2023年12月に会社から派遣される形でCISSPのオンラインの研修を受講し、その際配布されたバウチャーの有効期限ギリギリ (受講日から起算するとほぼ1年後) となる2024年11月に無事試験に合格しました。ここでは、実際にCISSPの受験を終えた後に、これは受験前に知っておきたかったなぁ….と思ったことなどをまとめてみたいと思います。
ざっくりとした試験に関するコメント
CISSP試験についてはNDAがあり、あまり細かいことは言えませんが、私が受験した経験を踏まえた、これから受験する方々に向けた “一般的な” アドバイスを何点か述べます。なお、管理人が行った具体的なCISSP試験対策については、先に書いた別記事を御覧ください。
可能であれば英語で学習する
CISSP試験の第一言語は、言うまでもなく英語です。もちろん日本語で受験することはできますし、日本語のテキストも存在しますが、それでもやはりできれば英語で学習を行うことを強くお勧めします。
第一に、学ぶべき内容の一次情報が英語であるということです。たとえば、大量にある頭文字を取った系のキーワードは、元の英語の意味を知っているだけでもかなり違います。たとえば、MD5のMDがMessage DigestのMDである、あるいはSHA1のSHAがSecure Hash Algorithmであることを理解していれば、いちいちこれらがハッシュ関数だと覚える必要はない、とかです。
第二に、英語の情報量のほうが圧倒的に多いからです。前の投稿で紹介した対策動画一つとっても日本語はごく少数、それも対策動画というより受験体験記に近いものばかりでした。動画で勉強するなら実質英語一択というのが実情です (Udemyのような有償コンテンツに課金できるのならこの限りではありませんが)。電子 / 紙のテキストも、全体量が圧倒的に違います。
第三に、試験の日本語訳がイケていないからです。試験では一次言語である英語版の問題をいつでも参照可能なのですが、そちらを見てようやく出題意図を理解できたという場面がありました。そこまでではなくても、英語のほうがより正確に出題内容が伝わる問題は多数ありました。
英語が不得手という方もいると思いますが、エンジニアであれば読むだけならばいける、という方も多いと思います。”問題ない” の程度にもよるのですが、一考の価値はあると思います。
新しい技術にも目を光らせておく
CISSP試験は定期的に改訂が行われており、内容も随時変化しています。もちろん、試験はあくまで普遍的なものであり、現実世界での特定の事件などが題材となることはありませんが、技術的なトレンドについてはちゃんと追従しておく必要があります。
また、出題される場合はかなり細く聞かれる場面もあります。これは付け焼き刃でどうにかなるものではないので、日頃から様々な技術トレンドに関心を持ち、なぜそれが開発されたのか、どのような仕組みで実現されているのか、それによって何ができるようになるのかなどについて、常に関心を持って調べる習慣をつけると良いでしょう。
たとえば管理人は、英文学科出身ということもあり、頭文字を取った系のキーワードがあると、それが何の略かが気になってすぐに調べてしまいます。英語での正式名称がわかるだけでも、試験で選択肢を絞り込むのに大いに役立つはずです。
セキュリティの根幹技術は詳細まで理解する
当然のことではありますが、セキュリティに関わる多種多様な技術の中には、重要なものとそうでないものがあります。ここで言う “重要” というのは、”様々な場面で利用される” あるいは “非常によく利用されている” ということです。あまり重要でない技術については、単純にその名前と簡単な概要だけ知っていればいいかもしれませんが、重要技術についてはその実装の詳細まで理解しておく必要があります。
これくらいは言っていいと思うのですが、以下については表層にとどまらず、深いところまで学習・理解することを強く勧めます。これがが単体で問われる場合もありますし、複数が組み合わされて問われる場合もあります。
- TLS (プロトコルの仕組み、何をどのように担保するのか)
- IPsec (2つのモードの違いと利用場面、VPNとの違い)
- デジタル証明書関連 (どのような理屈で何を実現するのか、PKIやCAなどの関連用語)
- 暗号関連 (CIAにおける位置付け、主要アルゴリズムの名前と特徴)
- ハッシュ (一方向性関数の特性、利用目的、主要アルゴリズムの名前と特徴、Saltの使われ方)
- XaaS (どこまでを仮想化しているのか、どのような場面で利用するのか)
- 主要セキュリティ製品 (FW, NGFW, IDS, IPS, UTM, WAF等でできる / できないこと、動作原理など)
- (新旧を問わない) NWの構成技術 (各種プロトコル, Proxy, NAT, CDN, SDNなどなど)
- ブロックチェーン (特にセキュリティ的な観点での特徴)
この中のどれとは言えませんが、”え、これが問われるの?” と思うレベルで深い知識が求められた問題がありました。その内容は普通に勉強しただけではまず知る機会はなく、興味を持ってテキストの範囲を超えて自分で調べないとわからない内容で、私はたまたま仕事で仔細に調査したことがあったので知っていたというレベルでした。
問題をよくよくよく読む
超大事なことなので3回繰り返しました。試験では、与えられた状況への対応を問う問題が多数出題されますが、CISSP試験では選択肢すべてが正しく、その中で “もっとも” 適切な選択肢を回答することを求められる問題も出題されます。そしてどれがふさわしいかを考える上でもっとも重要なのが、どの選択肢が与えられた状況に対応しているのかという点なのです。
当たり前といえば当たり前なのですが、なまじ技術に詳しいと、ピンポイントで細かくかつ正しい内容が書かれている選択肢を選びたくなってしまいます (私も最初はそうでした)。新しい問題に進んだら、まず問題文を読み、次に回答の選択肢に目を通し、それから必ずもう一度問題文を読み返しましょう。
”セキュリティ管理者として” 考える
前の投稿でも書きましたが、これは本当に大事です。”複数の選択肢を包含するものがあったらそれが正解の可能性が高い” とも書きましたが、これは別の言い方をすれば、現場レベルで = 局所的に正しい対応よりも、組織あるいは会社として、より高い視座で取るべき対応を選択することが求められているということなのです。
くどいようですが、CISSP試験で問われているのは、受験者が “セキュリティ管理者 or 責任者として考えることができるのか” という点であることを常に意識するよう、心がけましょう。
試験会場 (PMO西新宿ビル) について
豆知識になりますが、CISSPの試験会場を運営しているピアゾンが提供する会場には以下の3つのランクがあります。
- ピアソン プロフェッショナルセンター (PPC : Pearson Professional Centers)
- ピアソンVUE 公認テストセンター・セレクト
- ピアソンVUE 公認テストセンター
それぞれの違いは公式ページの解説にとてもざっくり書いてありますが、端的に言えば上に行けば行くほどより厳格な受験要件が設定されている試験を提供可能ということのようです。そしてCISSP試験の条件が可能なのは1. と2. の会場のみで、1.は東京と大阪、2.は博多にしかありません (参考)。つまり、CISSPを受験できるのは日本国内に3箇所しかないのです (2021年時点で博多は選べなかったとの情報もあるので注意)。地方の人にとって受験のハードル高すぎるだろ…と思うのは私だけではないと思いますが、将来的に拡充されることを期待しましょう。
管理人は東京在住だったため、必然的に東京 = Pearson Professional Centers 西新宿 の一択でした 。この会場でCISSPを受験する方はかなり多いと思いますし、遠方からCISSPのために来訪する方も少なくないと思いますので、些細ではありますが知っておくといいことを数点書いておきます。
エレベーターに乗ったらもう勉強する時間はない!
試験会場はPMO西新宿ビルの8Fにありますが、一度エレベーターに乗ってしまうと、そのまま試験開始の流れ作業に乗ってしまいます。もしあなたが時間に余裕を持って現地に到着したのであれば、最寄りの喫茶店やイートインがあるコンビニで落ち着いて最後の仕上げと心の準備をして、PMO西新宿ビルのエレベーターを上るのは試験開始20分〜30分前くらいにしましょう。ビルのエレベータホールには、比較的大きな長椅子?が2つあるので、他の人の目に止まることを厭わなければ、そこで最後の追い込みをかけることもできるでしょう (私はそうしました)。
なお、PMO西新宿ビルのエレベーターに乗るには、機械警備的な入館システムを超える必要があります。私はビルで働いている方の共連れで超えましたが (ビル自体は雑居ビルなので、共連れもできなくもない)、実はちゃんと入館方法を説明している文書があるので、朝一番や土日など、人が少ない時間帯に試験を受ける方は必ず目を通しておきましょう。
ちなみに最寄り駅は丸ノ内線西新宿駅とされていますが、管理人は新宿から徒歩で行きました。大通りに面していることもあり、Google Mapやストリートビューで事前学習をして、当日もGoogle MapとGPSを駆使して歩けば、初めての方でも迷うことはないと思います。
眼鏡までチェックされる!
管理人はGIACの試験を別の新宿の試験場で3回ほど受けましたが、今にして思えば様々なチェックは甘かったなぁと思います。CISSP試験では掌形認証 (の登録) をしましたし、メガネを掛けているとそれを一度指定の台に置くことが求められます。スマートグラスなどによるカンニング、あるいは問題の漏洩対策なのでしょうが、ここまで厳格にチェックされるのはある意味新鮮でした。そういう設備があって、それを適切に運用できるのが日本で3箇所しかないのだろうな…と思いました。
実際の試験について (2024年11月時点)
流れに乗って身分証明証の確認や荷物の預け入れなどが終わると、そのまま試験端末の前に座ることになります。スタッフからも注意があると思いますが、最初に出てくるNDAに5分以上同意しないとそこで試験終了になるので、さっさと進みましょう。以下、実際の試験を受けるにあたって知っておくべきことを数点まとめておきます。
前の問題に戻ることは不可能
2024年4月15日よりCISSP試験はCAT (Computerized Adaptive Testing) になりましたが、”Adaptive” の名の通り、CATでは受験者の正答状況を材料として、次に出す問題をプールされている大量の問題の中から動的に選択します。このため、CISSP試験は前の問題に戻ることはどうやってもできない仕組みになっています。
たとえばGIACはマークした問題を飛ばして後で戻ることが可能なのですが、CISSPはそれができないので注意が必要です。ちなみにGIAC試験の場合、休憩に入るためには飛ばした問題を完答する必要がありますが、そもそも飛ばせないCISSP試験の場合はそのような制限はなく、試験管に申請することでいつでも休憩を取れます (ただし、休憩時間も試験時間にカウントされます)。
[再掲] 解答に迷ったら英語を見る
一部本稿の冒頭で書いた内容と重複しますが、CISSP試験のオリジナル言語は英語で、日本語を含むその他の言語は英語を翻訳したものです。翻訳にどれほどの推敲が重ねられているのかはわかりませんが、正直わかりやすいとは言えません。その中には、どうやっても日本語には翻訳しづらい / するのが困難というものもありますが、もうちょっと別の言い方があるのでは…?と思わされるものもあったりします。
そういはいっても自分は英語が超絶が苦手だから….と思う方もいるかも知れませんが、極端な例だと3文字の英語の略語で書いてあれば分かるのに、それを日本語に翻訳したがために意味不明になりかけている問題文は目にしたので、解答に迷ったら英語を見るクセをつけておくことをおすすめします (どのような略語を “そのまま” エンジニアが利用しているかの感覚がない人が翻訳した時に起こりがち)。
[超重要] 試験時間に注意!
CAT試験となったCISSP試験の試験時間は3時間ですが、問題数は100〜150問の可変です。これはつまり、150問を3時間で解答するという想定でペース配分をしないと詰むということを意味します。
管理人はというと、100問目に到達した時点で合格となりましたが、所要時間は2時間20分強で、100問で終わらなかったらおそらくゲームオーバーでした。CISSP試験の問題数が可変であるという認識はあったのですが、試験端末の前に座った時点でそれは吹っ飛んでしまい、100問を3時間かけて解けばいいと本気で思い込んでいたので、もし101問目が画面に現れていたら、頭が真っ白になっていたでしょう。
CAT試験の場合、問題の難易度は進めば進むほどが上がってゆくので、心理的な余裕を考えると1問 = 1分のペースを維持して、1時間40分での100問目到達を目指すのが理想でしょう (そうすれば100〜150問目に1時間20分 = 80分使える)。もちろん、時間をかけて正答率を上げる方が有利と判断すればこの限りではありませんが…
CISSP試験終了後
管理人の場合、100問目に回答した時点で試験が終了しました。今にして思えば、101問目が現れるかどうかが運命の分かれ目だったのですが、運良くその画面を見ることはなく終わりました。GIACの場合はその場で合否が画面に出ますが、CISSP試験は受験した部屋を退室後、受付で受領する結果通知の紙を見て、初めて合否を知ることができます。
それなりに手応えはあった一方で、自分自身の得意 / 不得意分野はかなりはっきりしているので、不得意分野で点が取れたのかなという不安はあったのですが、結果合格でした。合格の場合は合格したという事実のみが通知され、不合格の場合のみ各ドメインをの正答度合いがわかるそうですが、合格者にも後学のために正答率くらいは載せてくれてもいいのになぁ….とは思いました。
このあと、CISSP認定を受けるにはEndorsementを行う必要があるのですが、管理人はまだ未実施です。会社に費用を負担してもらうためにあえて見合わせているのですが、こちらについて特筆すべきことがあればまた書こうと思っています。