Zenn
🛡️

CISSP 合格体験記

2024/11/16に公開
CISSP
idea

kuzushikiです。つい先日、CISSPというセキュリティの資格に合格しました。せっかくなので体験記を残しておきます。

経歴

脆弱性診断 → 情シスのセキュリティ担当。
今年でセキュリティ経験が4年を超えました。

受験のきっかけ

  • CISSPの認定要件 の一つである、「最低4年の業務経験」をクリアしたタイミングだった
  • たまたま会社のお金でトレーニングに参加させてもらえることになった

どんな勉強をしたか

勉強期間は有償のトレーニングを含めて約1ヶ月、トータルで100時間ほど勉強しました。
具体的には次のようなスケジュールで学習しました:

  • 1週間のトレーニング(8時間 × 5日 = 40時間)
  • トレーニングに付属している確認問題(8時間)
  • CISSP公式問題集(1章3時間 × 12章 = 36時間)
    • トレーニングの約10日後に引き換えコードが得られる。だいぶ間が空いてしまうため、短期集中で合格したい場合は先に買っておくほうがよいと感じた。

結論から書くと、問題集を解くのが特に効果的だと感じました。CISSPの試験範囲はかなり広く、トレーニングで話を聞いているだけではなかなか頭に入りませんでした。問題集の問題をひたすら解いて間違ったところを復習する、という資格勉強の王道パターンで攻略しました。

ただ、他の受験者の体験記で「問題集の暗記だけでは通用しない」という記述が散見されたので、問題集を1周したあとは間違えた問題を定期的に見直す程度にとどめました。

また、ずっと問題を解き続けるのも辛いので、息抜きとして以下の勉強もやりました。

  • 参考書(合計6時間程度)
    • 猫とCISSP
      • 息抜きにちょうどよい。対話形式のため要点が頭に入りやすく、試験の心構えみたいな内容もあり勇気づけられた。
    • How to Think Like a Manager for the CISSP Exam
      • 問題数は25問と少ないが、CISSPの考え方を学べる良い本。Kindle Unlimitedを契約している方におススメ
  • CISSPノート を眺める
    • 要点がまとまっていて知識を整理できた
  • Discordのコミュニティ
    • 毎週日曜夜に勉強会が開催されている
    • 合格体験記などのコンテンツもあり、「どうやって勉強すればよいか」などノウハウが共有されており参考になった

https://x.com/kau_infra_se/status/1775113258535719413

試験当日の様子

なんやかんやあって2回受験しています。

1回目 (アクシデントにより強制キャンセル)

集合時刻が朝7:30だったので、3日前から生活リズムを整え早起きに備えました。しかし結局前日は寝付けずに寝不足気味でした。新宿にある試験会場付近のカフェで朝食をとりつつ、ぼんやりとした頭で復習を行い、試験会場へ向かいました。

試験会場で受付を済ませ、案内に従って試験部屋に移動します。いよいよ始まるぞ、と思っていたのですがここでトラブル発生。NDA確認に進む前にエラー画面が表示されました。サポートの方が対応してくださったものの解決せず、強制キャンセルで後日再受験となりました。私は新宿まで30分程度で行けるので再受験自体はそこまで痛手ではなかったですが、サポートとのやりとりや日程調整などで有給が無駄になりました...

2回目(合格)

前回の経験から、朝はつらいと思ったので12:15の枠で申し込みました。試験当日は早めに新宿へ行き、カフェでくつろいだり公園を散歩したりしてリラックスしていました。一度経験しているので受付などはスムーズに終わり、無事にNDAの確認画面が表示された時はほっとしました。

試験が終わった後、スコアレポートを伏せた状態で手渡されます。すぐに裏返したところ「おめでとうございます!」の文字を見つけ、ほっとするとともに嬉しさがこみ上げてきました。

試験の手ごたえ

NDAがあるため詳細には触れませんが、CISSPは問題集を一通りやった程度では難しいと感じました。一見どっちでも良さそうに思える選択肢があったり、聞いたことのない用語が出てきたりと、正直なところ「これは落ちたかも...」と思う場面もありました。

CISSPはCAT形式(最小100問、最大150問)で行われます。ルールが少々複雑なのですが、私の理解は以下のとおりです。

  • 100問解いた時点で合格ラインに達していれば試験終了
  • そうでない場合101問目以降も出題され、合格ラインに達した時点で試験終了

100問の試験に合格した受験者は、全ドメインを通じて十分な概念を習得しており、習熟度を証明することができます。100問の試験で合格しなかった受験者は、最低合格点を達成するために必要な習熟度を、十分なドメインを通して示していないことになります。100問を超えた受験者は、いくつかのドメインで熟練している可能性がありますが、追加項目の提示により、最低合格点を達成できるよう、他のドメインでの熟練度を証明し続ける機会を与えられます。

101問目が出題された瞬間、「まだ合格ラインに達していないのか...」と少しショックを受け、130問目を過ぎたあたりからは「これで終わってくれ…」と祈るような気持ちで一問一問回答していました。最終的に145問目を解くことになったので、かなりギリギリのラインだったのかもしれません。

アドバイス

要件を満たせる程度のセキュリティ経験があるなら、問題集を一通りこなした段階で十分挑戦可能だと思います。ただ、合格するためには問題を覚えるだけでなく、CISSP的な考え方を身につけることが重要と言われており、私も実際に問題を見てそれを痛感しました。解説に納得できない問題に遭遇した際は、納得できるまで掘り下げて学ぶ姿勢が大切なのではと思いました。

Discussion