ChatGPTをフル活用して、IT初心者が難関資格であるCISSPに受かった合格体験記【2023年10月】

2023年10月にCISSP試験に合格したため、勉強方法をまとめます。

はじめに

CISSPとは

国際的に最も権威のあるサイバーセキュリティの資格で、範囲が広大であることが特徴です。

CISSPとは（概要・試験について）
セキュリティ プロフェッショナル認定資格制度（CISSP）は、国際的に認定されている資格であり、この資格の保有者がセキュリティ共通知識分野（CBK）の8分野について、深い知識を有していることを証明するものです。
戦略的かつ公平な判断のできるベンダーフリーの認定資格CISSPにより、セキュリティ専門家としてのスキルの裏付けを提供します。

特長
国際的に最も権威あるセキュリティ プロフェッショナル認証資格。
最も広範囲な知識レベルを必要とする資格で、セキュリティ業務従事者から管理職者が対象。
ISC2（国際情報システムセキュリティ認証コンソーシアム）NPOが実施。
全世界で152,000名以上（2022年1月現在）が取得。
2004年6月にISO/IEC17024を認証取得。

【出典】NRIセキュア

試験難易度としては情報処理安全確保支援士よりも難しいと言われています。

筆者のスペック

• 社会人2年目

• 経歴：某私立大学文系学部→某大手SIer(1年)→某大手コンサルファーム(半年)。社会人になってIT系の勉強を開始。

• ITの知見：CISSP受験の半年前に応用情報技術者資格に合格しており、基礎的なIT知識を有しているが、実務経験については、前職・現職ともに研修期間が長期にわたったため限定的。業務の大半は資料作成が中心で、システム開発やインフラ構築については研修時の基礎的な経験のみ。

• 英語力：大学時代に英検1級に合格しており、リーディングは特段問題なし。ただし、セキュリティ特有の用語・言い回しに抵抗がある。

受けようと思ったきっかけ

• 現在従事しているセキュリティ分野の中で、最も権威があるらしいから。（最も権威がある＝最も難しいとは限らないのが世の常ですが、アピールのために資格を取るならば権威は大事です。）

• 英語で情報収集をする際に役立ちそうだから。

• とりあえず、幅広くセキュリティについて学んでおきたいから。

使用教材

【アウトプット】

Amazon.com: (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide eBook : Chapple, Mike, Stewart, James Michael, Gibson, Darril: Kindle Store

基本的には全ての問題を一瞬で回答できるくらいやりこめばOKです。

【インプット】

CISSP 勉強ノート

体系的に整理され、よくまとまっているため、このページをベースに知識を整理すると良いでしょう。私の場合は、このページの内容をGoogle Docsにコピーし、問題を解きながら適宜情報を追加していきました。このような情報の一元管理は、どのような学習においても非常に重要です。

【日本語】初心者から学べるCISSP講座：CISSP Domain1 ビデオ学習

会社でUdemy Businessが利用可能なため、無料で受講できました。内容が分かりやすく解説されているので、不安のある分野はこのコースから学習を始めることをお勧めします。非常に理解しやすい内容ですが、私は動画での学習が合わなかったため、Domain 3までしか視聴していません。ただし、コースの分かりやすさは間違いありません。

CISSP Certification: CISSP Domain 1 & 2 Boot Camp UPDATED 23

テキスト内容が充実しているため、時間に余裕がある方は追加学習としてお勧めです。こちらもUdemy Businessが利用可能なため、無料で受講できました。動画はほとんど視聴せず、苦手とするDomain 4のテキスト部分のみを参照しました

なお、公式ガイドブックは分量が多すぎるため使用しませんでした。合格のみを目的とするなら不要だと考えますし、使用する場合でも参照程度で十分でしょう。全てを読破するには相当な時間を要します。
また、50万円ほどする高額のセミナーに関しては、自分は受け（られ）ませんでした。

学習のコツ

ドメインごとにインプットとアウトプットを繰り返す

学習の基本となります。私の場合、日本語のUdemyで概要を理解し、学習ノートで知識を補強した上で、公式問題集に取り組みました。
既に習得している分野については直接問題を解くことも可能ですが、知識の乏しい分野を問題集のみで学習すると、基本原理や本質を理解せずに答えを暗記することになるため、避けるべきです。
（大学受験の英語に例えると、文法書や授業で体系的に理解していない単元を、いきなりネクステージやVintageなどの問題集で学習を始めてしまい、応用の利かない知識が身についてしまうようなものです）

回転率を意識する。

私が勉強において重視していることは、問題集の学習サイクルを短縮することです。
そのために、復習が必要な問題とそうでない問題を区別し、1周目、2周目、3周目...と繰り返す中で、完璧に理解した問題は×印でもつけて、次の周回ではスキップするようにしましょう。
こういったことを繰り返していくうちに、徐々に一周の時間が短くなっていくはずです。

また、CISSPの場合は問題文が長いものの回答のために読むべき箇所は一部だったりするので、回答のポイントとなる箇所にマーカーや線を引くことも周回速度を上げるために有効です。

例えば、以下の問題の場合は太字の部分だけを読めば回答が可能なので、太字の部分だけにマーカーや線を引きます。

Aは、セキュリティコンサルタントで〇〇業界を担当しています。そこで、マネージャーから顧客の会社ではXXXXXXXXXXXXという問題があるといわれました。そこで△△△△△△△△△△を調査した結果、悪意のあるユーザがデータを要約するタイプの関数を使用しているとわかりました。このタイプの関数を表す用語は？
A. Aggregation
B. Lost Update
C. Dirty Read
D. Polymorphic

例題(答えはA)

ChatGPTをフル活用する

本ノートの肝です。これがなかったら実務経験無・独学で受からなかったと思います。
主に問題の解説と、用語の解説に使用していました。

問題の解説
公式の解説だと抽象的だったり、視認性が低かったりします。なので、以下のようなプロンプトを打ちます。

以下の問題に関して問題文の要約と、各選択肢の用語に関して漏れなく解説となぜ正解or不正解の解説をしてください。
#各選択肢の用語には元々の英語表記も添えること。
#問題文は日本語で要約すること。
＃各選択肢のそれぞれに必ず触れること。
＃選択肢は箇条書きにすること。
【問題文】
（問題文をそのままコピペ）
【解答と解説】
（解説をそのままコピペ）

ChatGPT

箇条書きに整理されて見やすいですし、解答の根拠も具体的ですね。また、わからなかったら追加の質問もできます。

用語の解説

知らない単語や、そもそも解説を読んでも抽象的で理解ができないことがあると思います。そんな時は、以下のようなプロンプトを打ちます。

以下の用語について、初心者でもわかる解説をお願いします。
#箇条書きにすること
 #構造化すること。
#各用語解説に具体例と使用ケースも添えること。
(用語)

ChatGPT

解説に加えて、具体例や使用ケースも提示してくれてイメージがしやすくなったのではないでしょうか。これを読んでも分からないところは「〇〇の部分が理解できない」などと質問すると追加で確認することも可能です。
また、「小学生でもわかるように説明して」と付け加えるとこれでもかというくらい噛み砕いてくれたりするので、ChatGPTのプロンプトを調べてみると効率よく使いこなせるかと思います。（これからの時代、生成AIを勉強しておいて損が無いことは言うまでもありません。）

体験記

勉強開始(7月〜)

7月から学習計画に基づいて勉強を開始し、サボったりして進捗に波はありながらもDomain 6まで学習を進めました。しかし、残りのDomain 7とDomain 8は未学習のまま、既習分野の復習も不十分な状態で試験日を迎えることとなりました。
ちなみに、この時期ISC2がリテイクキャンペーンを実施しており、8月中に受験することで10月15日までの再受験が無料となる特典がありました。このキャンペーンを活用し、8月末に第1回目の受験をすることを決めました。試験の出題傾向を把握できることに加え、明確な期限を設定することで学習のペースメーカーになると考えたためです。
（補足：10月15日まで再受験無料となっていたものの、実際には10月末まで再受験の申し込みが可能であったため、10月27日に再受験を行いました）

試験1回目(8月末)

帝国ホテルタワーに午前7時30分集合でした。早朝の集合時間に苦労しましたが、無事に会場に到着できました。
試験会場では、電子機器やテキストなどの持ち込み品を全てロッカーに預ける必要があったため、試験開始までの時間は復習することができませんでした。
試験時間は6時間で、途中で休憩を取ることが可能でした。軽食と飲み物はロッカーに保管でき、休憩時間中に取り出すことができました。ただし、電子機器やテキストを収納したバッグには触れることは禁止されていました。
注意点として、長時間の試験に対応するためには、十分な睡眠時間の確保が重要です。私の場合は睡眠時間が1時間しかなく、眠くて試験に集中できませんでした、、、
なお、試験内容についてはNDAを締結しているため詳細には触れられませんが、日本語訳は（一般に言われているよりも）良好でした。

試験結果(1回目)

試験結果(1回目)

当たり前のように不合格でした。受かるはずがないと思っていたので、むしろ5/8分野が基準値以上、1分野が基準値近くであることに驚きました。
この結果を受けて、ちゃんと勉強すればいけるのでは？と思いました。

2回目試験までの学習

2回目試験は10月27日に予約をしました。(リテイクキャンペーンの制約により、10月末が期限だったため)
次回不合格の場合は会社から受験費用の支援を受けられないため、13.6万円が自己負担となり、大きなプレッシャーが押し掛かります。
学習の方針としては、前回の試験結果を基に、結果が悪かったネットワーク分野を中心に勉強しました。また、前回の試験で頻出した分野も、記憶の限り重点的に取り組みます。

なお、勉強時間ですが、9月中は事情によりまともに勉強できませんでした…笑
結局、Domain8まで解き終わったのが10/9で、試験日までわずか20日弱、、、「不合格」の3文字が脳裏によぎります。
時間が限られているため、そこからは回転率を意識して復習に励み、なんとかDomain1-8の全ての問題を脊髄反射で解けるまでに持っていきました。
Practice Testに関しては、1回目で8割程度の正解率だったため、Test 2-4は放置してDomain1-8を完璧にすることに焦点を当てました。（時間があれば絶対にやるべきだとは思いますが）

試験2回目(10月27日)

10時に西新宿のテストセンターに到着し、10時半に試験を開始しました。360分で250問を解くため、30分ごとに25問解く目安としました。（合計で5時間で終える計画でした）
実際には、回答に4時間、休憩に約30分を要しました。1回目の試験と異なり、自信を持って回答できる問題が多く、50問解いた時点で良い手応えを感じました。
約2/3の問題はある程度の確信を持って回答でき、残りの問題も大体2択程度に絞ることができました。

試験結果(2回目)

やりました！合格です！
試験結果を受け取った際は安心して膝から崩れ落ちそうになりました。

あとがき

勉強時間は4ヶ月で、なんならそのうちの1ヶ月はほとんど勉強できておりませんでしたが、火事場の馬鹿力で合格することができました。
私のような実務経験が乏しい人間でも、独学で難関資格であるとされているCISSPに合格をすることができたという事実が少しでも皆さんの励みになればと思います。