【CISSP合格体験記】実務経験者が3か月・約100時間で合格するまで
本記事は、クラウドやセキュリティ領域での実務経験があり、CISSPを受験しようか迷っている方、あるいは勉強方法がわからず困っている方に向けた合格体験記です。
筆者のバックグラウンド
こんにちは、サイバーセキュリティクラウド CloudFastenerサービス担当の戸ヶ里と申します。
私はSRE(主にGoogle Cloud)を2年程度と、主にAWS環境におけるサイバーセキュリティコンサルティングを2年程度経験しております。
クラウドやプロダクト開発におけるセキュリティが専門で、オンプレや物理、コーポレートセキュリティは専門ではありません。
CISSPとは?
この記事をご覧の方はご存知かと思いますが、詳細は以下リンクよりご確認ください。
勉強方法
学習期間・スケジュール
私は1月頭に受験しましたが、勉強は10月から開始して約3ヶ月間かけました。
- 10月~12月
- 平日は1時間/日
- 休日は2時間/日
- 年末年始
- 4時間/日
を目安に勉強しました。
おすすめの学習方法
公式問題集 日本語(実施済み)
まずはこれに取り掛かるのが良いと思います。
CISSP公式問題集
最初は難しすぎて全然解けなかったので、問題を解きながら、下述の晴耕雨読さんとBlahfe & Grprさんのノートと読み合わせていました。
晴耕雨読さんのCISSP 勉強ノート(実施済み)
多くの人がお勧めしているノートなので言及するまでもないと思いますが、非常によくまとまっていてすごいです。
Blahfe & GrprさんのCISSPまとめ(実施済み)
晴耕雨読さんのCISSP 勉強ノートとあわせて参考にさせてもらいました。
以下は私は使っていないですが、もし試験に落ちたら使おうと思ってました。
公式問題集 英語(未実施)
日本語の問題集は2019年なので結構古いです。英語版は2024年に最新版が出ているので、英語版にも取り組むのが良いと思います。
実際に試験でも2019年には世の中でそれほどメジャーではなく近年メジャーになった内容に関する問題が出ました。
Technical Institute of AmericaさんのYoutube(未実施)
問題集だけではCISSPとしての考え方を体系的に身につけることは難しいので、専門家が解説しているコンテンツを利用するのが良いと思います。
実際に試験でも、問題に対して回答が曖昧で正解が複数あるように見える設問がいくつかありました。そのような問題の正解率を上げるために"CISSP"対策が効果的かと思います。
Udemyの教材(未実施)
値段も結構高額なので優先度は低いかなと思いますが、選択肢としてありかなと思います。
私の学習方法と振り返り
9月ごろ:志 start
社内でCISSP取得の有志が集まりました。
そこから取得に向けて計画を立て始めました。
10月:問題集→インプット中心
まずは、公式問題集 日本語を解き始めました。
ただ、全然解けなかったので、晴耕雨読さんのCISSP 勉強ノートや、Blahfe & GrprさんのCISSPまとめを読み込みました。
11月~12月:問題演習の反復
公式問題集 日本語をひたすら回答&振り返りを繰り返しました。ドメインが8個もあって途中で心が折れそうでした。大学の受験勉強を思い出しました。
他には、3rd Partyの問題集も解きました。
9割くらいは解けてしまったので、難易度は低いと思われます。
2週間で合格!CISSP試験【2025年最新版】
年末年始:総復習と模擬試験
公式問題集 日本語のドメイン1~8を最初から解き直しました。100問x8ドメインで800問程度ありますが、この頃には比較的すらすら解けるようになってました。
公式問題集 日本語の最後に模擬試験が4回分あるので、それも解きました。125問x4回で500問あります。
4回分の結果は、72%~78%の正解率でした。
私がハマったところ
物理/オンプレの知識や経験の不足
私は物理/オンプレの知識や経験がありません。
クラウド中心の実務経験者は、私と同じように「インフラは論理的に安全ならOK」という感覚を持っている方も多いと思います。CISSPではそれが通用しないケースが多く、ここが一番のギャップでした。
クラウドではバックアップを設定すれば(概ね)安全かつ確実にバックアップされますし、データを削除したら(ほぼ確実に)適切に削除されます。クラウドベンダーには感謝してもしきれないですね。
一方で、CISSPではそんな甘い環境では許されません。自分でデータセンターを設計・管理・運用しますし、ハードウェア/ストレージドライブの管理も必要です。ケーブルも適切に選定して、電源も冗長化しなければなりません。
データセンターは災害に被られることも検討する必要がありますし、使い終わったストレージは適切に処分しないとデータ漏洩のリスクがあります。
暗記内容の浅さ
公式問題集 日本語では、攻撃手法について名前と概要を暗記するような問題が多かったです。なので、浅いレベルでの理解しかしていなかったですが、実際の試験ではより深い理解が求められました。
問題集では回答は単語が多く暗記で正解できましたが、実際の試験では単純な知識を問うだけではなく思考や本質的な理解も必要でした。
CISSPでは「この技術を知っているか」よりも、「この状況で最もリスクを下げる判断ができるか」が問われていると感じました。
受験に向けた準備
試験の予約・準備
11月中旬くらいに支払い&受験の予約をしました。
ISC2の公式サイトから案内に従ったら問題なくできました。
受験料は999ドルで、当時のレート(1ドル=約160円)では約16万円でした。個人負担だと高額に感じる金額です。
合格したら会社が負担してくれるので、合格できて良かったです。
会場は新宿で予約しました。
私は東京都民ではないので、試験当日に会場にちゃんと到着できるように事前に下見に行きました。
試験当日のリアル
試験当日は余裕を持って会場に行くだけです。30分前に到着したら大丈夫です。私は新宿駅で迷子になりましたが、25分前に到着しました。
免許証やマイナンバーなどIDを忘れないようにしましょう。
会場に到着することができれば後は受付の方が丁寧に案内してくれますので、試験を受けるだけです。
試験は最大3時間で100~150問のCAT形式です。
CAT形式は前の問題に戻ることができないので、丁寧に進めました。
2時間20分で100問回答しました。その時点でテストが終了となりました。
全く手応えがなかったですが、合格できて良かったです。
2~3択まで絞れるが確証は持てない問題が多かったです。完全に間違いではない選択肢が複数あり、その中から最も適した選択肢を選ぶというCISSPの特性なので、受験される方は手応えがなくても諦めずに最後まで集中して取り組みましょう!
まとめ
普段の実務では触れる機会が少ない内容も学べたので勉強して良かったと思います。
もし少しでも興味があれば是非受けることを推奨します。
もし受験料(最大で15万円程度)で躊躇している方がいましたら是非、弊社に入社お待ちしております!
(合格した場合に受験料が出ます)
CISSPの効果はまだエンドースメント中なので感じられていないですが、エンドースメントが完了して認定されたらCISSPの効果を追記しようと思います。
ありがとうございました。
Discussion