Zenn
✒️

CCSP受験記

2023/04/03に公開
Security
#
資格
#
クラウド
#
ccsp
idea

はじめに

CCSP受験して合格したので勉強どうやったかなどをまとめておきます。
NDAがあるので具体的な問題の内容には触れられませんので悪しからず。
私が受けたのは2022年8月1日改定版の試験です。

About me

SIerのITエンジニア13年目。
具体的に何と言い難い経歴なので以下見て適当に判断してください。

  • NW周りの技術検証
    認証、プロトコル、構築したNWの性能や冗長性に関する検証

  • システムの検討、提案、構築、運用保守
    要件定義から手を動かして構築、運用保守まで。
    認証基盤回り、NW~バックエンドがメインでフロントエンドは分かりません。

  • 持ってる資格
    CISSP、CCNP

今のメインはシステム周りの方です。最近あまりNW機器を触ってません。
クラウドはAWSだけで触りだして3年弱ぐらい。
NW仮想化周りの検証や、ESXiも触ってたので仮想化の技術に関してはそれなりに。

3~10名ちょい規模ぐらいのチームリーダーで、顧客と直接会話して要件定義、タスク整理、業務に関する諸々の改善もやったりしてます。

なぜ受けたか

CISSP持ってた

業務でCISSPの知識が非常に役立っているのとクラウドも触りだしたこともあって、同じISC2のCCSPは気になってました。一回ちゃんと体系立ててクラウドの方も知識を整理したいのと、今後需要が高まるだろうなってことで受けたかったんですが、英語ってことで躊躇してました。

日本語で受けれるようになった

英語の資料も参照して仕事してるとはいえ翻訳の助けを全く無しで誤解なくサッと読めるかというと、そこまでの自信もなく躊躇してたんですが、日本語化されると去年の6月に発表されました。[1]

日本語なら行けるだろうと上司に掛け合って受験費用を会社に出してもらって受験となりました。

CCSPについて

ISC2 Japanでは以下のように説明されてます。

CCSPは、(ISC)²のサイバーセキュリティ専門家によって確立されたベストプラクティス、ポリシー、および手順を使用して、クラウド内のデータ、アプリケーション、およびインフラストラクチャを設計、管理、および保護するための高度な技術スキルと知識を持っていることを証明できる資格です。

https://japan.isc2.org/ccsp_about.html

CCSPの詳細や、認定試験の対象となる理解すべき知識の分野(ドメイン)をまとめたドメインガイドブックもこちらのページの下の方に公開されてるので、詳しいことはそちらを読んでください。

試験の概要

ドメイン概要とガイドブックに記載されてる出題比率をまとめたものが以下の表です。

ドメインの概要と比率

ドメイン番号 ドメイン 概要 出題比率
1 「クラウドの概念、アーキテクチャ、設計」 アーキテクチャ、リファレンスモデル、クラウドセキュリティの概念、プロバイダの評価 17%
2 「クラウドデータセキュリティ」 データストレージの概念、暗号化、eディスカバリ、イベント処理 20%
3 「クラウドプラットフォーム&インフラセキュリティ」 インフラ・コンポーネント、インフラ・リスク、セキュリティ管理策、IAM、BCP/DR 17%
4 「クラウドアプリケーションセキュリティ」 開発ライフサイクル、安全な開発、ソフトウエアの検証 17%
5 「クラウドオペレーション」 クラウドの評価、運用管理、安全な運用 16%
6 「クラウドガバナンス - 法律、リスク、コンプライアンス」 法律/コンプライアンス要件、プライバシー、監査、契約 13%

問題数と時間

  • 問題数
     150問 4択 (うち50問は調査用
  • 試験時間
     4時間(途中休憩可)
  • 受験料
     599ドル
  • 認定要件
     CCSP CBK の6ドメインのいずれかに関する業務が1年以上あり、最低5年の業務経験が必要。
     CISSP認定されてればこれは自動的にクリアとなります。

最近の円安の影響で更に自腹を切るにはキツい金額になってます。

認定者数

2022年7月時点では178人ってデータは見つけたんですが、最新は不明です。
半年で2倍になってることもないと思うので、多分まだ多くても400人未満かと。

ISC2メンバーなら見れるページで、メンバー数を公表してくれてるんですが最新の3月の更新で国ごとの表示がなくなってしまいました。全世界だと1万5千人弱のようです。

勉強どうやったか

受験までのスケジュール

受験5か月前

Official Practice Test 3rdを買って、仕事が忙しくなって一か月積んでました。

4~2か月前

Domain1~6を全部訳しつつ問いて、知識が足りてなかった部分と自分なりに「CCSP視点での理解」が浅いと思った部分を抜粋。足りない部分は自分で勉強してノート作って、覚えておたほうが良いんじゃないかと判断した規制、法律、単語なんかは暗記アプリに登録してまとめてました。

1か月前

この頃には、Practice TestのDomain1~6の翻訳は終わってたので、Flashカードとまとめ資料で必要事項を暗記。試験ちょっと前に125問のPractice Test1、2を問いて確認。
一回目で80%強ぐらい正解になる状態になってました。

勉強時間

仕事で忙しかったりしてダラダラと勉強してたので期間のわりに時間はそんなに無いかなと思います。平日はしてたり、しなかったり。やっても1時間やれば良い方で土日に2,3時間やれればやるみたいなやり方で計50時間ぐらいかと思います。

予約について

受けれる試験場が限られており、予約が大変取りづらいです。

私は試験日の三か月前に取りました。
予定をしっかり立てて挑みたい人は早めに予約しましょう。
私が受けた日は会場の席全部埋まってました。

直前キャンセルや予約変更で空く枠を狙って取る方法もあるようです。
が、突発で受けるにはだいぶ覚悟が要る受験料…

使用したもの

CCSP 6ドメインガイドブック

この記事の一番最初にあげたページの一番下にあるISC2 Japanが公開してるもの[2]です。
試験の範囲、各ドメインのキーワード、例題が出てるので必ず見ておきましょう。

勉強はこのガイドブックにある各ドメインの説明できない、理解が曖昧なキーワードが多い部分から始めると良いかと思います。クラウドに限定されてるとはいえ範囲が広いので最初から馬鹿正直に全部やろうとすると地獄を見ます。

CCSP Official Practice Tests 3rd

https://www.amazon.co.jp/Certified-Security-Professional-Official-Practice-dp-1119909406/dp/1119909406/ref=dp_ob_title_bk

2ndもあるので注意してください。そちらは去年の内容改定前のものです。

↑のリンクは 3rd です。購入時は念のために確認忘れずに。

Amazonは商品名に版が明記されておらず、表紙の画像見るとThird Editionって書いてます。
2ndは商品名の方にちゃんと明記されてるので、パッと見だと3rdのほうが古そうに見える状態になってます。(2023/3/31時点)
買う際は気をつけてください。

私はCISSPだったのでISC2メンバーの特典を利用して別のところで安く買いました。
ISC2メンバーが使える特典は以下にまとめられてます。

https://www.isc2.org/Membership

Discounts & Resourcesから各種書籍やサービスの割引クーポンがあります。
https://books.wiley.com/で問題集が半額なります。
すでにCISSPや他の資格でメンバーなってる方はぜひ利用しましょう。

海外の人たちのまとめ

日本で取得してる人自体が少ないので、英語の方が情報が多いです。
買った問題を一通り解いて、良くまとまってるなと思ったものを
利用させて頂きました。

https://cromwell-intl.com/cybersecurity/isc2-ccsp/

https://michielkalkman.com/posts/ccsp-study-notes/

日本語のCBK公式ガイドブックが去年に出てますが、問題解いた感じCISSP取得済みということもあって考え方のベースは問題なさそうだなと判断して私は使いませんでした。

その他

小ネタですが PowerToysText Extractor を使うとOCRでコピペできます。
電子書籍でコピーがそもそもできない、回数制限があったりするやつもこれ使うと気にせずコピペで翻訳掛けれます。

https://learn.microsoft.com/ja-jp/windows/powertoys/#text-extractor

試験当日

午後開始で予約しました。(午前もあったかな?
試験開始は13:00からですが、試験の説明や本人確認が必要なため会場には開始30分前に行く必要があります。 予約すると送られてるくメール(英語)にもきちんと明記されてるのでチェックしておきましょう。当日に必要となる身分証明書の種類なんかもそちらに記載されてます。

試験会場は私が予約取ろうとしたとき東京では二か所、帝国ホテルと西新宿だけだったので、CISSP受験で勝手がわかってた帝国ホテルの方を取りました。

三時間前ぐらいに有楽町ついて、適当なところでブランチしながら自分で作った資料とFlashカード一通り読んで最終チェックして試験へ。試験時間は4時間でしたが、私は2時間ちょっとで終了して合格でした。途中一回休憩取るつもりでしたが良いペースで解けてたのと、取るほど疲れなかったので結局休憩は取りませんでした。

感想とか

クラウドの知識習得に最適

クラウドが絡むリスクマネジメントの知識を習得するのに良い資格かと思います。
ドメインガイドブックを読むとわかりますが、キーワード全部ちゃんと説明できるように勉強するだけでクラウドに必要な知識の習得には役立つかと思います。

CISSPの知識が非常に役立つのは日々の業務で実感してたので、それをクラウドに拡張させたいという意図通りの内容でした。ベンダーニュートラルなのでAWS、Azure、GCPのベンダー問わないセキュリティの知識習得とその証明になるかと思います。

CISSPの人はお得な資格?

CISSPで日常的にクラウド触って基本的な知識を持ってる人は、足りない部分の知識拡充してCCSPの立場で回答という点だけ気をつければ、そんなに合格は難しくないんじゃないかと思います。

面倒くさかったエンドースメントの処理もISC2がやってくれるので楽です。
年会費も追加で必要になるといったこともないです。

合格後の年会費は自費だったとしても「まぁ、ありかな」とは思ってますが、
さすがに受験料はお安くない。 会社負担でなければ自費では厳しい。

今後自費でも取りたいってぐらいの需要が生まれることを期待します。

これから受ける人へ

勉強するときに気をつけてた点です。

CISSPは一回落ちて、二回目で合格したんですがその際に気をつけたのが以下の点でした。
CCSPも多分同じ傾向だろうと考えて挑んだんですが、こっちは一回で合格できたんで同じように有用かと思います。

問題の意図を把握できるようにする

問題集やるとわかるんですが解答が腑に落ちないみたいなのが結構あります。
答えを覚えるだけだと確実に落ちるので、なんでそれか?って理由の方をしっかり覚えて(考えて)ください。

問題文の中からキーワードをしっかり拾えるようになっておく必要があります。また、変に考えすぎて書いてないことまで考慮したりしないよう文章の読み方も重要だと思いました。

不正解の選択肢もどこが変われば正解になりうるか?どういう問題文なら正解か?
みたいなのも私は勉強の時に考えるようにしてました。

英語も読もう

問題は日本語と英語両方で確認できます。悩んだら英語も読んでみましょう。
勉強するときも英語で問題文見て読めるようにしておいたほうが役立つかと思います。

視点(立場)が色々ある

「CCSP視点」に加えて、クラウドを使う側だけでなく提供するプロバイダー側の視点や、クラウド上にサービス構築して提供するベンダ側の視点も必要になります。
まず、その問題は「どの立場のCCSP」が答える必要があるかを理解して考えるようにしてください。

思い切りも大事

4時間/150問(1.6分/問)なのであまり長考すると時間が足りなくなります。
ただ、解答して次行くと戻れず見直しはできません。
その点をちゃんと考慮して悩む問題と、さっさと次に行く問題をうまく切り替えて解答してってください。悩んでも分かりそうもないものは調査用と割り切って次に行きましょう。

調査用の問題が50問あるので3問に1つは採点対象でないのを覚えておくと気が楽になるかも。

脚注

  1. 2022年6月20日 CCSP試験の変更点について https://japan.isc2.org/blog2022/ccsp-exam-many-changes-on-the-way.html ↩︎

  2. CCSPとは https://japan.isc2.org/ccsp_about.html ↩︎

  3. CCSP CBK公式ガイドブック Kindle版 https://www.amazon.co.jp/CCSP-CBK公式ガイドブック-レスリー・ファイフ-ebook/dp/B0BB6C65GL ↩︎

Discussion