CISSP合格体験記

はじめに

2022年10月にCISSPに合格した体験をご紹介いたします。
CISSPの合格体験記は既に多くの方が書かれており、私も合格者の方のブログなどを受験前に読ませて頂きました。
NDAの関係で問題の詳細には触れられませんが、大きな流れとして参考になれば幸いです。

1.CISSPとは

"CISSP(Certified Information Systems Security Professional)とは、(ISC)2 （International Information Systems Security Certification Consortium）が認定を行っている国際的に認められた情報セキュリティ・プロフェッショナル認定資格です。"
※https://japan.isc2.org/cissp_about.html　より引用

日本国内ではまだまだ認知度が低いように感じられますが、世界的には評価も高く、CISSPを募集要件とする求人も多く見かけます。
(日本国内では2022年7月時点で3699名の資格保持者がいるそうです。)

2.筆者スペック

PCI DSS準拠システムのインフラ保守開発に4年携わり、その後2年間は脆弱性診断業務に携わっています。
資格は情報処理安全確保支援士(第008269号)、CEH(Certified Ethical Hacker)、CompTIA Security+などを保持しています。

3.試験勉強の流れ

私は幸運にも会社で公式トレーニングの費用を捻出頂いたため、2021年7月12日-7月16日の期間でトレーニングを受講いたしました。
CISSPのCBKドメインが10→8ドメインに変更となった直後だったため、トレーニングには日本語のテキストが間に合わず、トレーニング後に郵送されてくるという流れとなりました。
認定講師による講義はすべて日本語で、スライドも日本語のため受講自体には大きく影響がなく、CISSPの概念を一通り抑えることが出来たと思います。

トレーニング後、業務の関係などで1年以上受験が遅れてしまいましたが、これから受ける皆様にはすぐに受験することをおススメいたします…
(本当に内容を忘れます…)

そんなわけで、本格的に勉強を再開したのは2022年9月中旬、ピアソンで10月末を受験日として申し込みをしました。
勉強方法としては、唯一の日本語問題集である「CISSP公式問題集」を電子書籍で繰り返し解くというシンプルな方法です。
電子書籍の利点としては問題から回答にすぐに飛べることがあります。(短時間で問題を解いて理解するという流れに向いています。)

各ドメインの問題については、10問連続で解いて回答を確認、という流れで進めていました。
この流れで8ドメイン全ての問題を解いた後は、演習問題に取り掛かりました。
演習問題は125問のものが4つ用意されていて、各演習問題が本番の半分の量となっています。
演習問題については本番を想定して途中で回答を見ることはせず、125問の回答後に答え合わせをして正答率を記録しました。
1周目の時点では4つの演習問題の正答率が65%くらいで、演習問題を解き終わってからは再度ドメインごとの問題に戻り、苦手な分野の復習をしました。
答え合わせをする中で、回答内容だけでは理解しきれなかった問題はスマホのメモ帳に残しておき、後で見直して覚えました。
(本当は手書きの方が良いと思います…)

最終的に2周目の演習問題を全て解き、正答率は約90%ほどとなり、本番に挑むことになりました。
基本的に寝る前の1時間ほどを勉強時間にしていたので、合計で30時間程度は勉強したと思います。(トレーニング込みだと70時間ほど)

4.試験当日の流れ

CISSPは、250問を6時間以内で解くという長丁場の試験となっています。
そのため試験開始は朝の8時、集合時間は7時30分となっています。(早い…)
当日は7時30分定刻に到着し、静脈認証の登録、顔写真の登録などを行いました。
試験自体は準備が出来次第開始する流れとなっており、実際の開始は8時より早かったかと思います。

不正防止のため試験は入退室が厳密に管理された一室で行われますが、休憩は手を挙げて試験管の指示に従うことで試験中好きなタイミングでとることが可能です。
都度、静脈認証やポケットの中身チェックが行われますが、休憩時間内は飲食も可能です。
私は130問ほど解いたタイミングで10分程度のトイレ＆飲食休憩を取りました。
250問ぶっ続けも出来なくもない気もしますが、1回くらいの休憩はした方が効率的だと思います。

250問解いた時点で開始から約4.5時間が経過していました。
見直しは出来ないため、最後の問題を回答後は終了ボタンを押すしかありません…。
体感としては6～7割は合っているかなという非常に不安な心境のまま退出しました。

結果は試験室から出て、受付ですぐに印刷してもらえます。
結果の紙に暫定合格の文字が見えたときは、力が一気に抜け安心しました。
後日、登録時のメールに正式に合格であるとの通知が届きました。

▼試験直後に受け取る用紙

5.試験を受けてみた感想

個人的には、過去の試験と比べてかなり勉強したので、もう少しすらすら解けるかと油断していました。
実際には他の受験者の方も言われている通り、答えを絞りこみ辛い問題が多く、苦しかったです…。
これはどんなに勉強してもCISSPの特性上避けられないものなのかなと感じています。

6.エンドースメントと今後について

2022年11月7日にCISSP保持者の上司に推薦者となってもらい、エンドースメント(承認)の申請をいたしました。
12月3日に申請が通過したことを知らせるメールが届き、12月7日に入会費を支払い、晴れて認定となりました。
エンドースメントは業務経歴を英語で書く必要があったため、少し悩みました。
特にどの業務がどのドメインに相当するのかなどを丁寧に書く必要があったため、直近でCISSPの認定を受けた先輩の助けを借りて何とか認定を受けることが出来ました。
ランダムで選ばれるという監査対象にならずにホッとしています…。

今後は、脆弱性診断チームでは2人目のCISSPという資格をどう活用していくかを考え、チーム、会社へ貢献できるような活用法を見出していきたいと考えています。