独学 CISSP 受験の記録 - しなしな記録

せっかく合格したので、受験の記録を残しておきます。

モチベーション

最近、会社で AWS 環境のマネジメント・ガバナンス強化に取り組んでいます。具体的には Organizations, IAM Identity Center, CloudTrail, Config, Control Tower, Security Hub といったサービスを触って、多数ある AWS アカウントのセキュリティのベースラインを引き上げようとしています。

セキュリティを専門とする方が居れば良いのですが、残念ながら今のところ会社には居ません。代わりの実務者としてちょうどいいポジションに居るのが自分なのですが、自分がやるにしても、基本を外さないように体系的に知識を身に着けたいし、せっかくなら「この人はちゃんと勉強しているんだな」という客観的な証明も欲しいです（いつか来る転職活動でも使えるかもしれないし）。

そこで、セキュリティエンジニアの求人でもよく見る CISSP 試験を受けてみることにしました。https://cybersecurity-jp.com/column/21726 や、類似の記事を見る限り、そこそこ難しい試験に位置しているようなので、良い目標になるかなとも思ってのトライです。

お前誰

200 人ぐらいの規模の事業会社に居る、0x20 未満の自称インフラエンジニアです。
- オンプレ・クラウド共に経験しています
- 簡単な Web アプリケーションなら書けます
目安になりそうな資格を挙げると、IPA はセキュスペ・デスペ、AWS の試験は SAP on AWS 以外の全て、GCP の試験は PCA, PDE を取得しています。
- 目標を決めて計画的に走るのは多分得意なほうです、というアピール（？）です

勉強した期間

　期間は 3 週間程度です。平均して平日は 2 時間, 休日は 6 時間ほど充てました。合計すると 80 時間ぐらいでしょうか。~~ゼルダの伝説の新作をずっと我慢しながら勉強していました~~

試験対策の流れ

　ドメインガイドブックを読んで試験範囲を確認し、参考書で内容を理解し、問題集でアセスメントするという王道パターンです。

0. 情報収集

いずれも、勉強を始めたころに読み込みました。勉強のペースを掴むうえで、めちゃくちゃ参考になりました。「試験そのものについて語ることが出来ない」CISSP の試験の特性上、どれぐらいやれば合格できるかはおぼろげなので、こうした記録は落ち着いて受験するためにも大事でした。この記録もまた、自分と似た背景の人の役に゙立てばいいと思って書いています。

1. 公式問題集（日本語版）の模擬問題をやる

自分の位置を測るために、まずは公式問題集の模擬問題 1 をやってみたところ、初回で 7 割少々の得点率でした。

アメリカの法律のような CISSP でないと中々触れないような（？）設問はともかく、技術的な設問に関してはさほど難しくないように感じたので、案外スタートラインは前の方にありそうと判断し、そのまま試験日を設定しました。

一度落ちても再受験できるキャンペーンがあり、金額的にさすがに落ちるとショックなのでこれを利用しました。~~もともとの受験料からして高いのにね……~~

その代わり、試験は 3 週間後と（自分にしては）やや早めに設定しました。「CISSP は試験勉強があんまり役に立たない」という言葉を目にしたことがあり、仮にそうであれば作戦を練り直せるので、その意味でも早く受けたほうが良いかなと思ったからです。

2. ドメインガイドブックを確認する

https://japan.isc2.org/files/CISSP_DomainGuide2022.pdf です。何が出題されるのかが分かっていないと不安で仕方ないので、あらためて一通り確認しました。

3. Eleventh Hour CISSP®: Study Guide を読む

全体像を掴むため、参考書に『Eleventh Hour CISSP®: Study Guide』なる書籍を利用しました。日本語版の公式ガイドと迷いましたが、どちらも 2021 年の改定前のものですし、軽量なものの方が挫折しにくいかなと思ってこちらを選びました。休日 2 日を使って一気に読みました。よくまとまっていると思います。でも後述する Youtube のビデオも同じぐらいよく出来ているので、ここはスキップしても良かったかもしれません。

4. 公式問題集（日本語版）を解く

『CISSP 公式問題集』が今回の主力です。2 周しました。1 周目は 1 日 1 ドメインを目安に、間違ったものは復習することのほか、正解した設問もなぜ他の選択肢が不正解なのか理解できるように調べることを徹底しました。各ドメインは 65%-80% ぐらいの得点率でした。

2 周目は間違った問題だけ復習するようにして、1 日 2-3 ドメインを目標にサクサク進めました。得点率は 9 割ぐらいでしたが、解答とセットで暗記してしまっている気があったので、これぐらいでちょうど良い気がします。

5. その他、ためになったもの

tex2e さんの勉強ノート

https://tex2e.github.io/blog/security/cissp-notes

神です。日本人の CISSP 受験者の勉強効率を大幅に引き上げているといっても過言ではないと思います。印刷して手元に置き、試験当日までスキマ時間に読み返すなどしました。

Pete Zerger さんという方の Youtube ビデオ

https://www.youtube.com/watch?v=_nyZhYnCNLA

英語のリスニング能力に自信が無かったので、概要欄からダウンロードできる投影資料を流し見しただけですが、各ドメインのおさらいにちょうど良かったです。かうさんの勉強会 Discord から知りました。

かうさんの勉強会 Discord

https://qiita.com/kau/items/913184212c571943cc92#%E5%8B%89%E5%BC%B7%E4%BC%9A

CISSP 受験者の集う Discord です。なんだかんだで時間が合わず、勉強会には一度も参加していない実質 ROM 専ユーザなのですが、「他にも勉強している人がいる」という励みになりました。

6. 試験当日

西新宿の試験会場で受験しました。

試験時間は 6 時間と設定されてますが、2 時間 30 分ほどで終わりました。途中で休憩するためにお茶などを用意していたものの、むしろ途中で休憩を挟むことで集中が途切れそうだったので、一気に解きました。「ま、再受験できるバウチャーあるから…… 今回落ちてもまた受ければいいから……」と気楽に構えていました。

終了と同時に合格の旨が印刷された紙を渡され、一安心しました。

その他、感想など

SRE らしいバックグラウンドがある場合、想像よりも取得のハードルは低いと思います。多少コードが書けてインフラも組めるのであれば、全体の半分ほどを占める技術系のドメインの勉強には苦労しないと思います。
あっさり合格しているように見えますが、もともと（セキュリティに限らず）雑食的に技術書を読むので、そうした積み重ねがあったからな気はします。例として、直近半年ぐらいに読んだ、この試験に関連しそうなものを挙げます。どれも今回の試験に役立っています。
実務として、まれにセキュリティチェックシートの記入を求められる（正確には自分が記入するわけではなく、記入する人から「この質問、どういうことだと思います？」と聞かれる）ことがあり、セキュリティチェックシートってどういう由来でこんな項目があるんだろうねー、と考え調べたこともあります。AWS Config などを触り、"CIS Benchmarks" や "Control" といったドメイン 1 っぽい用語の定義、考え方に慣れていたのもプラスでした。あれ、結構やってるな……。
総じて勉強は楽しかったです。基礎となる考え方に触れられたことが良かったです。試験前日に https://japan.isc2.org/files/CISSP_DomainGuide2022.pdf を再読しましたが、「CISSP CBK を理解するためのエッセンス」の項に書かれていることが理解できたので「本当にそう！ぼくもそう思います！」となりました。
セキュリティエンジニアの方がどのように日々の鍛錬（？）を行っているかの解像度も上がりました。次は脆弱性診断で利用される Burp Suite や OWASP ZAP のようなツールの理解や、Hack the Box などをやってみようかなと思います。
セキュリティエンジニア、募集しています！