記事をシェアする

公認情報システムセキュリティプロフェッショナル(Certified Information System Security Professional, CISSP)という資格試験に合格した。受験前に多くの記事を参考にさせていただいたので、今後の参考にしていただえるようまとめておきたい。

CISSPとは

まずCISSPとは

色々なページに書いてあるが、まずは公式から引用します。

CISSP(Certified Information Systems Security Professional)とは、(ISC)² （International Information Systems Security Certification Consortium）が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。
Novell、Deloitte Touche Tohmatsu、大手ヘルスケアサービス企業その他主要企業において、CISSP認定資格の取得が情報セキュリティ関連業務従事者の必須事項とされています。
2004年6月には、米国規格協会（ANSI）よりISO/IEC17024の認証を受け、資格制度の全てのプラクティスがグローバルに認められ、認定資格試験としての信頼度がより高くなりました。
CISSP認定資格は、情報セキュリティの共通言語とも言える『(ISC)² CISSP CBK』を理解している情報セキュリティ・プロフェッショナルのみに与えられる資格です。
CISSP認定資格の取得は、国内外において、個人および所属組織の信用・信頼の獲得につながります。

以下の記事では、「情報系修士課程と同等の価値」と、みなされるとのことです。

The analysis saw UK NARIC conclude the qualification assessed knowledge and skills comparable to the RQF Level 7 standard, with clear emphasis on assessing specialized cybersecurity knowledge, understanding and application of skills including: organizational problem solving and decision making, awareness and correct use of industrial standards, policy and best practice, along with understanding and appropriate use of methodologies, techniques and training in relation to cybersecurity.
(ISC)² CISSP certification recognized as equal to a Masters by UK NARIC

イギリスの国家機関であるNARIC(National Academic Recognition Information Centre)は、CISSPが修士号と同等の価値があると発表しました。NARICは世界中の学術、職業、専門資格に関する情報と専門家のガイダンスを提供している機関です。https://t.co/Z0rtPiu1Wq
— ISC2_Japan (@ISC2_Japan) May 13, 2020

WHAT YOU NEED TO KNOW: CISSP COMPARABLE TO U.K. MASTER’S DEGREE STANDARD

活用事例：世界での活用事例
米国政府
CISSPはサイバーセキュリティにおける資格として米国政府のゴールドスタンダードとして認定されている。
NSA（国家安全保障局）：
CISSP取得義務付け、上位資格（ISSEP）の提供
DoD（国防総省）：
CISSPが取得必須資格要件になっている
米国従軍軍人省（米国政府で2番目の規模の省庁）・米国DANTES（U.S. Defense Activity for Non Traditional Education Support）」：
CISSP取得費用の負担
ヨーロッパ
英国スコットランドヤードのコンピュータ犯罪局やインターポール（国際警察機構）においても、情報テクノロジー犯罪の専門家のCISSP取得が進んでいる
英国政府のInfosec Training Paths and Competencies（ITPC）（英国政府機関、認定契約機関及び関連組織における機密情報を管理する情報セキュリティ専門家のために設けられたトレーニングプログラム・資格認定の仕組み）で、CISSP認定保持者を自動的に資格認定することを決定
イギリスの国家機関であるNARIC(National Academic Recognition Information Centre)は、CISSPが修士号と同等の価値があると発表しました。NARICは世界中の学術、職業、専門資格に関する情報と専門家のガイダンスを提供している機関です。また、これに先だって、ACE CREDIT (American Council on Education’s College Credit Recommendation Service)は、(ISC)²の資格を大学の単位として認めることができる、と報告しています。
https://japan.isc2.org/example_world.html

試験範囲

試験範囲はかなり広範囲にわたる。

CISSP CBKは、以下の8ドメインから構成されています。
セキュリティとリスクマネジメント
資産のセキュリティ
セキュリティアーキテクチャとエンジニアリング
通信とネットワークのセキュリティ
アイデンティティとアクセスの管理
セキュリティの評価とテスト
セキュリティの運用
ソフトウェア開発セキュリティ
CISSP CBK8ドメイン概要

スプリンクラーの種類やフェンスの高さから、ネットワーク構造や暗号アルゴリズムのbit数までが範囲の試験。

とりあえず「セキュリティの国際的によく知られた資格」という認識で問題ないだろう。

バックグラウンド

CISSPの受験に関係しそうな資格・経歴・経験を列挙する。

関係しそうな資格

Ph.D. 量子物理学ケンブリッジ大学
工学修士・学士 (応用物理学・情報工学) 慶應義塾大学

CEH (Certified Ethical Hacker, 認定ホワイトハッカー)
CISA (Certified Information Systems Auditor, 公認情報システム監査人)
CISM (Certified Information Security Manager, 公認情報セキュリティーマネージャー)
CAMS (Certified Anti-Money Laundering Specialist 公認アンチマネーロンダリングスペシャリスト)

物理学・情報工学系で修士号と博士号、セキュリティ一般やガバナンス、監査やセキュリティに関する別の資格を保有しているため、科学的な情報理論や、監査・マネジメント方面にはある程度は前提知識があった。

関係しそうな経験・経歴

監査・セキュリティ関係の経験など。

コンサルティングファーム勤務(リスク・マネロン・セキュリティ・監査・分野)
ウェブサイト・ドメイン・サーバーの運営や基本的なサイバー攻撃対策の設定の経験も含めると約5年+。
プログラミング経験数年。受託など含め、開発したサービスは商用利用されている。
趣味で自分のサイトにTor(ダークウェブ)を使ったプログラムでアクセスしてみたりなど。
プログラムやセキュリティはある程度はコードや運用の経験がある状態であった。
光や物性・デバイスの研究をしていた経験から、光ファイバーやワイヤー・信号・磁気遮蔽などを取り扱ったこともあった。

英語

英語は実務に支障がないレベル。日本語よりも英語での業務の経験の方が長い。なおTOEICの点数は知らない。海外と日本の就職活動の歴然とした差を実感。海外大博士から見た就職活動

対策コースやオンラインコース等に通わずに、教科書だけで独学で合格したことは間違いない。

しかし関連資格を既にいくつか取得しているため、なんだかこの記事単体ではCISSPの試験対策エントリーとしては役に立たなくなってきている感があるのもまた事実である。

対策

他の方々の体験記の記事を参考に、使ったものは以下の4冊。

検索した限りでは日本語のものはやたら高く、どうやら訳がアレな様子であったため、教科書や問題集はすべて英語のものを利用した。

教科書の選定は他の方のお薦めもあったが、「公式のもの」と「解説が詳しいもの」を重点的に選んでいる。今回もその傾向を踏襲した。

1．CISSP Study Guide (English Edition)

いわゆるConrad本。確かにこちらの本は範囲の全分野の大部分をカバーしているため、一冊を何回か読めば全体が把握できるように思う。しかし説明がなんとなく「理系大学の学部卒論のイントロの一部」のような説明が多く、これだけでは不安が残るため適宜Webで検索して補填したほうがいい。

2. CISSP Exam Cram (English Edition)

こちら、基本問題の一問一答式にちかい。ひたすら覚えるように読み進める。

3. (ISC)2 CISSP Certified Information Systems Security Professional Official Practice Tests (English Edition)

正味の本格的な試験対策はここからである。全8ドメインと模擬試験4回分の約1300問入っている公式問題集。Sybexのオンラインテストとして実施できるので、ひたすらオンラインで取り組んだ。

4. CISSP All-in-One Exam Guide, Eighth Edition (English Edition)

こちらはCEHの対策で役立ったシリーズ。CISSPでも利用した。

こちらも公式問題集同様詳しい解説がついている。

基本的に1と2を比較的軽く読んで、3と4の2冊を何度も繰り返し解いていった。

試験前の正答率は2冊とも95％程度となっていた。最後の方の間違いは「Not」「最も適していないもの」等の読み違いや読み飛ばしなどであった。

もはや最後の方は早押しクイズ状態になっていた。

問題集以外では、CISAやCISM・CEHの際にも使った以下の2冊。

ネットワークの部分が弱かったように感じたために、こちらを読んだ。ネットワークに詳しくはなったが、CISSPの試験対策としては深すぎた様子であった。

インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門第2版 (日本語) 単行本

暗号は多くの方がおすすめしているこちら。

暗号技術入門第3版 (日本語) 単行本

こちらも暗号には詳しくなった。試験範囲レベルは超えている印象。

なお本は紙にするかKindleにするかは意見が分かれるところではあるが、個人的にはオンラインでやる試験以外のものは紙の本をおすすめしたい。

昨今でこれまで5つの国際資格の試験の対策をしたところ、なんだかんだ付箋を貼りつつ、○や×を付けつつ、ノートに図や表をメモしながら取り組むのが最も効率も定着率も良いという結論に至っている。

試験

試験会場は帝国ホテルタワーの18階。コロナ前までは下の階に本業のオフィスがあった。今回は観光気分である。

博士号取得後に入社し2年間通勤した帝国ホテルタワーを退館しました。

静脈認証、顔写真撮影、身分証チェック、メガネチェック、ボディチェック等相当なセキュリティをクリアし試験へ。

とある国際資格の憂鬱 Web試験・テストセンターの実態

選択した試験は日本語250問6時間のバージョン。最近ではCISSPは英語版のCBT試験の場合には最短100問で終了する形式も導入され始めたらしい。しかし個人的にはCBT試験は、最初の方の問題の回答に応じて以後の問題が決定されるため「一度回答すると戻れない」等の難点があるために避けたかった。（大学院の出願のGREの際にこの形式に取り組んだことがある。)

CISSPでは日本語と英語が両方見ることが出来る試験と知り、日本語を選択した。仮に日本語版が日本語だけ表示の場合には、英語を選択していたかもしれない。というのもこういう試験は日本語訳が意味不明で間違えた経験があり、中身ではない理由で落ちたらたまったものではないため。

仮によく分からない英語があった場合に、日本語も確認できるのは安全性が高い。全ての問題の英語の原文も確認しているので、事実上全問2回解いている。

資格・試験の意味のある実践的で効率的な勉強法と資格の選択について

最初の3問が連続で見直しフラグを付けた時は、既に手に冷や汗が出た。

心の中の私「もうダメかもわからんね」とささやきが聞こえる。

ついでにコロナ対策で「常時マスク着用」のダメージも大きく、なんとなく慢性酸欠気味な感じのコンディション。

脈拍が上がる中、それでも進めていき、徐々に立て直していった。

練習中には集中力が切れてくると、問題を読み違えて誤答する傾向があった。このため「区切りがいい半分の125問目が終わってから休憩」ではなく119問目だけども集中力切れたから休憩などのように、コンディションに集中して解いていた。途中で2回休憩をしている。休憩中はトイレに行き、その後チョコレートを頬張って再戦。

結局怪しいと思った問題、確証が持てない問題にフラグを立てていったが、結局フラグは約50あった。約20は正直よく分からないもの、約30は回答の確信が得られないものであった。合格点は非公表で、さらに各問題は等しい配分ではない様子だが、合格点は大体7割くらいと言われている。更に一部はダミー問題のようである。

ざっくりいえば「250問中とりあえず誤答が大体75問以内であれば合格」ということになる。

日本語と英語で2回読み、さらにそれを全問見直しし、最後にフラグ付きを見直しすることに。結局フラグ付きは日本語英語で6回は読んでいる。

最後は「さすがに8割超えていたら合格だろう・・・？」と思いながらSubmitを押し終了。時間は6時間中5時間弱であった。昼から始まった外は既に真っ暗。

そして最後には「スコアレポートを受け取ってください」と表示された。

事前に読んでいたとこちらの記事によると「スコアレポートが出る場合には不合格」とあったので「・・・？もしかして落ちた？」と思っていた。

そう思うと、また疲弊とジーンとした手汗が。