ペネトレーションしのべくん

さようなら、すべてのセキュリティエンジニア

だいたい2ヶ月でCISSPの試験に合格した話

はじめに

試験が思いのほか早く終わったので海行ってきた。なんて爽やかな記事だろう

id:shinobe179 です。CISSPの試験をパスしました。報告ツイートにお祝いのコメントをくださった皆様、アドバイスをくださった皆様、合格体験記を公開してくださった皆様、ありがとうございました。

私も先達にならって、合格体験記を書こうと思います。これから受験する方々のお役に立てたら嬉しいです。ここに書いていないことでも、TwitterにDMもらえれば、答えられる範囲で答えます。

結論

  • 試験をパスしたいだけなら、四の五の言わずに公式問題集をやる
  • ドメイン + 全模擬試験問題で正答率90%前後を叩き出せるようになったらパスできるはず

モチベーション

TLを流れゆく数多くのCISSP合格報告を見て、これになったからです。

やっぱり私のような意志の弱い人間とSNSの組み合わせはよくないですね。四方を常に青々とした芝で囲まれているような気持ちです。なお、似たような事象としてOSCPがあります。

一番のモチベーションは本当に↑なんですが、他にも

  • 現実世界におけるしがらみによって、ミクロ(個別施策の運用とか)よりもマクロ(全体戦略)に目を向けなければならなくなった
  • 高次存在(何かの例え)と対話する機会が増え、実績以外にも信頼度を高める何かが欲しかった*1

……というなまぐさ〜い事情があり、いずれにもCISSPがマッチするなと思って、「やるなら今だな」となりました。

あとモチベーションではないですが、今回会社の支援などはなく 全額自腹 なので、落ちたら10万円ちょっとをドブに捨てることになるという、人生でもトップ10には入るであろう高強度プレッシャーがかかっていました。

参考にした受験記

ヌーラボの方。集合研修を受けずに合格しています。

nulab.com

ラックの方。集合研修を受けているけど、それ自体が試験のパスにはあまり寄与していない感じがします。あと文章のギャルみが単純に面白くて好き。何かに目覚めそう*2……。

devblog.lac.co.jp

合格までの道のり

最初から最後まで、公式問題集を解いていただけです。

  • 7月中旬
  • 8月中旬
    • ドメイン1〜8の2周目完了。正答率8割〜9割。
    • 「いけるやん」と思い、試験を予約。
      • 9月末受験という計画だったが日程がなく、勉強が辛すぎて早く終わりたい気持ちもあり、9月で唯一空いていた上旬の日程を確保。
  • 8月下旬〜9月上旬
    • 模擬試験1〜4の1周目完了。8割弱ぐらい。
    • 直前の土日に2周目完了。全部9割以上。

正答数の変遷はGoogle Sheetに記録していました。Twitterでも固定ツイートで公開していたやつです。しばらく公開しておくつもりなので、フォーマットなど参考にしていただけたらうれしいです。

docs.google.com

試験前日

朝7時半集合とか絶対に無理なので、会場のすぐそばのビジネスホテルを抑えました。10万超の受験料を自腹で払ったことで、追加の7,000円程度の出費は実質タダのようなものです。さすが自腹勢、面構えが違う。

15時頃にチェックインして、まず会場に行って当日の手続きや身分証明書に不備がないかなどを確認しました。受付の方が非常に親切に案内してくれてよかったです。

そこから21時ぐらいまで、脳内で整理できていないことをMarkdownで書き出して整理していました。CISSP勉強ノートという超有用マテリアルがあるのですが、自分用のそれを作る感じです。それ見ときゃいいじゃんというのもあるんですが、自分の脳内にある構造で、自分の言葉で書いて覚える作業が少なくとも私には必要でした。

tex2e.github.io

今回、勉強に集中するためにPCを持って来ておらず、代わりにブラウジングにはちょっと不便なiPadとHHKBを持ち込みました。iPadMarkdownを書くなら、「#type」というアプリがおすすめです。

www.lemonade-blog.com

プレッシャーと不安で目がパキッており眠気が来なかったため、0時過ぎに「問題集の問題と答えを口に出して覚える」という鬼気迫るTwitterスペースを開設して、3時ぐらいまでやってました。

試験当日

起床試験は無事突破し、時間通りに会場に着いて試験開始しました。

CISSPは試験時間6時間の間、自由に休憩をとれます。当初の戦略は「1時間に1回、10分休憩」でした。時間ベースで強制的に区切りを付けることで、進捗が悪い時に立て直しを図りやすいという考えでした。

結局、休憩は最初の1時間で120問解いた後の1回だけで、その後は1時間強で残りを解ききって試験終了。休憩中の食事として500mlの水を3本とラムネ3つ買ったんですが、余裕で余りました。

「スコアレポートが2枚だったら合格」という情報を耳にしていたので、1枚の紙を手渡された時は膝から崩れ落ちそうになりましたが、文章読んだら入りが「おめでとうございます!」だったので安堵しました。2枚なら合格説なんだったんだよ!

試験問題について

もちろん細かいことは書けません。そのうえで、問題は暗記ものは記憶から引っ張り出してくるしかないですが、CISSP(セキュリティ専門家)としての判断を問われるものは、2択まで絞れるけどひとつに絞れないよーというのが結構ありました。私は勝手に「正答が複数ある問題があって、その場合はどっちを選んでも点数(少なくとも部分点)をもらえる」と解釈して、サクッと直観で選んじゃいました。時間を食っちゃう方がもったいないので。「落ちたと思っていたら受かっていた」という話を結構見聞きするので、あながち間違いではないのでは……?

おわりに

CISSPの試験範囲には、米国の法律をはじめ、私としては「知らんがな」と思うようなことがたくさん含まれていますが、とりわけNIST SP800シリーズをはじめとした各種リスクマネジメントの知識は、IPAの情報処理安全確保支援士よりもがっつり学べた気がします。支援士との比較は、また別口で語りたい気がします。

CISSPで養った知識が役に立つ・立たないについては、自ら検体となって確かめようと思います。私の立場的に、SOCやマルウェアアナリストのように技術を振るう方々よりは、活用の機会は多そうです。というかむしろ、自腹で払った受験料10万 +受験のための諸費用をペイするために、否が応にも役に立ってもらわなければ困る、役に立てるという姿勢で取り組もうかと。

また今回やってみて、分かっちゃいたことですが自分のキャリアパスが明確でないというのがあって、セキュリティ云々以前にそういうことも考える、というタスクも積まれました。それな‥…。

あ、次はOSCPへの前哨戦として、eJPTのチャレンジを考えています。

*1:さも実績があるような言い方だが、そういう意味ではなく、使えるものは何でも使おうと思った、という意味です

*2:私がギャルになりそうということではないです