55. CISSP

CISSPに合格しました。(本BLOG記載時点ではまだ登録処理は完了していません)
2010年ごろからあまり日本語の記事がないので、参考になればと思い、ポストします。

動機
元々セキュリティを専攻としており、記載された内容に興味があったから。
また、合格時は会社から試験代金が給付されるから。(受験当時8万円程度だったので、これがないと趣味で受けるのは辛いですね。。。)

事前知識
技術要素: テクニカルエンジニア(NW, DB, SC)
プロマネ要素: PMP

学習教材

CISSP認定試験 公式ガイドブック

日本で唯一の学習書籍。ただし、2005年発刊ということで古さが否めない。しかし、日本語で受験する場合、合った方が良い。理由は、日本語訳はこれに従っているから(受験した限りそういうように感じました)。という安心感があります。また、セキュリティの考え方自身は時代が変わってもあまり変わらないです。古い技術を含め、この本の内容は読み込んでおくのが大切だと思いました。

暗号技術入門 第3版 秘密の国のアリス

暗号はどうしても公式ガイドブックの説明だけだと分かりにくいので、一回読んでおくとよい。CISSPの暗号文やの技術的な必要事項はこれ一冊で十分に学べます。暗号って「なんとなく」分かっていることが多いと思うので、一回読んでおくのをお勧め。あと、周りの人に暗号教えるときにとりあえずこの本貸せばいいと思います:)

CISSP All-In-One(AIO)

試験対策本ではあるんですが、受験後も使えるセキュリティのバイブル的な本。内容に関しては、公式ガイドの細かいところをちゃんと説明してくれている。ただし、一通り学習すると、特に新しいことが書いてあるわけでもない。つまり、「わからないところをちゃんと理解」したり「より正しく理解」するのに大切な本。
この本のサマリーはとてもよくまとまっていたと思う。テスト前に見直した。
あと、Adobe Digital Editionの電子書籍がついてきます。そういう面でもおすすめ。つまり、電子書籍買うなら、本を買うといいよ。

CISSP Practice Questions Exam Cram

イチオシ。ひたすら簡単な4択が1000問並んでいます。が、ポイントを押さえて出題されています。具体的には、この本を読んだ後にAIOを読んでも「特にわからないところがない」ようになっていました。簡単とはいえ、何もCISSPの勉強をしていないと50%くらいしか解けません。そういう意味を含めて、最初に取り組むといい本だと感じました。

学習期間
3週間:土日がほとんど使えない環境だったので、かなり精神的に辛くなりました。土日が使えるならともかく、1か月半くらいの時間をとることをお勧めします。

学習方針
CBKレビューなし、Web問題集なしで勉強しました。まず、公式ガイドブックを通読。全体を読んでの感想は「なんとなくわかる」。が、正直、頭にはあまり入ってこない。暗号技術入門はおおよそ知っている内容が多かったので、会社の休み時間に読んだ。
ポイントがわからないからだな、と思って、Exam Cramを解きにかかる。大体これに1.5週間。各単元100問くらいあるので、1日1.5時間くらいずつ取り組んだ。分からないところは付箋を貼って、解説を読む。単元によっては5割くらいしか正解がない。
この上で、2回目を解きながら、ガイドブックでキーワードを拾う。暗記系はあまり気にせずに覚える。たとえばTCSECがOrangeBookとか。これで、正しくなかった問題=1回目で答えを納得して覚えられなかった問題をAIOか公式ブックでキーワードを拾って勉強した。これで1週間。
のこり3日はAIOを通読一回した。
ということで、基本的には、Exam Cramをつぶすとキーワードとしては拾えた気がする。もっとも、4択x1000問=4000肢なので、当たり前といえば当たり前か…

試験について
PMPにしてもCISSPにしても、「試験が著しく難しい」というコメントをみるが、参考書と形式が違ったり、初見の問題だからだと感じている。ちゃんと、ExamCramを解けば、「わからない言葉はほぼない」ようにはなるはず。ただし、おそらくサーベイ問題と思われる20問くらいが本当に解答が分からない。サーベイ問題かわからないからものすごくストレスになる。
実績からいうと、
60分: 100問解く
10分:お手洗い休憩
60分: 100問解く
10分: お手洗い休憩
20分: 50問解く
20分: お手洗い +ごはん休憩
30分: マーク問題 + 全問題チェック
で3:30くらいで回答を終えた。
採点ボタンを押した後、合格でも、何も表示されないので注意!不合格になったとすごく落胆したら、受かっていた。

手続きについて
まず、PearsonVUEのページからISC2用のアカウントを作って試験申し込みをします。
そうすると、ISC2からメールがあり、ISC2のアカウントが払い出されます。ここがちょっとわかりにくいですね。
後は、PearsonVUEから申し込みをします。
他のPearsonの試験と違って、「予約時から、何らかの費用が発生」します。具体的には、日程変更は5000円、キャンセルは10000円です。他の試験だと、1日前までは何回でも予定変更できたりしますね。
試験に受かったら、合格メール来る前にエンドーズメントの書類は準備できます。ちょっといくつかの情報が錯そうしていますが、推薦者がいる場合、レジュメは不要です。