今回Github Pagesを用いてWebサイトを配信する目的はこの記事を書くためでした。 CISSPについて知らない人はおそらくこのページを読むことはないと思いますが、リンクを貼ります。

先月CISSPを受験してきました。結果は残念ながら不合格でした。ネットで検索するとCISSPの合格記は見つかりますが、不合格記は見つかりませんでした。敢えて不合格記を書くことで、今後試験を受ける人の参考になればと思います。

Who am I

社会人経験はもうすぐ２０年（遠い目）プログラマからデータセンターでの監視業務、ネットワーク構築などL1からL7まで経験してきました。また、「ネットワークスペシャリスト」や「セキュリティスペシャリスト（現・情報処理安全確保支援士）」の資格を持っています。クラウドの資格では「AWS SAP」と「セキュリティ専門知識」を保有しています。現在はベンチャー規模の会社でセキュリティ担当として業務に従事しつつ、コーポレートITエンジニアやSREとしても気がつくものを片っ端からやっている感じです（ベンチャーあるあるですね）

学習内容

朝活でやることを探していてCISSPという資格を見つけ、およそ半年勉強してきました。まず最初にお伝えしますが、私が今回記事を書いた動機の１つが「自分の学習は試験合格にそこまで有効ではないよ」ということを伝えたかったので、学習で使った本については簡単な紹介に留めます。

CISSP 公式問題集

唯一の日本語公式問題集。CISSPがどのようなジャンル（ドメイン）から出題されるかを理解できます。

(ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide (English Edition)

上の本と同じような内容。巻末に模擬問題が突いているためそれ目的で買いました。kindle版は完全英語なうえPDFではないのか文字をコピペできませんが、今の時代Googleレンズがあるので（やや怪しいですが）英語が苦手な人でも大丈夫。便利な時代ですね。巻末に書かれている手順に従いオンライン登録することで、オンライン上でさらに豊富な模擬問題を受験することができます。

HARD CISSP practice questions #1: All CISSP domains - 125Q

おなじみUdemy。模擬問題が#4まであります。セールをしているときに買いましょう。英語ですがGoogle翻訳を使えばry

図解即戦力　暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書 Kindle版

セキュリティについて問われる以上、暗号と認証の知識は必須です。そうでなくても業務知識のためにも知っておきたいと読みました。最新技術、例えばブロックチェーンについても抑えていたりします。

暗号技術入門

古典的名著です。古い暗号化方式から取り扱っているため、試験にダイレクトに関係があるかというとそうではないでしょうが、やはり基本のきを知っておきたいです。

受験について

古い情報だと東京で受験できる場所は帝国ホテルタワー18Fのみと書いてありますが、2022年11月現在は西新宿でも受験可能です。ただし新宿駅近くにある普段からよく使うピアソンVUEの会場ではなく、西新宿駅出口近くにある会場のみです。そのため予約は早いうちに取らないと埋まります。
支払いはドル払い。今の時代円安なのでとてもつらいです。
360分で250問を解きます。途中何度でも退出可能なので、飲食をかばんに入れて休憩しながら受験しましょう。
合格記には「問題はあとから見直せる」と「問題は見直せない」と違うことが書かれていましたが、2022年11月に私が受験したときには回答したら前の問題には戻れませんでした。うっかりチェックを入れずに次に進んでしまうと大損なので（もしかしたら「チェック入っていません」とポップアップが出るのかもしれませんが・・・）気をつけてください。

試験内容について

ここが一番書きたかったことです。もちろん守秘義務を最初に読むので問題の内容について詳しく書くことはできません（し、もうあまり内容を覚えていませんw）しかし、ネット上の合格記には記載されていないこの点をまだ受験したことのない人に知ってほしいです。

CISSPの試験では上記の試験対策本やUdemyで身につけられる知識問題はほとんど出ません。

公開鍵で使われる暗号プロトコルとか消化器のタイプとか法律の略称だとか、それらを暗記しても合格はできません。全問題の１割程度でしょうか？企業でセキュリティを担当するものとして、もっと実戦的なことが問われます。「問われる」質問の大半は最善な対応はどれかというもの。答えが１つに明快に求められる知識問題ではなく、背景や事情が異なるシチュエーションから、セキュリティの標準に準じたうえで最適な選択肢を選ぶ必要があります。４択から２択くらいには絞れるのですが、ここからは「どっちでも問題ないのでは・・・？」となります。

CISSPはセキュリティの十分な知識と経験があることを保証するための資格、そのため合格後も企業で最低５年間のセキュリティ業務に従事した実績がないと正式に名乗れません、なのである意味ではこの試験内容は理にかなっていると言えます。試験対策では合格できない、実戦経験を積むべしというのが私の伝えたいこととなります。実際今回の試験でもっとも「あの本が参考になったな」というのは公式問題集ではなく、会社の業務のために読んだ図解即戦力 ISO 27001の規格と審査がこれ1冊でしっかりわかる教科書でした。

今回試験に不合格となったことは財布的にも時間的にもとても悲しいのですが、CISSPに合格するにはセキュリティの業務を一つずつ着実に実践でこなしていくのが王道だと認識できたことが収穫です。そのため、このブログを立ち上げてセキュリティに対する学びや情報をアウトプットしようと思い立ちました。毎日のように我々のセキュリティを脅かす事例がアナウンスされ、またセキュリティを守るためのサービスもリリースされます。サイバーセキュリティがこれほど重視された時代はありませんし、今後軽視されることもないでしょう。ブログのタイトル通り、セキュリティの道に終わりはありません。セキュリティエンジニアと胸をはって名乗れるよう、今後もセキュリティの道を歩み続けたいです。