CISSPの受験対策 - Monoblogue of a security engineer

　2023年12月に会社から派遣される形でCISSPのオンラインの研修を受講し、その際配布されたバウチャーの有効期限ギリギリ (受講日から起算するとほぼ1年後) となる2024年11月に無事試験に合格しました。本稿では、管理人のスペックとそれに基づく受験対策の方針、そして対策に活用したYoutube動画を紹介します。

管理人のスペック

　管理人は四半世紀以上を主にエンジニアとして大手通信企業 (でも通信とは無関係の部署) でキャリアを積んできました。CISSPの関係しそうなキャリアを時系列でざっと挙げてみます。

電子財布 (現在で言うBitcoin wallet的な) 設計開発 : 2年
販売支援SE : 2年
Oracle管理者 : 2年
COBOLプログラマ : 数ヶ月 (片手間)
SOC立ち上げ + 運用 (小規模) : 3年
サーバ / ネットワークエンジニア : 1年
データセンタエンジニア : 2年
セキュリティエンジニア (R&D系) : 5年
SOCアナリスト (大規模) : 5年
SOCマネージャ (大規模) : 2年

　所持している資格は以下のとおりです。失効しているもの多いですが、それなりに様々な分野で一通りの基礎を押さえていることは見て取れるかと思います。

第二種情報処理技術者試験 (現基本情報処理技術者試験)
情報セキュリティアドミニストレータ
テクニカルエンジニア (情報セキュリティ)
MCSE (Microsoft Certified System Engineer, Windows 2000)
Oracle Master Platinum 8
ITIL v2 Fundation
Comptia Security+
CDCP (Certified Data Centre Professional)
PCNSE (Palo Alto Networks Certified Network Security Engineer)
GCIH (GIAC Certified Incident Handler)
GCDA (GIAC Certified Detention Analyst)
GSOM (GIAC Certified Security Operations Manager)

　これまでの経験の中で積み重ねたこれらの知識とスキルを下敷きとしているので、スタート地点としてはおそらくほとんどの受験者よりも有利な位置にいたと思います。

管理人が行った受験対策

　上記の通り、管理人はセキュリティに限らずサーバ, ネットワーク, システム開発, サービスマネジメント, データセンタなどに関する一通りの知識は有していたので、テクニカルについては一部の最新動向を除いてほぼ勉強は不要でした。これを受け明らかに自分に不足していた部分、具体的にはリスクアセスメントの手法や考え方、NISTやISOをはじめとする各種規定やセキュリティモデルなど、これまで触れる機会がなかった要素を中心に対策することとしました。

　とはいえ、かなりカビついた知識があるのも事実なので、試験の範囲と深さを確認する意味も含めて一通り見直してから、これらの弱点分野の強化に集中する計画を立てました。結果を先に書いておくと、対策に要した延べ時間は途中で挫折したテキストの精読に10時間弱、動画視聴時間に述べ15時間程度、合計で25時間前後でした (1年前に受講した研修を除く、動画は1.25倍速で視聴したので、動画の時間としては12.5時間くらいかも)。

受講テキストの精読…?

　一通りについてはCISSPの研修 (5日間) で行ったのですが、受講からほぼ1年間の間が空いているので (1年放置していた自分が悪いのですが…)、研修内容のイメージはあるものの、具体的なキーワードなどはほとんど記憶の彼方になってしまっていました。まずはその補完のため、研修で利用したテキストを通読しようと考えました。貴重な日本語のリソースですし。

　ちなみに私が受講した研修はNTT系の企業が主催するもので、”Official (ISC)2 Student Guide 日本語版” という超分厚いテキスト (6th Editionらしい) が研修開始前に送付されていたため、そちらを利用することにしました。デジタル版も配布されていたのですが、こういう時は紙のほうが便利ですね….800ページ以上ありますが。

　頑張れば1週間くらいで通読できるだろう….と考えていた時期が私にもあったわけですが、やってみたら読み進むだけで時間がかかり、試験までに完了する見込みが立たなかったこと、単調で集中力が続かなかったことなどから、200ページ弱で挫折してしまいました。結果的に対策の大部分は以下に紹介する対策動画の視聴 (ながらではなく傾聴)となりました。

対策動画の視聴

　以下で挙げるCISSP解説動画にはすべて英語ですが、英語に極端な苦手意識がない限り、とても役に立つと思います。そもそも日本語の情報は少ないですし、正直試験の日本語訳はあまりイケていないので、第一言語である英語での表現に慣れておくことはとても重要です (日本語で受験した場合、いつでもオリジナルの英語を参照できる)。以下、実際に管理人が視聴した動画を紹介してゆきます。

　以下の動画の大部分は試験範囲全体を扱っていますが、管理人は自分が苦手な分野 (主にドメイン1) を傾聴し、あとは飛ばしながらつまみ食いしていました。何しろ範囲が広いので、70 (得意分野) を90以上にすることより、50以下 (苦手分野) を70 (合格ライン) に引き上げる方が効率的だと思います。

CISSP Exam Cram Full Course (All 8 Domains) – Good for 2024 exam!

　超おすすめ。7.5時間もありますが、逆に言えば頑張れば1日で視聴完了が可能です。冒頭で作者が話していますが、この動画はNon-Native向けにかなりゆっくりと話してくれているので、内容についての一定の理解がある方であれば、なんとかなると思います。Nativeなら1.25倍速で聞けるよ!とも言っていますが、実際にこれでやると約6時間で完了できます。管理人は1.25倍速で聞きましたが、たしかにネイティブの方の少し早口な方だったらこれくらいかなぁという感覚です。

　なお、Youtubeの機能で日本語の字幕も出すことも可能ですが、専門用語が多いこともあり精度はよくありませんし、字幕で画面が見えないという本末転倒な状況になる場面もあったので、正直おすすめできません。また、動画の概要ページから動画に使用されているプレゼンテーションをダウンロードすることができるので、これだけでも目を通す価値はあると思います。

　先に挙げたテキストで扱っている範囲から見ると、この動画で扱われている範囲はかなり限られています。少しでも出題される可能性がある範囲を漏れなく扱っているのがテキストだとしたら、本動画では頻出の重要事項のみを扱っているという点に注意してください。実際に試験を受けてから改めて内容を振り返ると、特に技術的な内容は本動画の範囲ではまったく足りないという印象ですが、そこを差し引いても対策動画の中では特に有用だと思います。

CISSP Exam Cram – 2024 Addendum

　上の動画の公開日は2年前であり、時折改定が行われているCISSPの最新の状況には追従していません。この動画は上の動画と2024年時点での差分を埋めるもので、2024年3月20日に公開されています。

　見ればわかりますが、極端に大きな変更は加えられてていないものの、新たな概念やキーワードが追加されており、それらは必然的に試験で採り上げられる可能性が高いと言えるでしょう。上の動画の繰り返しの部分もありますが、こちらも一度は見る価値があるはずです。

　見過ごせないのが、この動画の最後に “Strategy for answering difficult exam questions” というおまけが付いていることです。思想的な部分も入っていますが、ものすごく実践的なことも言っているので、この部分だけでも視聴したほうがいいです (2つ下の動画の初回で箇条書きにしている内容を整理したような内容)。

CISSP Memorization Tips and Techniques (ultimate guide)

　CISSPの試験の中には、純粋に記憶する必要があるキーワードが少なからずあります (Ex. OSI階層モデル)。この動画は、それをいわゆる語呂合わせで覚えようという趣旨のものです。もちろん自己流でやってもいいのですが、そもそも考えるのが面倒くさかったりする場合は、この動画に頼ってみてもいいかもしれません。英語ではありますが対象はキーワードなので、そこは障害にならないはずです。

　他の長尺の動画とは異なり、長さはたった21分なので、隙間時間で視聴できます。ただ、扱っている内容のだいぶぶん (たぶんACID以外) はすべて先頭の動画で扱った内容に繰り返しでしたし、扱っているキーワードもごく一部でしかありません。覚え方の手がかりを得る事ができればラッキー、というくらいの期待値で見てください。

50 CISSP Practice Questions. Master the CISSP Mindset

　超絶おすすめ。50のサンプル問題の解説を通じて、CISSPの受験者が取るべき立場、もしくな考え方を確認するというコンセプトの動画です。一つ上の動画でも端々で触れられていますが、CISSP取得者に要求される考え方を知ることは、試験で正しい回答を選択する上で欠かせないことなので、そこに重きをおいたこの動画は視聴する価値があります。時間は1時間34分です。

　以下に、本動画の中で繰り返し触れられている、試験を受ける上で重要と思われるポイントを上げておきます。

セキュリティ管理者 or 責任者の目線で物事を考える
正しそうな複数の選択肢があったら、以下の視点で考える
- 局所的ではなく俯瞰的な判断が求められるため、カバー範囲が広い選択肢が正解である可能性が高い。
- 上記より、選択肢に包含関係 (どちらかを実施するともう片方が実現される) がある場合、包含している側が正解である可能性が高い。
- 片方 “のみ” が実現された (もう片方は達成度0%) 極端な状況を想定し、どちらの状況がより望ましいかで判断する。
- (特にインシデント対応判断においては) 経営者目線 = 金銭や顧客への影響を含む選択肢に注目する。
以下のような言葉に注意する
- 予防 (prevent) : 早い段階で実施すべき内容の選択肢が正解である可能性が高い (後に行けば行くほど適用範囲が狭まる、事後は論外)。
- 目標 (goal) : 問われているのは最終目的であり、目先の火消しではない (管理者目線なので、目先が問われる問題は少ないはず)。
- すべて (all), 決して (never)など : CISSP以外の試験でも要注意の言葉ですが、ことセキュリティには絶対はないので、これに類する強い言葉が含まれる選択肢が誤りである可能性は可能性が高い

　とかくエンジニアは細かい話に目が行きがちになりますが、CISSPは (場合によってはCISOになりえる) セキュリティ管理者 or 責任者であり、その目線での考え方 (Mindset) ができるかどうかを試験でも問われます。この動画には、少なくとも誤ってはいない複数の選択肢の中から、”CISSPに期待される” 回答を導き出すためのロジックが詰まっています。英語も聞き取りやすく、解説もかなり丁寧なので、これは本当にお勧めです。

CISSP HARD Questions – Part 1: Domain 1, 2, & 3.

　タイトルにある通り、単なる知識問題やその単純な応用ではなく、与えられた状況 (長文) でどのように振る舞うかを問う問題に焦点を当てて、解説している動画です。問題は8問しかありませんが、誤っている選択肢についてもなぜそれが不適切かをひとつずつ丁寧に解説しており、その手の問題の考え方を事前に知るうえで有用でしょう。

　なお、上記に近しいシリーズとして、各ドメインのシナリオベースの問題を集めた動画があるので、以下にまとめておきます。ただ、時々本当にこれが正解？というのがあるので、動画のコメントもよく確認してください。また、本動画で扱われている問題の難易度はかなり低いので、そのつもりで見てください。

CISSP 2023 Practice Questions (Scenario-Based)

50 CISSP Practice Questions and Answers | CISSP Domain 1 Prep

　おすすめ。受験の前の日に総チェックのために視聴した動画。比較的短い問題を含めた50問を1時間ちょっとで扱っています (時間の関係でDomain 1しか見ませんでしたが)。この動画を見ると、問題文をよく読むことがいかに大事なことなのかを実感できると思うので、そういう意味でも一見の価値はあるでしょう。正解の理由をちゃんと解説してくれるので、そこもいいところです (問題によっては誤答も解説している)。

　語り手は明らかにNon-Nativeなので若干聞き取りづらいかもしれませんが、内容の理解を妨げるほどでもないとは思います。以下、他のドメインへのリンクです。再生回数は少ないですが、個人的には問題ベースで全体をざっと見直すにはいい動画だと思います。

最後に

　先人がインターネット上に残した対策を見ると、比較的経験が浅い方が多大な時間と労力をかけて、かつ全力 & 真面目に試験勉強をしたというものが大部分と感じました (言うまでもありませんが主観です)。事前に十分な知識があればあまり対策しなくても大丈夫そう、というコメントは見かけるのですが、実際にそういうスペックの人がどのようにどれくらいの時間をかけて何を対策したのかという情報が意外と少ないように見えたので、本稿を書いてみました。

　私はすでに50を超えていますが、これくらいの年齢層の人が現役に近い形でセキュリティ業界にいる事自体が比較的珍しいと思いますし、ましてやそこからCISSPを受験するというのはさらに珍しいとは思いますが、どこかの誰かの参考になるといいなと思っています。