丁度1年ほど前ですが、セキュリティのグローバルスタンダードを学ぶために、CISSP(Certified Information Systems Security Professional)を取得しました。取得の動機は、これまでセキュリティ要件が必須の決済端末の開発を現場で実施してきましたが、断片的な経験と知識をまとめておきたいと思ったからです。
4択しかない試験ですが、250問を6時間でひたすら解いていくだけの試験です。
終わってみると、セキュリティという概念をもとに、考え方の原則をトレーニングするような試験でした。ただし、実務に直接役立つような試験ではありません。感想としては、PMPと同じように、手ごたえもなく、なんだったんだろうという感じでした。ひとまず、受験までのリアルな作業を含め、まとめてみます。
■ CISSP試験とは何か
米国のISC2(the International Information System Security Certification Consortium, Inc.)という公的な資格認定団体が実施している認定試験の一つであり、セキュリティマネジメントの知識を問うものです。試験のシバラスといえるものが、ISC2で作成された「新版 CISSP CBK 公式ガイド」です。
学習範囲は、以下のドメインと呼ばれる8つに区分されています。
・ドメイン1
セキュリティとリスクマネジメント
・ドメイン2
資産のセキュリティ
・ドメイン3
セキュリティアーキテクチャとエンジニアリング
・ドメイン4
通信とネットワークのセキュリティ
・ドメイン5
アイデンティティとアクセスの管理
・ドメイン6
セキュリティの評価とテスト
・ドメイン7
セキュリティの運用
・ドメイン8
ソフトウェア開発セキュリティ
取得者は、2024年3月時点で、全世界で16万人弱、日本で4000人弱と言われています。
ただし、CISSP試験は、単にテストに合格することだけで終わりではなく、ISC2により経歴(5年以上のセキュリティに関連する業務経験など)を認定される必要があります。その結果、「ISC2認定CISSP保持者」になれます。
この手続きが「エンドースメント(endorsement)」と言われるもので、自分の経歴を承認してくれる他の「ISC2認定CISSP保持者」の推薦が必要になります。
もし、他の「ISC2認定CISSP保持者」がいないならば、代替案として「ISC2が推薦者」となってもらい、手続きを進めます。ただし、この場合、自分の経歴の説明とともに、会社の就業実績、上司の名前と連絡先などのエビデンスを提示しなければなりません。後述しますが、かなり手間です。
■ CISSP試験受験費用と会場予約
円安の影響もあり、10万円を余裕で超えます。
$749.00(150円/ドルで計算:112,350円)
ちなみに、ISC2の会員になるには、合格後でしかなれません。したがって、会員割引もありません。
受験費用をクレジットカードで払い込み、空いている日を確認し、試験会場を予約します。
関東では、原則、新宿ピアソン一択です。
朝8時から午後2時までの6時間の試験時間ですので、結局、一日がかりです。
■ CISSP受験勉強
CISSPの参考書は、ほとんど存在せず、特に日本語のものはほとんどありません。
前述したISC2で作成された「新版 CISSP CBK 公式ガイド」は購入しませんでした。
私が使ったテキストと問題集は、以下です。
●テキスト
Udemyの以下のPIEDPIN .comが提供する初心者向けの講座(ドメイン1~8)を受験し、添付されていたPDFを見て学びました。この講座は、動画だけでなく、各ドメインの内容が分かりやすく整理されたパワポの資料を入手できるので役に立ちました。
【日本語】初心者から学べるCISSP講座:CISSP Domain1 ビデオ学習 2024年度版
【日本語】初心者から学べるCISSP講座:CISSP Domain2 ビデオ学習 2024年度版
【日本語】初心者から学べるCISSP講座:CISSP Domain3 ビデオ学習 2024年度版
【日本語】初心者から学べるCISSP講座:CISSP Domain4 ビデオ学習 2024年度版
【日本語】初心者から学べるCISSP講座:CISSP Domain5 ビデオ学習 2024年度版
【日本語】初心者から学べるCISSP講座:CISSP Domain6 ビデオ学習 2024年度版
【日本語】初心者から学べるCISSP講座:CISSP Domain7 ビデオ学習 2024年度版
【日本語】初心者から学べるCISSP講座:CISSP Domain8 ビデオ学習 2024年度版
●問題集
CISSPの公式問題集を使用しました。それ以外は使用しませんでした。
勉強の仕方は、これらの試験問題を約1カ月ほどで3回実施しました。
勉強時間は、約3時間×30日=90時間程度です。
受験直前の頭の中の状態は、一通りのセキュリティ・キーワードについては理解でき、考えさせられるような問題にも、似たような問題であれば対応できる状態まではもっていけたと思います。
受験費用が高額なので、再受験することは、どうにか阻止したいと考えて受験しました。
受験を躊躇するような高額な受験費用ですが、受験を決めた後は、おかげでモチベーションが上がったように思えます。(ただ、いくらなんでも高すぎるとは思いますが・・・)
■ CISSP受験当日の流れ
受験当日は、特殊な流れでした。
①2024年1月13日(土) 朝5:30起床
②7:00に新宿ピアソンに入り、申し込みのメールを見せ、入場手続きを済ませる
(CISPPを受験していたのは私だけで、PMPを受験する方ばかりでした)
※以下の身分証明の書類、手続きが必要です。
・運転免許
・マイナンバー
・手のひら認証
・ズボン、シャツのポケットチェック
・スマホ電源OFFチェック
③ロッカーへ荷物(バック)を入れる
※試験途中で、休憩する際の飲みもの、チョコレートなどを別にして入れること
※試験の途中で、バックを開けると失格となるので要注意。
④席につき、スタッフにPCにログインしてもらい、7:30から試験開始
⑤残り180分で休憩を5分だけとる
私の場合、休憩は1回だけでした。
タイミングは、250問中の150問まで解いて、残り180分で休憩を5分だけ休憩しました。
(6時間もあるので、余裕だろうと思ってましたが、解いていくうちに時間を使ってしまい、結構焦ってました・・・)
休憩時は、スタッフを呼ぶ必要があります。
再度、席に着く場合にも、次の本人認証などが必要です。
運転免許とロッカーの鍵
手のひら認証
ズボン、シャツのポケットチェック
⑥10分前に全問終了し、受付に終了を知らせ、退席
➉受付で、プリントした紙を受け取り、合格を確認
⑪13:30に退館
■ 受験後の感想
正直、勉強しても得るものがあったという試験というわけではありません。
PMPと同じように、つかみどころのない試験といってもいいかもしれません。
技術的な知識を獲得したいのであれば、IPAの情報処理安全確保支援士試験の方が良いでしょう。
ある意味では、国内の資格試験の質の高さを再認識しました。
■ 合格後のエンドースメント(認定)について(推薦者がいない場合)
試験に合格から、2カ月以内にエンドースメント(認定)の手続きを実施しなければなりません。
1)登録要件
CISSPに認定されるには、下記要件をすべて満たすことが必要です。
①CISSP 認定試験に合格すること(1000 点中 700 点以上で合格)
②CISSP CBK 8ドメインのうち2 ドメインに関連した5 年以上の業務経験があること
下記どちらかに該当する方は、1 年分の経験が免除され、4 年の業務経験で認定可能です。
(免除は最長で1 年分)
大学卒業学位取得者
ISC2が認める資格の取得者(対象資格は、https://www.isc2.org/Certifications/CISSP/Prerequisite-Pathway 参照 )
③実務経験が事実であることを証明すること
④「ISC2倫理規約(Code of Ethics)」に合意すること
⑤ISC2認定資格保持者から推薦されること
⑥無作為に行われる業務経験に関する監査に合格すること
⑦犯罪歴等に関する4 つの質問事項に該当する場合は、認定を受けることができない場合があります
「③ISC2認定資格保持者から推薦されること」とありますが、私には、すでにCISSPを取得している推薦者がいないため、推薦者なしで手続きをしました。
2)認定手続き
試験に合格するとISC2からメールが来ます。そこから”online application”をクリックします。
ISC2のポータルにログインし、”Certifiction”→”Application&Endorcement”から入力を開始します。
試験に合格すると、エンドースメントを入力するためのボタン(”New Endorcement Application”)が表示されますので、クリックします。
エンドースメントは、以下の画面から行います。
Certificaton Type → Menbership Type → Request Endorsement → Experience Waiver → Job History → Review Applicationの順で入力します。
①Certificaton Type
アソシエートあるいはメンバーを選択します。
②Request Endorcement
推薦者の名前とメンバー番号を入れます。
推薦者がいない場合、”Request ISC2 to endorse you”を選択し、ISC2自体に推薦者になってもらうように要求します。
③ Experience Waiver
エンドースメントに必要な期間の中、免除申請できる学位や資格、期間を入力します。
④ Job History
職務経歴を記載します。ドメインを選択し、上司名と連絡先を記載します。
⑤ Job History
内容を確認します。
送信して終了です。
■ まとめ
CISSPは、試験の内容よりも、費用と受験時間、受験と認定手続きのハードルが高いです。
逆に言えば、試験内容は、普通にやれば合格できます。
さらに言うと、認定後に課せられる継続教育も大変です。認定期間3年間で120CPEクレジットが必要となります。それに、CPEを稼げるクイズやウェビナーなどのコンテンツは、ほとんど英語です。
お金と時間を費やす覚悟が問われるので、仕事に必要かどうかよく検討してから取り組むことをお勧めします。
