2週間の独学でCISSPに合格した話
こんにちは、ハチです。
独学でCISSPに合格したので、勉強方法などを記録しておきます。
勉強期間は2週間、勉強時間にして約20時間程度でした。とにかく試験範囲が膨大なため、短期間の詰め込みが功を奏したのかもしれません。
ごちゃごちゃした前段はいいから早く勉強方法を教えろや!という方は、「試験対策について」からお読みください。
(2023年10月時点の情報です。最新情報はhttps://japan.isc2.org/からご確認ください)
CISSPとは?
CISSPとは、Certified Information Systems Security Professionalの略で、(ISC)²が認定を行っている国際的に認められた情報セキュリティプロフェッショナル認定資格です。
国際的に最も権威あるセキュリティ プロフェッショナル認証資格とされており、最も広範囲な知識レベルを必要とする資格で、セキュリティ業務従事者から管理職者が対象となっています。
認定には、以下のセキュリティ共通知識分野(CBK)の8ドメインについて深い知識を有していることの証明に加え、CBK 8ドメインのうち2 ドメインに関連した5 年以上の業務経験が必要です。
〈CBK 8ドメイン〉
1.リスクマネジメント
2.資産のセキュリティ
3.セキュリティアーキテクチャとエンジニアリング
4.通信とネットワークのセキュリティ
5.アイデンティティおよびアクセス管理
6.セキュリティの評価とテスト
7.セキュリティの運用
8.ソフトウェア開発セキュリティ
ただし、大学卒業学位取得者または(ISC)²が認める資格の取得者は1年分の経験が免除され、4年の業務経験で認定可能となっています。
CISSP試験概要
CBK 8ドメインすべてが試験範囲で、選択問題のみ、記述試験はありません。
受験料はもともと高額な上、円安も相まって涙が出るほど有り難い価格になっています。
問題数 : 250問/4択(日本語・英語併記)
試験時間: 360分
受験料:税込み 823.9USD(日本円で12万円ほど)
受験会場:Pearson VUE テストセンター(銀座または西新宿)
日本語の他に英語、中国語、韓国語、ドイツ語、スペイン語で受験可能です。英語で受験する場合、出題形式は変わりませんが、試験時間は240分、問題数は正答率に応じて125-175問になります。
問題文の日本語訳はあまり精度が高くないため、日本語の意味がわからないときは英語の問題文を見てみることをおすすめします。
各ドメインの出題割合は以下のとおりです。
受験申し込みはhttps://www.isc2.org/Register-for-Examから行います。
受験会場はかなり先まで予約が取れないので、とりあえず会場だけ押さえておくのがおすすめです。
申し込み後、50USD課金することで日程変更もできます。
CISSP試験合格基準点
合格基準点は1000点満点中700点です。
選択問題とはいえ、IPAの合格基準が得点率60%以上であることを考えると、難易度は若干高めに感じました。
筆者について
新卒でSIerに入社し、セキュリティ部門で働いています。昨年、情報処理安全確保支援士(SC)を取得しました。
ここでご紹介している勉強法は、「うっすらセキュリティの知識がある人間の一夜漬けなんだな~」くらいに思っておいてください。
試験対策について
さて、いよいよ試験勉強の方法です。
単刀直入に言えば、CISSP公式問題集をやれ!の一言に尽きます。
1〜8各ドメインについて100問程度の演習問題と、125問の模擬試験が4回分の構成。電子書籍のみ。
勉強法としては、ひたすら公式問題集を解く!です。
何度も何度も解いて、反射で解答できるレベルになれば合格できると思います。
以上。
…では、あまりにも身も蓋もないので、私はこうやって勉強してたよ〜という使い方をご参考までにご紹介していきます。
全ドメインを一問一答形式で演習する
ドメイン毎にまとめて演習しようとすると、どうしてもある程度の時間が必要です。(初見の場合、1ドメインにつき、解答+採点で90分程度)
時間に余裕があるなら腰を据えて勉強しても良いのですが、激務社会人の皆さんには一問一答形式で問題集を使うことをおすすめします。
問題集では、下のスクリーンショットのように、問題番号をタップすると脚注が出て解答・解説が読めます。
最初はこの機能に気付かず、いちいち解説セクションに飛んで解説を確認していましたが、脚注を見るようになってからはページ移動の手間がなくなり、勉強が非常に捗りました。
勉強するぞ!と時間確保するのは気が重いので、5分とか10分のスキマ時間で細切れに勉強することが多かったです。
ドメイン1から順番に始めてもいいし、さらっと内容を眺めて苦手そうなドメインがあればそこから勉強を始めても良いと思います。
いずれにせよ、最低限の試験対策として、全ドメインについて一問一答形式の演習をひと通り終えておきましょう。
解説を読んでも分からなかった問題はその場でググるなどして理解し、スプシやメモ帳にまとめておくと試験直前の復習に役立ちます。
どんな問題が出題されるのか把握するのが目的なので、ここでは得点率は特に気にしなくてOKです。
ドメイン毎に復習する
一問一答形式の問題演習をひと通り終えると、だいたいの内容は頭に入るので、復習としてドメイン毎に演習をしました。
今回は一問一答形式ではなく、ドメイン全部の問題に解答した後にまとめて採点をします。
初見の時とは違い、解説を読み込む時間が減るので、解答と採点を合わせて1ドメインあたり60分程度で演習できました。
ここで得点率が70%を下回るドメインは合格基準に達していないため、得点率が70%を超えるまで何度も復習しておきましょう。
人間は学習した翌日には記憶の約70%を失うと言われています。できれば一問一答形式で演習した翌日、遅くとも3日後までにはそのドメインを復習してください。1週間くらい間が空いてしまうと知識が完全にリセットされてしまいます。
※偉そうに書いてますが、あまりにサボりすぎてドメイン2, 3しか復習してません。良い子の皆さんは決してマネしないでください。
(時間に余裕があれば)模擬試験を解く
ぶっちゃけ、各ドメインの総合問題なので解いても解かなくても良いと思います。
演習する場合、試験慣れする意味でも、本番と同様の形式で、問1〜125まで通しで解いた後に答え合わせすると良いでしょう。
公式ガイドブックは買うべきか
CISSP試験の教本には、京極夏彦も真っ青な鈍器本公式ガイドブックが存在します。
結論、読んでませんが受かりました。
一応購入はしたものの、あまりの鈍器っぷりに圧倒され、1度もページを開かずに終わってしまいました。
周りのCISSP試験合格者にも聞いてみましたが、公式ガイドブックを勉強に使った人はかなり少数派みたいです。
ちなみにたっけぇベンダトレーニング(45万円くらいする)もあるのですが、受講しなくても合格できたので無理してまで受ける必要はないと思います。
試験当日について
試験開始時刻の30分前には受験会場に到着する必要があります。時間に余裕を持って向かいましょう。方向音痴の私はかなり迷いました。
到着後、身元確認やら何やら手続きをした後にようやく試験開始です。
身分証を忘れると受験できません。要注意です。
試験会場には何も持ち込めないので、完全なる丸腰で挑むことになります。
試験時間は360分ですが使い切る必要はなく、回答終了した時点で退出できます。私自身は150分ほどで試験を終えました。
おわりに
CISSP試験は膨大な試験範囲に加え、バカ高い受験料にクソ長い試験時間と大変なことづくめですが、取得すれば年収1,000万も夢じゃないらしいので、気合い入れて頑張っていきましょう!
私の給料も1,000万にしてくれ〜!頼むよ、弊社〜!
最後まで読んでいただきありがとうございました!