CISSPは世界標準
CISSP(Certified Information Systems Security Professional)とは、(ISC)2が提供している資格の一つです。米国では政府標準として認定され、セキュリティを主業務とするDOD(国防省)やNSA(国家安全保障局)では、CISSPの取得が義務付けされています。また、2020年5月(ISC)2は独立ベンチマークプロセスの調査の結果、CISSPが英国のマスター・修士号の学位基準に相当することが正式発表され、幅広く通用する資格となりました。
2020年6月現在世界では142,112人の資格保持者がおり、コミュニティーでは日々情報セキュリティに関わる情報連携をしています。ただ、日本でのCISSP保持者は2,566人となり、アジア圏では第4位となっています。
CISSP試験内容は非公表
CISSPは受験者全員に秘密保持契約(NDA)を結びます。そのため、実際のどのような試験を受けたのかは公表することができませんし、知ることはできないかと思います。
出題形式が250問の四者択一、試験時間6時間であること。受験費用が一発749米ドル(約8万円)であることしかわかりません。どうやら、何発も受けてたまたま合格はさせないよということなので、問題を予習するようなアプローチが困難ということがわかります。
試験の特徴としては、下記の8つのドメインから構成され、とてつもなく幅が広いということです。
- セキュリティとリスクマネジメント(セキュリティ、リスク、コンプライアンス、法、規制、事業継続)
- セキュリティの運用(概念、調査、インシデント管理、ディザスタリカバリ)
- アイデンティティとアクセスの管理(アクセス制御とID管理)
- 資産のセキュリティ(資産の保護)
- セキュリティアーキテクチャエンジニアリング(セキュリティ設計と構築)
- 通信とネットワークセキュリティ(ネットワークセキュリティの設計と保護)
- ソフトウェア開発セキュリティ(ソフトウェアセキュリティの理解、適用と執行)
- セキュリティの評価とテスト(セキュリティテストの設計、実行、分析)
特にマネジメント系の資格に属するため、各ドメインでの適切な意思決定能力が求められることが予想されます。
合格体験談
合格者はどのように合格に至ったのかをインタビューいたしました。勉強方法、勉強期間、実際に使ったテキストを教えて頂きました。
勉強方法について
CISSPの講座はいくつかありますが、今回はテキストのみで合格を目指します。もちろん、お金をかけて講座を受けて頂く方が効率的かと思いますが、講座内容に依存し計測が難しいため今回は対象から外します。
CISSP試験は試験範囲が広いですが、ドメインごとの相互関係は薄いです。そのため、ドメインごとの繰り返し法が良いと思います。詳細にいうと、テキストなどでドメイン1読んでノートを付けたら、もう一度ドメイン1のはじめ戻って読み返します。これを3回繰り返します。繰り返す中で足りない情報や忘れている情報を補っていきます。そして、ドメイン1に対するテストを実施しOKだったら、ドメイン2に進みます。もしもNGであれば、再度ドメイン1のはじめ戻って読み返します。
勉強期間について
結果から言うと、情報安全確保支援士から200日後だそうです。
実際の勉強の進め方
①まずはベースとなる知識範囲を確認する
まずは、試験範囲を明確にしなければなりません。無作為に学んでしまえばそれだけ時間を要しますし、合格という目的から外れているためです。
なぜこの本をしたのかというと、始めて学ぶ方からでも学びやすい設計になっており、情報処理に詳しい方でも自身の知識に抜けがないかを改めて確認する事ができるためです。
実際には下記の書籍にてドメインごとに繰り返し法を行いました。1つのドメインに対して2週間を使いながら、合計は約110日になります。
ドメインごとに要した日数の内訳は以下のようになっています。一つのドメインに対して4回繰り返すことで知識に定着させていきます。
- ドメイン1:6回(約5日/回)= 30日
- ドメイン2:5回(約1日/回)= 5日
- ドメイン3:4回(約10日/回)= 40日
- ドメイン4:4回(約3日/回)= 12日
- ドメイン5:4回(約2日/回)= 8日
- ドメイン6:4回(約1日/回)= 4日
- ドメイン7:3回(約3日/回)= 9日
- ドメイン8:4回(約1日/回)= 4日
CISSP Study Guide (English Edition)
CISSP学習ガイド、第3版は、情報セキュリティの専門家向けの最も権威のある、世界的に認められたベンダー中立の試験であるCISSP認定に関する情報を読者に提供します。 世界中で10万人以上の専門家が認定され、さらに多くの専門家が仲間入りしているこの新しい第3版では、読者が試験の共通知識体系の最新バージョンについて知る必要があるすべてを紹介しています。
②CISSPの考え方を定着させる
次にCISSPとしての考え方を学びます。考え方は非常に重要です。CISSPの試験問題の選択肢の多くはすべて真っ当なことを提示します。あなたは、その中でもCISSPであるべき考え方を選択しなければなりません。つまり、CISSPがどのように考え行動するべきかを定着させていなければいけないのです。
以下の書籍は公式ガイドブックになっています。試験範囲も含めて先にこれから購入すればよいではないかと思うかもしれませんが、基礎となる知識は考え方を定着させるうえでは必要な事です。
新版 CISSP CBK 公式ガイド
セキュリティ専門家の国際的認証基準として需要が高まっているCISSP(Certified Information Systems Security Professional)。2005年既刊の邦訳版から12年が経ち、CISSPのドメインが変更され内容・訳語が古くなったため、最新の第4版の邦訳版を日本語公式ガイドブックとして出版。技術知識はもちろん、経営・法律知識まで完全に網羅し、セキュリティの設計・運用・実装を理解するための最高のテキスト。
②問題集でビルドアップ
最後に問題を解き、自身の知識が定着しているのかを確認します。わかっていると思っていても、問題になると意外と解けないものです。問題を解くことで知識が定着していきます。この期間は新しい用語を覚えるというよりも考え方を知っていったという感覚になります。
問題集に充てた時間は、約3か月(90日)になります。
CISSP Practice Questions Exam Cram (English Edition)
インターネット技術を学ぶ上で情報セキュリティを正しく理解することは不可欠ですが、ITにおけるネットワークの重要性が増し利用方法が多岐になるにつれて、技術者なら誰もが知っているべきセキュリティ技術の範囲はどんどん広がっています。