

CISSPは世界標準
CISSP(Certified Information Systems Security Professional)とは、(ISC)2が提供している資格の一つです。米国では政府標準として認定され、セキュリティを主業務とするDOD(国防省)やNSA(国家安全保障局)では、CISSPの取得が義務付けされています。また、2020年5月(ISC)2は独立ベンチマークプロセスの調査の結果、CISSPが英国のマスター・修士号の学位基準に相当することが正式発表され、幅広く通用する資格となりました。
2020年6月現在世界では142,112人の資格保持者がおり、コミュニティーでは日々情報セキュリティに関わる情報連携をしています。ただ、日本でのCISSP保持者は2,566人となり、アジア圏では第4位となっています。
CISSP試験内容は非公表
CISSPは受験者全員に秘密保持契約(NDA)を結びます。そのため、実際のどのような試験を受けたのかは公表することができませんし、知ることはできないかと思います。
出題形式が250問の四者択一、試験時間6時間であること。受験費用が一発699米ドル(約7万円)であることしかわかりません。暗に何発も受けてたまたま合格はさせないよということなので、問題を予習するようなアプローチが困難ということがわかります。
ただ特徴として、下記の8つのドメインから構成されることによって、とてつもなく幅が広いということです。
- セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
- セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
- アイデンティティとアクセスの管理(アクセス制御とID管理)
- 資産のセキュリティ(資産の保護)
- セキュリティアーキテクチャエンジニアリング(セキュリティ設計と構築)
- 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
- ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
- セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)
特にマネジメント系の資格に属するため、各ドメインでの適切な意思決定能力が求められることが予想されます。
合格体験談
合格者はどのように合格に至ったのかをインタビューいたしました。勉強方法、勉強期間、実際に使ったテキストを教えて頂きました。
勉強方法について
CISSPの講座はいくつかありますが、今回はテキストのみで合格を目指します。もちろん、お金をかけて講座を受けて頂く方が効率的かと思いますが、講座内容に依存し計測が難しいため今回は対象から外します。
CISSP試験は試験範囲が広いですが、ドメインごとの相互関係は薄いです。そのため、ドメインごとの繰り返し法が良いと思います。詳細にいうと、テキストなどでドメイン1読んでノートを付けたら、もう一度ドメイン1のはじめ戻って読み返します。これを3回繰り返します。繰り返す中で足りない情報や忘れている情報を補っていきます。そして、ドメイン1に対するテストを実施しOKだったら、ドメイン2に進みます。もしもNGであれば、再度ドメイン1のはじめ戻って読み返します。
勉強期間について
結果から言うと、情報安全確保支援士から200日後だそうです。
実際の勉強の進め方
①ドメイン別繰り返し法
実際には下記の書籍にて繰り返し法を行いました。合計は約110日になります。
- ドメイン1:6回(約5日/回)= 30日
- ドメイン2:5回(約1日/回)= 5日
- ドメイン3:4回(約10日/回)= 40日
- ドメイン4:4回(約3日/回)= 12日
- ドメイン5:4回(約2日/回)= 8日
- ドメイン6:4回(約1日/回)= 4日
- ドメイン7:3回(約3日/回)= 9日
- ドメイン8:4回(約1日/回)= 4日
②問題集でビルドアップ
その後、3か月(90日)にわたって問題集及び公式問題集にて復習しながら考え方を学びます。
わかっていると思っていても、問題になると意外と解けないものです。問題を解くことで知識が定着していきます。
この期間は新しい用語を覚えるというよりも考え方を知っていったという感覚になります。
③結果は一発合格
無事、テキストのみで一発合格となりました。
おわりに
情報安全確保支援しになってから約200日程度で狙えることがわかりました。
もちろん、多少の難易度や問題の変更はあるでしょうから紹介する書籍について、確実に合格を保証することはもちろんいたしません。勉強量という目線で参考にしてはいかがだろうか。