🐣

CISSP 受験記 -ピヨピヨ🐣技術営業が CISSP に受かるまで-

2023/07/27に公開

やっと記事をあげられる時が来ました。本日 CISSP の認定を受けました。
実は試験自体は 5 月頭に Pass していたのですが監査対象になり約 3 カ月経った本日認定となりました。私自身、いろんな方の受験記や対策を参考にさせていただいたので記録に残しておきたいと思います。

CISSP とは?

CISSP(Certified Information Systems Security Professional)とは、(ISC)² (International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。

CISSPに認定されるには、下記要件をすべて満たすことが必要です。
・CISSP 認定試験に合格すること(1000 点中 700 点以上で合格)
・CISSP CBK 8 ドメインのうち2 ドメインに関連した5 年以上の業務経験があること
 下記どちらかに該当する方は、1 年分の経験が免除され、4 年の業務経験で認定可能です。(免除は最長で1 年分)
 ・大学卒業学位取得者
 ・(ISC)² が認める資格の取得者
対象資格はhttps://www.isc2.org/Certifications/CISSP/Prerequisite-Pathway 参照

その他の情報については(ISC)²の Web site をご覧ください。
https://japan.isc2.org/cissp_about.html

私の現在の仕事ではお客様や社内の同じ職種の方は殆どホルダーで、主軸の仕事をやっていく上ではそこまで困ってはいなかったのですが、経営層の方ともお話する機会がかなり増えたこともあり、試験の難易度も良くわからず期末までに取ろうと安易な気持ちで人事考課目標に入れたことを記憶しています。

私のスペック

私は 10 年ほど IT に携わっていますがキャリアの全てが営業職です。
今でこそ直近 2 年間はセキュリティ製品の技術営業をしていますが、その前は M365 製品営業、SIer でプリセ、セキュリティ製品の企画・マーケなど、セキュリティや技術をどっぷりやってはいません。
(お恥ずかしいことに技術営業に異動したいと志願したのに、当初は IPS / IDS が何なのかも知らなかったくらい M365 に偏った知識しか持っていませんでした、例えば ExpressRoute for M365 のお作法には詳しいのに技術的なところは本当触りくらいしか話せず。。)

自分の良い所でもあり悪い所だと自負があるのですが知らないことも話を聞いて感覚や体感で全体像を理解して自分の言葉で話すことが得意だったため技術用語でわざわざ話さなくても通じてしまっていたことがすごく抽象的な話し方や知識になっていると自覚がありました。
そのため、勉強するにあたってどこの知識が足りないか俯瞰的に知りたかったこともあり
会社の先輩にお願いしてスキルチェックを志願したところ下記のような通知表をいただきました
(ご本人掲載許可は取っていませんが、きっと許してくれるでしょう🐰)

この後に色んな項目で細かな成績や解説が書かれており
”仕事で使ってる範囲しか知らないのね”
ということが様々な観点で記載されていました。
自覚もあり、わかってた事とはいえ凹んだのも正直なところでちゃんと勉強しなきゃいけない焦りがでました。

CISSP トレーニングを受けてみる

上記スキルチェックの後、気持ち的に追い込まれた私は自費で(めちゃ高額) CISSP トレーニングを受講します
これを受けて問題集やれば合格!と至るところに記載されていたからです。
しかし、結果的にこの時のトレーニングが役に立ったのは少し先の受験直前。
受講しているときはそもそもの IT 基礎知識がないのでチンプンカンプンなわけです、法律などは初めて聞く単語でも話を聞いていれば理解できるのですが 暗号化技術、開発やテスト手法、馴染みのない言葉は容赦なく私は追い込まれ、トレーニング中凹みっぱなしでした。

ひたすら自習するしかなかった

トレーニングを受けて試験にどういう範囲のことが出題されるかは理解したため、関連する初心者向けの本をひたすら読みました。読んでいたのは以下のようなレベル感のもの。
https://amzn.asia/d/1ROSaDn
https://amzn.asia/d/huOYqHC
https://amzn.asia/d/gQyLGso

読んでる本については冒頭でスキルチェックしてくださった先輩に「あなたはもう少し中級・上級向けの本を読んだほうがいいよ。もう少し踏み込んだもの」というコメントもいただき、それからはよく受験された方が読まれていた以下の 2 つが私のバイブル的な本になりました(TCP/IP は1回目の受験の後、悔しくてすぐ買った)

https://amzn.asia/d/5NZrqIv
https://amzn.asia/d/ipSNakk

平日はあまり勉強に時間が割けなかったので土日に 30 分でもインプットし、長期休み(年末年始、GW)に公式問題集をひたすら解くことで試験対策を行いました。

本格的な勉強開始からひと月後、1回目は年明けに受けましたが当初から苦手意識のあった NW が標準点以下と表示された不合格通知を受け取りました。。
そこからは、全ドメインで標準点以上取らないとダメと聞いていたので、ひたすら苦手意識のあったドメインをつぶす形で勉強しなおしました。取り組んだこととしては
・NW や暗号化は技術の仕組みを再復習
・テストツールが丸暗記になっていたので Udemy や Youtube のハッカー講座を見てツールのイメージをちゃんと持つ
・ちょうどその頃、生成系 AI がバズったのでその周辺のセキュリティニュースのチェック
・とにかく用語はひたすら暗記(CISSP 勉強された方の下記ブログが本当に役に立った)
https://tex2e.github.io/blog/security/cissp-notes

2回目の受験までに一回勉強を休んでひたすら漫画を読んでしまった時期もあり(こんな勉強しても受からないならもうダメだ…と結構心折れてた&仕事も忙しい時期だった)
モチベーションを保つのが非常に大変で 1on1 で励ましてくださる上司には「励まされても勉強しないから、もっと追い込むことを言ってくれ」など変なお願いもしていました。。試験 high ですね。。
更には周りから大不評だったのですが Power Automate を利用した自分を鼓舞する Bot を作って心配される始末で試験 1 週間前は CISSP のことで頭がいっぱいでした。
(途中で「いいね!」つけてるあたり、かなり病んでる)

試験では CISSP 的な考え方というのがすごく問われるのですが、私はこの点に関してアドバンテージがあったと思っています。
私がいる環境は会社の情報セキュリティの考え方は CISSP の考えに則しているし、尊敬する CISSP ホルダーの方とよく仕事で一緒になるので「この人ならどういう答えを出すかな?」と心の中で想像して答えを出していました。
公式問題集は答えを覚えてしまいそうだったので間隔をあけてランダムにチャプターを選んで 3 回はやりました。問題集以外にもトレーニングの教材で問題があったのでそれも使いました。
問題を解いたり実際の案件で考えたりするのを大事にする日とインプットの日を分けることで自分は CISSP 的な考え方が定着した実感があります。
(私の解釈では CISSP 的な考え方は人命は最優先な上でヒト・モノ・カネのバランスがとれていること、生産性を損なわないための最適解。という感じ。)

勉強の記録も取っていたので集計したところ自習だけでトータル 280 時間くらい勉強していました(これだけ勉強したのだから、と自分を奮い立たせるために途中から取り始めました。結果やっておいてよかったです)
私個人の感想ですが、汎用的な知識が無かったり、偏った知識しか無い場合にはすごく勉強しないといけない資格でした(勉強するのにも結構投資しました。。)

CISSP は試験に受かるだけでは認定されない

冒頭の CISSP とは?に記載した通り、試験にパスするだけではなく実務経験などの証明を出して認定してもらう必要があります。
申請した際にランダムでより細かく監査される人がピックアップされるのですが、見事に引き当ててしまいました。。。
私は大学を出ていないですしセキュリティの名だたる資格も持っていませんので 5 年の実務経験を証明する必要があります。しかし、現在の会社は 5 年も居ないので職歴を遡って実績を提示する必要がありました。
プロセスがどんどん増える?のかとりあえず言われた通りの対応をするしかないのですが、現職だけでなく前職の上司や人事の方と連絡を取り書類を追加で提出することが必要になり準備するのにすごく時間がかかりました。また(ISC)² 事務局とのやり取りがスムーズにいかないこともあり、日本の (ISC)² 事務局に問い合わせたところ、快くサポートいただきました(本当にありがとうございました)

今後は?

CISSP が終わったら勉強はひと休み・・・と思ったのですが、どんなに忙しくても勉強する時間は意識的に作ることが大事だと身をもって体感しまして続けざまに細々勉強を続けて今月 G 検定(JDLA Deep Learning for GENERAL)を取得しました。
夏休みが終わったら次は CEH (認定ホワイトハッカー)を取ろうかな、とぼんやり考えています。

Discussion