめる」→「覚える」を繰り返しました。
勉強の記録
(この章は勉強の記録を交えた日記として捉えていただければと。そこまで参考にならないと思います。勉強のTipsや試験での気づきは後述する過去の私へ(未来の受験者へ)の章に記載しています。)
試験勉強をいつ開始したかですが、2023年の10月後半らしいです。
無勉強でCISSP公式問題集の模試1解いたら64.8%だった。
— ちゃろたろ (@yucharotaro) October 28, 2023
ほーん、なるほどな🔥
ノー勉で日本語版CISSP公式問題集の模試を1度解きまして、この時点でこの正解率なら割りといけるんじゃないのとやる気になった記憶があります。ドメインごとの勉強をする前に試験の雰囲気を知れたことで、まったく知らない分野ばかりじゃなさそうなことが分かって少し安心もしました。まずは敵を知るためにも、最初は模試を1度解くことから始めることをおすすめします。
話は変わりますが、やる気は出たものの行動に伴わないのが人間です。勉強開始時点では試験日を決めていなかったことで勉強を後回しにしたり、知らない分野のドメインが精神をえぐるので問題集に向き合う頻度がマチマチになってしまいました。
CISSPの勉強を通してこんなことも知らんかったのかと思わされてる。ドメイン半分くらいきて軽く絶望してるので、全部終わる頃にはどうなってるいるのか...
— ちゃろたろ (@yucharotaro) November 16, 2023
結局、8ドメイン解き終わったのは勉強開始から2ヶ月後の2023年12月31日でした。やる気とは裏腹の亀さんペースです。
ここで各ドメインを1周解いた時点の正解数と正解率の記録を置いておきます。ほぼ合格基準の70%を下回っていました。(ドメイン3は記録忘れました。。。)
当たり前かもしれませんが、試験日はある程度決めてから勉強を開始した方が良いですね。時間をかけすぎると問題集の2週目に入っても「なんのこっちゃ」です。私レベルの凡人だと下記のようにキーワードばかり増えるけど、最初の方にメモしたものはもはや初見状態になります。それくらいCISSPの出題範囲は広い。
CISSPの問題集解き続けてきたけど、そろそろ知識の整理に本腰入れていかねばまずい。
— ちゃろたろ (@yucharotaro) January 6, 2024
見直し用にメモしてたキーワードが模試1回とドメイン8個分で600弱ある。これは戦略立てて整理しないと無駄に覚えるだけになりそうだ。。。
そして、ここで体調を崩しました。この時点で試験日は2024年1月21日を既に予約しており、不安になりつつも勉強はほとんどできず横になってました。キーワードの見直しくらいはやっていたと思います。
完全回復(?)したのは試験1週間前くらい。やる気(焦り)で体を突き動かし、問題集のドメイン2週目と模試2、3回目をやりました。正解率は上がりましたが、まだまだ間違う問題、正解するものの迷う問題も多かったです。
問題集を最後までやってから試験に臨みたかったのですが、ここで時間切れでした。
試験当日
試験会場はPMO西新宿の8F。朝7:30集合だったので、早起きしました。(0次試験合格)
ちなみに、試験当日の正面玄関は閉まっており、玄関横の通路を進んだところにある扉から中に入りました。各試験会場によって入館方法が異なるようなので下記で確認しておくと当日慌てずに済むと思います。
なお、試験会場の待合室に入ると勉強は禁止らしいです。待合室で少し待つと受付に呼ばれ、手続きをし、試験中は荷物に触ってはいけないとのことだったので、持っていった軽食は荷物と分けてロッカーに預けました。
その後、試験会場に入場する前に軽い説明を受けて、試験開始です。試験内容の詳細はNDAの関係で書けません。。。
凡人なので250問を解くのにかかった時間は5時間50分くらい。(ちなみに問題集の模試1回(125問)を初見で解いた時にかかっていた時間は1時間20分程度だったはず。)「時間をフルに使い、じっくり1問1問解答しました。」と書けば、見栄えが良いのですが、1問ごとに足りない頭を絞って考え、本当に手応えのない解答を繰り返していました。試験時間中は自由に休憩が取れますが、休憩をゆっくり取るような心の余裕は正直ありませんでした。トイレ休憩に1度行ったくらいです。
試験直後、これは落ちたなと本気で思いました。受付へ向かい、結果が書かれた紙を受け取るとおめでとうございます!の文字がありました。嬉しさよりも何かの間違いなんじゃないかという戸惑いと疑いが無限に湧き出て「ど゛う゛し゛て゛た゛よ゛お゛お゛ぉ゛お゛!゛!゛!゛」となりましたね。
その後、ISC2から合格おめでとう、メンバーになるなら申請しなさいよと1通のメールが届いており、現実だと思い知って調子に乗ったポストが以下です。
CISSP無事に合格できました〜
— ちゃろたろ (@yucharotaro) January 21, 2024
セキュリティ チョット ワカル🤏 pic.twitter.com/IBzEGaj0pW
過去の私へ(未来の受験者へ)
CISSP試験の受験を考えている方のほとんどが、この受験記に試験合格のための近道なりヒントを求めていると思います。私はというと、試験勉強中はハイエナのように受験記を見て回りました。この章では受験前の私自身へメッセージを書いてみます。受験予定の方は、ここから何かしら参考になる情報を読み取っていただければ幸いです。
では、さっそく過去の私へ。
試験合格にフォーカスして勉強していることと思いますが、受験前の私に1つ言えるのは「受験記に書いてあることが全てではない」です。(当たり前かもしれませんが。。。)
世に出ている受験記には多くの有益な情報が記載してあります。代表的なものをいくつか挙げると
- 最短で試験に合格するには公式問題集をやれば十分。
- 公式問題集は〇〇%くらいの正解率があれば安心。
- 不正解の選択肢はなぜ不正解か理解しろ。
- 公式ガイドは不要。
- △△という本やサイト、模試、講座が知識を助けてくれた。
- 試験自体はXX時間で終わった。
- CISSPの考え方が云々。
それら有益な情報は合格した方が書いているので嘘ではないはずですし、事実の1つだとは思いますが、100%誰にでも当てはまるものではないということを認識しておくべきです。特に、合格には+αのナニカが必要な人もいるはずだということを。
過去の私は「問題集に取り組めば十分」を真に受けて信じていることと思いますが、いざ試験を受けて問題を見た瞬間「合格者は全員グル、謀りやがった」、「今までの勉強はなんだったんだ」と思うことになります。。。
問題集の内容(キーワード、不正解が不正解たる理由、考え方等)が全て分かれば大丈夫なんて思い込んで安心しない方が良いです。思ってたのと違う!と心を乱され、勉強してきた知識がそのままではほぼ使い物にならず、1問1問恐ろしく慎重に解かざるを得ない状況に陥ります。さらには、試験時間はXX時間で終わったという情報も真に受けない方が良いです。自分の回答ペースと違いすぎて、焦りを加速させます。極めつけは、どこかの誰かが書いていたCISSPの考え方、それを見て覚えるだけでは何の意味もありません。その内容だけが頭を巡って、結局なんなのか分からず邪魔なだけです。
偶然、私が対峙した試験問題が特殊だったのかは分かりませんが、少なくとも過去の私がしている勉強(問題集を解いてキーワード、概念、問題を解くための考え方を覚える)は試験に役立ったかというと一歩足りなかったと思います。(単に勉強の「量」の不足と言えばそうなのですが。。。)
なぜ一歩足りないのに合格できたか?私が思うに、「セキュリティプロフェッショナルに必要な知識をどのように使って問題を対処するか」を考えるための下地自体は勉強を通して養成されていたのだと思います。ただ、CISSPとして必要な知識の「使い方」が満たせていなかったかもしれないと、試験後の今になっては思います。要は経験不足ですね。だからこそ、あらゆる問題に手こずり、たまたま時間をかけて考えた結果、うまく刺さって合格できたのかもしれません。
受験記を書かれていた「問題集をやれば十分」はCISSPとして必要なレベルのアウトプットを満たすまでが含まれていたのかもしれませんが、書いてあることを真に受けてやっただけの私は試験合格は危うかったかもしれません。
「受験記に書いてあることが全てではない」ということで、過去の私は勉強した知識を「使う」練習をしなさい。それは勉強だけでは得られないかもしれません。日々の経験を重ねるのです。また、受験記は参考にしつつ、前情報の思い込みや油断をせずに試験に望みなさい。
以上。
終わりに
これから受験する方には不安を与えるような、的を得ない内容になってしまったかもしれませんが、私の受験記もただの1例です。こんな受験記もあるよということで捉えていただければと。
まぁ、試験問題は蓋を開けてのお楽しみなので、ある程度やることやったら思い切って試験を受けてみると良いと思います。がんばってください!!
何か質問があればできる限りの範囲で返事をしますので、DMなりでご連絡ください。
余談
試験合格のための勉強に振り切ったおかげで、知識だけはつきました。様々なガイドラインやフレームワークに触れたので何を参照すれば良いかといった勘所のようなものは得られたと思います。当初の引き出しを増やすという目的は勉強を通して少しは増やせたかなと。
ただ、必要最低限の知識しか触れてないと思うので、深掘りとそれらを使う経験を積んでISC2の倫理規約「専門性を高め、維持する。」を体現していけるよう精進します。。。