CISSPの勉強はした。でも不安だ。
「CISSPの勉強はした。でも不安だ。」
CISSPの勉強を数か月もしくは数年にわたり行ったけど、いまだにどんな試験問題が出るかわからない。もしも、ボタンの掛け違いで不合格になってしまうのは、プライドとしても金銭面的にも避けたいものです。今回は、試験問題に対してのアプローチを解説していきます。
CISSPの合格ラインは70%
まず始めに、目標となるCISSPの合格ラインについて知っておきましょう。CISSPは250問を6時間で解いていく試験です。回答方式はすべて4択問題で、試験会場のコンピュータにて行います。自宅のパソコンから試験を受けるようなリモート試験はありません。(最近では、短時間で合否判定する別の回答方式の試験体系もあるようですが、いったんややこしいので、ここでは対象外と致します。)CISSPは相対評価ではなく絶対評価です。あなたの正答率だけで決まります。
知識以外の問題の存在
4択問題で合格ラインは70%です。そのうち、知識問題とそれ以外の問題に分かれます。多くの人が不安がっているのは、”それ以外の問題”として扱われている部分です。知識については試験前に補強できますが、”それ以外の問題”については適切に対策できているのかわからず、不安になるのです。
さらに、試験問題が250問もありますから、教材に載っているような練習試験ではいい点が取れても、250問も出されると粗が出てきて、不正解率が上がってしまうことを懸念してしまいます。
合格の戦略
不安がる受験者の皆様に、合格の戦略を考えました。
① まず問題文を読む!
② 答えを2択に絞る!
③ 考え方と抽象度でゴリ押す!
を手順に、「満点を狙わず、そこそこの回答を続ける。」ことが大事と思っています。
一つずつ解説していきます。
①まず問題文を読む!
4択問題で、なぜか問題文を読まずに選択肢から入る人がいます。この人はせっかちなんですね。選択肢を見ればおおよその問題の傾向がわかるため、見たことがある問題であれば、問題文を読み切ることなく瞬殺できるので、気持ちはわかりますが。
しかし、逆に知らない単語ばかり並んでいると、パニックになってしまい疲れてしまいます。まずは、横着せずに問題文を読みましょう。
問題文を読むときに、どんなテーマなのかに注目します。システム設計の話なのか、脆弱性の話なのか、運用の話なのか、そんなレベルで問題ありません。問題文から選択肢を見ずに回答を出す必要はありません。
②答えを2択に絞る!
個人的には、ここが一番大事なプロセスだと思っています。4択選択問題では、一番合っている選択肢を探してしまいます。当然です。しかし、その選択肢を探しているうちに「この選択肢もあっているみたいだけど、こっちの選択も捨てがたいなあ。いやでも逆にこういう前提があるならこっちの選択もありじゃないか?」のように迷い始めてしまいます。これでは疲れるだけです。
思い出してみると、合格ラインは70%です。なので、半分知識問題で半分その他の問題だったとすると、知識問題が90%あっていれば、その他の問題は50%でいいわけです。つまり、2択に絞り込めればサイコロ振っても合格します。そのため、”4択の中で1つの正解を見つけにいく”よりも”2択まで絞り込む”という方が体力を使わず、合格までたどり着く、クレバーな戦略と言えます。
では「2択に絞る」ことをピックアップして考えてみましょう。ここからはCISSPということではなく、4択選択問題への傾向になりますが、4択選択の内訳は、以下の構成になっていることが多いように個人的には思います。
- 正解となる選択肢
- 正解に似ている選択肢
- 明らかに違う選択肢
- 問題文と関係ない選択肢
問題を考える側からすると、4択考えるのも結構大変なので適当に選択肢を用意したいのですが、それだとあまりにも正解となる答えが目立ちすぎるので問題としても意味がなくなります。どうせなら回答者を惑わしたいのです。そのため、正解となる選択肢の周りに角度の違う選択肢を用意することを考えるわけです。
まとめると、”明らかに違う選択肢”と”問題文と関係ない選択肢”を見つけ出せれば、任務完了です。
勿論、4択の選択肢の中で、”正解となる選択肢”、”正解に似ている選択肢”、”明らかに違う選択肢”、”問題文と関係ない選択肢”が一つずつあるわけではありません。”正解となる選択肢”、”正解に似ている選択肢”、”正解に似ている選択”、”問題文と関係ない選択肢”となっている場合もあり、2択にならない場合もありますが、絞り切ればければ3択のまま次のステップに進むとしましょう。
③考え方と抽象度でゴリ押す!
さて最後に、2択から一つに絞ることを考えてみましょう。2択まで絞り込めばまあまあの合格ラインには乗っているとは思いますが、どうせならサイコロ任せではなく、もっと合格率を上げたいでしょう。
その一方で、”正解となる選択肢”と”正解に似ている選択肢”から絞り込むのはなかなかの至難の業と言えます。試験という緊張感から、気分によってどちらも正解に見える、もしくは正解のようなロジックを勝手に組み立ててしまうのです。
2択では、以下のポイントで絞り込むと良いでしょう。
- CISSPの考えに近い方を選ぶ
- より抽象的な回答を選ぶ
”CISSPの考えに近い方を選ぶ”の肝となるCISSPの考え方は別の記事にしておりますので、そちらを確認ください。
ここでは、”より抽象的な回答を選ぶ”について深堀致します。抽象的な回答の方がより答えにしやすいということです。私も練習問題を本サイトにて練習問題を作っているのですが、問題の作成者としては、”本当は合っているのに間違っている”という問題を作りたいとは思いません。そのため、間違いとなる選択肢には明らかに間違いと言える要素を含ませ、正解となる選択肢には誤りとは言えないようにしたくなるのです。つまり、正解の方がより抽象的な回答になりやすいのです。
例えば、「脆弱性診断ツール」と「OWASP準拠ペネトレーション自動化ツール」という選択肢があったとしましょう。仮に「OWASP準拠ペネトレーション自動化ツール」が正解だとすると、「脆弱性診断ツール」も間違っているとは言えないわけです。「OWASP準拠ペネトレーション自動化ツール」も「脆弱性診断ツール」の一つであるからです。そう考えると、感で答えるよりも、より抽象的な選択肢を選んでおいた方が正答率が上がりやすいのです。
確かに、問題文によっては”「OWASP準拠ペネトレーション自動化ツール」の方が適切”というような文脈で、抽象度による回答が望まれないこともありますが、その場合には「すでに人が手いっぱいでツールを動かすリソースがない」という”自動化”を必須とするような文言が説明文に登場しているはずです。
更にゴールに近づくためには?
PIEDPINでは、皆様のお役に立てるように情報セキュリティ専門家になるための様々なコンテンツを用意しています。初心者の方から臨めるように、簡単に、効率よく、どこででも学ぶことができるように設計しています。
