🖊

Certified Cloud Security Professional(CCSP)認定試験合格体験記

2024/04/21に公開

認定試験の概要

Certified Cloud Security Professional(CCSP)とは、クラウドサービスの安全な利用に関する資格です。
サイバーセキュリティ領域における国際的な非営利団体のISC2[1]が認定します。
CCSPの主な認定要件は以下の通りです。
認定試験への合格だけでなく業務経験も求められることがポイントです。

  • CCSP認定試験に合格すること
  • ITに関する業務経験が5年以上あること
  • 情報セキュリティに関する業務経験が3年以上あること
  • CCSP CBK 6ドメインのいずれかに関する業務経験が1年以上あること

CCSP CBK 6ドメインは以下の通りです。
認定試験もこの6ドメインに基づいて出題されます。

ドメイン 概要 説明
ドメイン1:クラウドの概念・アーキテクチャ・設計 アーキテクチャ、リファレンスモデル、クラウドセキュリティの概念、プロバイダの評価 ISO/IEC 17788(Security concepts and principles relevant to secure cloud computing)に基づいたクラウドコンピューティングの概念と定義
ドメイン2:クラウドデータセキュリティ データストレージの概念、暗号化、eディスカバリ、イベント処理 設計、実装、監視、ならびにオペレーティングシステムや機材、ネットワークの保護に使われる概念、原則、構造および標準、およびクラウド環境における様々なレベルの機密性、完全性、可用性の実施に使われるこれらのコントロール
ドメイン3:クラウドプラットフォーム&インフラセキュリティ インフラ・コンポーネント、インフラ・リスク、セキュリティ管理策、IAM、BCP/DR クラウドインフラストラクチャに関する知識、物理およびバーチャル、既存の脅威、緩和およびこれら脅威に対処するための計画の策定
ドメイン4:クラウドアプリケーションセキュリティ 開発ライフサイクル、安全な開発、ソフトウェアの検証 クラウドソフトウェアの保証および検証に関連するプロセス、および検証済みの安全なソフトウェアの使用
ドメイン5:クラウドオペレーション クラウドの評価、運用管理、安全な運用 重要な情報の特定とその情報の悪用を排除または軽減する手段の実行、そのためのインフラストラクチャを実行、管理するためのクラウドアーキテクチャの要件、ハードウェア、メディア、アクセス権を持ったオペレーターに対するコントロールの定義、ならびに監査や監視もメカニズム、ツールおよび設備
ドメイン6:クラウドガバナンス - 法律、リスク、コンプライアンス 法律/コンプライアンス要件、プライバシー、監査、契約 倫理的行動と規制の枠組みへの対応、調査手段と技術を含む、証拠の収集(例:法的コントロール、eディスカバリ、フォレンジック)、プライバシーの課題と監査プロセスと方法論、クラウド環境が企業のリスク管理に与える影響

認定試験の概要は以下の通りです。
ありがたいことに日本語で受験可能です。

項目 説明
時間 4時間
問題数 150問(うち50問は採点対象外)
合格点 700点/1000点以上
出題形式 多肢選択式
言語 日本語対応(英語併記)

受験することになった経緯

会社でCCSPの公式トレーニングの募集があり、上司から「是非取得してクラウドセキュリティ界のエバンジェリストになってほしい」と言われたことがきっかけです。
当時は「エバンジェリスト[2]」の意味を理解していませんでしたが、元々AWSセキュリティ対策支援案件を担当していたこともあり、トレーニングを受講して認定試験を受験することにしました。
ちなみに、高額なトレーニング費用と受験費用は所属していたセキュリティ部門に支払ってもらったのですが、「セキュリティよりAWSがやりたい!」とワガママを言って、今年度からクラウドSI部門に異動しました…申し訳ないです…。

試験日までの勉強

準備期間が1ヶ月間しかなかった[3]ため、いきなり問題集に取り組むことにしました。
問題集はWileyにて「(ISC)2 CCSP Certified Cloud Security Professional Official Practice Tests, 3rd Edition」(E-Book版)を購入しました。
ISC2の会員は半額で購入できます。
https://www.wiley.com/en-jp/(ISC)2+CCSP+Certified+Cloud+Security+Professional+Official+Practice+Tests%2C+3rd+Edition-p-9781119909422
問題集の巻末付近に記載されている手順でWileyのTest Bankを使用すると、1問1答形式になることに加え、間違えた問題を管理できるのでおすすめです。

Test Bankのイメージ
ブラウザの翻訳機能を利用しながらStudyモード(1問解くとすぐに解説が表示されるモード)で解いていき、解説を読んで知らなかったことや重要だと思ったことをNotionにまとめていきました。
ちなみに、1週目の正解率は以下の通りでした。

Chapters Domain Correct Incorrect Completion
Chapter 1 Domain 1: Cloud Concepts, Architecture, and Design 71 29 71%
Chapter 2 Domain 2: Architecture and Design 89 11 89%
Chapter 3 Domain 3: Cloud Platform and Infrastructure Security 64 36 64%
Chapter 4 Domain 4: Cloud Application Security 80 20 80%
Chapter 5 Domain 5: Cloud Security Operations 67 33 67%
Chapter 6 Domain 6: Legal, Risk, and Compliance 60 40 60%
Practice Test 1 - 93 32 74%
Practice Test 2 - 101 24 80%

正解率の低かったドメインは、CCSPの公式トレーニングでいただいた資料をざっと読んで試験に臨みました。

試験当日

試験会場はPearson Professional Centers - Shinjuku Japanでした。
ここで受験する方は入館方法が特殊なのでご注意ください。
https://www.pearsonvue.co.jp/Test-takers/Pearson-Professional-Center-tour/How-to-Enter-Pearson-Professional-Centers-Shinjuku.aspx
肝心の試験についてですが、時間は100分以上余ったものの、手応えは全くもってありませんでした。
単純な知識を問う問題より最良の考え方を問われる問題が多かったため、正直不合格を覚悟していました…。[4]
それでも問題集で得た知識は十分役に立ちましたし、分からないなりに理由をつけて解答したことが合格に繋がったのだと思います。

脚注
  1. 元々(ISC)2(アイエスシースクエア)という団体名でしたが、2023年8月にISC2(アイエスシーツー)という名称に変更されました。個人的には2乗の表現が読むにも書くにも面倒なので、名称が変更されて良かったと思っています。 ↩︎

  2. エバンジェリストとは技術について広く啓蒙活動を行う人のことです。 ↩︎

  3. 試験の準備期間が1ヶ月しかないのは通常運転です。 ↩︎

  4. 合格の場合はPCの画面にその旨が表示されると思っていたので、本当に不合格だと思っていました。実際は試験終了後に受け取る印刷物に結果が記載されています。 ↩︎

Discussion