私は2018年初旬にCISSP試験に合格しました。
ざっと3ヶ月独学での受験ではありましたが、なんとか一発合格する事ができました。
今回は私がどのように学習を進めたのかご紹介したいと思います。これから受験される方のご参考になればと思います。
気になる総学習時間ですが、ざっと200時間くらい掛けたと思います。結果論ですが100~150時間くらいで一度チャレンジしてみても良かったのではという感じです。
ココは前提になるIT知識、英語力にもよるので、どうしても個人差が出ると思います。
それでは内容に入らせて頂きます。
Contents
1.はじめに:書籍はKindle版を購入し、持ち運びやすさを優先する
電子版、ペーパー版は意見の分かれるところかと思いますが、CISSP関連の書籍は大概大きい&ページ数もあるで通勤時間などの隙間時間活用には向きません。
そのため、基本はAmazonでKindle版を購入し、いつでも読めるようにしてました。
Kindleは無償の”for PC”版も配信されており、大きい画面で読むこともできます。
※モバイルのKindle端末がWi-Fi環境にあると、PC版とページ進行を同期してくれるのも有り難いです。
問題集はペーパー版の方が集中して学習できるため、Kindle版とペーパー版の重複購入した書籍もあります。
机に向かって学習するときは、やはりペーパー版の方が効率が良いです。簡単なおさらいにKindle版を使う、といった形式ですね。
Kindle端末は定期的にセールをやっているので、タイミングを見て購入するのが良いかと思います。
ただ、セールと言ってもPrime会員限定での割引クーポン配布だったりするので、要注意。。
また、CISSP参考書など(特に洋書類)で形式が”Kindleプリント・レプリカ”となっているもの(公式ガイドブックがそうですが)については、Kindle Paperwhiteはサポートされていません。購入時は対応端末をよく確認しましょう。
持ち運び&読みやすさで、個人的にはFire HD 8がオススメです。
参考書と本試験の受験料で合わせて、ざっくり12万円程は投資したと思います。ただ、有償セミナーと比較したら、資格の価値も考慮すれば正直安いものだと思っています。
それでは、学習の流れに入りたいと思います。
2.基礎その1:CISSP Exam Cramをひたすら解く
とにかく、まずはコレ一冊をひたすら解く事を繰り返しました。(8ドメイン+αの構成)
1問1問、問題に対する選択肢4項目と、解説まで含め、全ての意味を把握します。
そうすると、ざっと約1,000問 * 4択で、4,000の用語を収集する事になりますが、これがCISSP合格への基礎知識になりました。
ただし、Exam Cramの利用目的はあくまで土台作りなので、内容を完璧に憶えただけでは合格には届きません。後述しますが、本試験の回答には、この知識をベースとした”CISSPの考え方”を身につける必要があるためです。
ちなみに、職務上CBKドメイン全般の前提知識のある方は、本項を飛ばして公式ガイドブックを読み進めるのが近道かもしれませんが、その点自信が無かった私は、最初のとっかかりとしてこの問題集に手を付けました。
これが大正解だったと自信を持って言えます。いきなり公式ガイドブックに手を付けても、ここまで続かなかったのは間違いないです。
CISSPへの登竜門として最適であり、個人的に一番最初にオススメしたい参考書です。
CISSPに興味がある、けれども何処から手を付けるべきか悩んでいる方は、是非ともチャレンジしてみて下さい。
全部で1000問を軽く超える問題数ですが、これを周回できる根気があれば、試験合格へグッと近づくと思います。これから受験を検討されている方、まずはExam Cramで学習習慣を付けるところから初めては如何でしょうか?
3.基礎その2:”暗号技術入門”で暗号に関する知識を網羅する
本書も、Exam Cramと同様に基礎知識を固めるのに大いに役立ちます。
暗号化と言われてピンとこない方は、受験前に是非とも読んでいただきたい一冊です。
暗号技術はセキュリティの基本といってもよく、これらの知識は全ドメインの設問に何らかの形で関わってきます。考えてみれば当然ですね、完全に隔離されたデータであれば暗号化など必要ありませんが、通信やアクセスの行えないデータなど容量の無駄遣いですよね…
今時そのような運用は一般的ではないため、どのようなセキュリティ検討フェーズにおいても暗号化は必須知識です。
本書は暗号化プロトコルの歴史から、それぞれの特徴(これが意外と重要)まで網羅されています。
簡単に中身をご紹介すると、現在標準とされる”AES(Advanced Encryption Standard)”の成り立ちや、絶対に破られない唯一の暗号技術とされる”ワンタイムパット(One Time Pad/OTP)”の仕組み、公開鍵暗号方式・共通鍵暗号方式それぞれの特徴や組み合わせまで、試験に必要な知識が詰め込まれた一冊と言っても過言ではないと思います。
特に公開鍵暗号の章においては、中間者攻撃(Man-in-the-middle attack/MITM)等の攻撃手法の解説や、どの様に対策が可能なのか、”差出人の証明”及び”否認防止”まで言及されており、非常に有益な内容となっており、特におすすめです。
4.基礎が出来た所で、公式ガイドブックを熟読する
CISSP合格には”CISSPとしての視点と考え方”を身につける必要がある、と言うのは(ISC)2のサイトでも言われている事ですね。
効率よくそれらを身につけるには有償公式トレーニングを受けるのが近道なのは明白ですが、費用が安くとも45万~と、そう簡単に出せるものではありません。
独学で合格を目指すにはどうすべきか、やはり公式ガイドブックの精読を精読すること、また難度の高い問題を解き、何故その選択肢となるのかを理解することです。Exam Cramと暗号技術入門の知識がきちんと身に付いていれば、公式ガイドブックの用語も理解しながら読み進める事ができると思います。
旧版ではあるものの、ドメイン構成は変わりなく、追加要素はGDPR/IoT(もう少しあったかも…)あたりだけですので、値段は英語版の2倍以上ですが、学習効率を考えれば日本語版一択です。安い出費だと個人的には考えています。
当然ですが、英語リーディングが苦でなければその限りではありません。
また、改訂内容が気になる方もいらっしゃると思いますが、その点は次項の問題集で補完するのがよいと思います。(後述しますが、問題集ではなるべく英語に触れておくべきです)
なお、上記の通り英語が得意という方は、従来通り英語版を購入頂くのがよろしいかと思います。
また、Conrad本と言われている以下の書籍も海外の方々の評価が高かったため、私も購入してみました。
結論、全てを網羅しているわけではありませんが、必要最低限(本試験での合格ライン70%以上)は賄えているのかな…という所感でした。ギリギリまで勉強時間を削り、ミニマムで試験を乗り切ってやるぜ!という方にはこのくらいのボリュームがいいのかも…
Conrad本と比較すると、公式ガイドブックは冗長な部分がありますが、本試験においては公式ガイドブックが正になりますので、個人的にはやはり公式ガイドブックを熟読しておくべきかなと思います。。
5.総仕上げ:問題集での試験対策
問題集も公式日本語版があるため、まずはこちらを取り組み、問いに対する選択肢の選び方(考え方)を身に着けていきます。
ここまで来ていれば既にご理解されていることと思いますが、ただ問題を解くだけはNGです。。
これは書かない方が良いのかもしれませんが、問題のちょっとした変化で正解が変わるようないやらしい設問ばかりです。ぶっちゃけ、相当悩む問題が多いと思います。
しっかりと考え方が身についていれば合格できる試験ですので。
また、試験に向けて、英語版の問題集にも慣れておくべきです。
理由は、本番試験において日本語意訳が誤っている事があるため、英文も合わせたチェックが必須です。(日本語受験で、英語への切り替えボタンあり)
加えて、各設問で上記に記載した細かいニュアンスの見極めにもなると思います。
私も英語2冊購入しましたが、時間が許すのあでれば、総仕上げとしてAll-in-One Examをおススメします。
こちらは参考書でもありますが、巻末に140問の問題集が付属しており、さらにWeb問題集のURLとアクセスキーが記載されています。(e-mailアドレスとアクセスキーで登録する形式)
このWeb問題集が1,600問と大ボリューム、かつ練習モードと本番同様のテストモードを備えています。
全部やるのは厳しいと思いますので、本番前の仕上げとして出来る限り慣れておくと良いでしょう。
以上になります。お正月も含め、ざっと3ヶ月くらい本気で取り組みました。
本試験では「これは落ちたな~」と思い、次に繋げるために試験問題を少しでも頭に入れておこうと必死でした(笑)
結果はまさかの一発合格で、正直自分でも戸惑いましたが、頑張ってよかったとしみじみ思います。
最適な学習方法は人それぞれだと思いますが、少しでも参考になれば幸いです。
また、詳しい受験体験記や、合格後のエンドースメント(CISSPによる推薦状)の流れについても、以下の記事にまとめております。よろしければあわせてご参照ください。
今回は以上です。最後までお読み頂きありがとうございました!
初めまして
ブログ参考にさせていただいております。
質問なのですがcisspの第4版、第5版の違いはどのようにしてお知りになりましたでしょうか?
NTT-ATから出た日本語訳の参考書購入検討しておりますが最新版でなく不安です。
やはり自分で分析するしかないでしょうか。
自分で分析する場合は日本語版(4版)→英語版(5版)で違い発見するという方法になりますでしょうか。
ご意見頂ければ幸いです。
コメント頂きありがとうございます!
高額な参考書ですので、お気持ちお察しします。。
私が改定後の学習及び試験を受けていないため、正確な事を言えないのが実情ですが、
いくつかの情報踏まえてコメントさせて頂きますね。
まず、ご質問頂いた4th/5thの違いですが、(ISC)2発行のドメインガイドブックを
新旧で見比べていた記憶があります。
新版:https://japan.isc2.org/files/CISSP8_domain_guidebook_180615v1.pdf
旧版:https://japan.isc2.org/files/CISSP8_Guidebook_2017_1101.pdf
ただし、これらも言葉(表現)の変更や、他項目へのマージなどがあるように見受けられるため、
差分洗い出しに時間を掛けるよりは、学習に注力した方が良いのではと思います。(後述するCISSPとしての判断力が身についていればOK)
※投稿時、GDPRのみ、時期的に新規追加と判断できるため、
その部分の基礎知識だけ他で補完すれば良いと考えておりました。
私見になりますが、新旧で細かい配分変更はあるものの、ドメイン体系及びドメイン毎の要求スキルに変更は無いと考えています。
この点大枠に変更はないため、従来通りCISSP試験において重要となる「セキュリティ専門家としての判断力」が身についていれば、4th/5thどちらのテキストを利用していたとしても、合格を勝ち取れるのではと考えています。
※仮に私が今から学習するとしたら、間違いなく4th日本語テキストを選択すると思いますw
ご参考までに、(ISC)2コミュニティ、公式FAQでも似たようなやり取りありましたので、紹介させて頂きますね。
◆Next edition of the CISSP book and exam?
https://community.isc2.org/t5/Certifications/Next-edition-of-the-CISSP-book-and-exam/td-p/4914
※海外の皆さんも、大きな変更は無いと判断していた様です。
◆(ISC)2公式FAQ
https://www.isc2.org/Certifications/CISSP/Domain-Refresh-FAQ#
————
Q:
If I have been studying for the CISSP exam with material that focuses on the current domains, will I be sufficiently prepared to take the new exam without additional study?
A:
(ISC)2 exams are experience-based that include experience-based questions that cannot be learned by studying alone. If you already have the experience in the domains covered in CISSP and believe that you have sufficiently studied those domains, you should feel confident that you are qualified to take the new exam and pass it. (ISC)² cannot guarantee you will pass the exam.
——–
※これまた”経験ベース”と曖昧な表現ですが。。既存資料の範囲を十分網羅しているのであれば、追加学習は必要無いとも読み取れますね。(ちょっと乱暴かな…)
以上です。
答えになっていないかもですが、ご参考になりましたら幸いです。
お返事遅くなり申し訳ございません。
回答ありがとう御座います。
8ドメインを網羅的に勉強していればOKとのことでまずが4thで勉強したいと思います。
とはいえやはり経験ももとめられるのですね、まだ経験浅いので心配ですが勉強進めて行きたいです。
現在のPJもやっと落ち着いてきた?感じなので時間取れそうです笑。
以上、ありがとう御座いました