1か月でCISSPに合格したのであまり参考にならない受験記

背景というかなんというか

転職を考え始めた。
正直ぬるま湯の社会人生活を送ってきたので、大したスキルもないし、実績もない。
転職するにはカードが少なすぎるということで資格の取得を始めた。
まず最初にComptia Security+を取った。
次にComptia Cysa+を取った。
さらにComptia PenTest+を取った。
同レベル帯資格であるCEHも取った。
ということで高年収を狙えるという？CISSPを目指すのであった…

CISSPとは

CISSPとは(ISC)2 (アイエスシースクエアと読むらしい)が主催する資格。
正式名称はCertified Information Systems Security Professionalで、セキュリティ全般のプロフェッショナル資格。
受験だけなら条件はないが、合格後正式に認証されるためには資格内容に関連する業務を５年（４年）経験している必要がある。
受験料は大体１０万円くらいするらしい。（バウチャーで受けたので知らない）

レベルは以下のロードマップだとかなり高い。
確かにそれなりに難しかったが、（まだ受けていないが）OSCPと比べると上というのは少し疑問。
まぁ合格にかかる時間や難易度ではなく、資格そのものがどういったレベルなのかを示してるぽいのでその点ではあっているのかもしれない。
CEHはこの表よりも日本語情報の少なさで難易度が少し上がったが、CISSPは日本語情報が多く、その点で取得難易度があがることは多分ない。

情報収集

まず自分はCISSPの研修を受講している。
というのもバウチャーと公式問題集がもらえるため、出費を会社負担にできるから。
ではこの研修を受講しないと合格しないかというとそんなことはない。
というのも自分のNW環境が悪すぎてほぼ講義の内容が理解できず、実質未受講みたいなものだから。
動画で講義の内容を確認することもできたが、予約できた受験日が１か月先しかなく、見る暇がなかった。
このため講義を受けたことによるアドバンテージはほぼないと思ってもらっていい。

ということで研修資材は捨てさり受験情報を探した。
前述のとおりCISSPは日本語情報が多い。
調べるとわかるが、２週間～１か月で合格している人がわんさかおり大変参考になる。
その結果短期合格している人にはパターンがあり、公式問題集をやっている、というかそれしかしていない（時間的にそれしかできなかった）人が多かった。
そこで時間もないため公式問題集を使って受験することを決めた。
結果合格はできたのだが、次回同じ方法で受けるかと言われるとNOである。
これは後述する。

勉強方法

ひたすら公式問題集を解く。
各ドメインにつき１００問程度問題あるのでそれを２周した。
その後各模擬試験を１回ずつ実施。
なので順番としては次のような感じ。

ドメイン1→ドメイン2→…→ドメイン1 2週目→…→模擬試験1→…→模擬試験4

公式問題集の勉強時間は８０時間程度だった。
また各タイミングにおける正解率も記録しており、以下の通り。

初見で問題を解いているときは分からなさ過ぎて正解率3割くらいだと思ってたら、意外と高かった。
また、二回目で合格ラインの７割を超えたため、模擬試験に移行している。
その模擬試験も７割は超えており、試験直前（３日前）に何とか合格ラインを超えた感じ。
つまりぎりぎりである。
今回は落ちても金銭面的にはどうにかできそうだったので、そのまま試験に直行した。

問題の回答を確認するときはできる限り、ほかの選択肢がなぜ間違いなのかを確認しながら進めた。
分からない単語は調べて、関連単語を把握し、なぜその答えが正解なのかというよりはなぜほかの選択肢が間違いなのかを意識した。
また巷ではCISSPはどれも正解で、一番CISSPらしい答えを選ぶ能力が必要みたいな話があるが、個人的にはこれは気にしないでいいと思う。
単純にそんな問題実はないんじゃないんかというのと、そんな問題が出たとしてもおそらく「気づく」ことができないから。
これについては後述する。

ということでCISSPの効果的な勉強法は消去法である。
かなり覚えゲーなところ（とエスパー問題）もあったが、それでも基本は消去法で択を絞ることだと思う。
所詮は4択なので、2択にできるだけでも得点は変わってくる。
消去法をするときに、明確に間違いと判断できる選択肢ならいいが、関連があり外しきれない選択肢が出てくる。
その時はとにかく問題文をしっかり確認することが重要。
些細な文言から実は消去できるという問題があったりする。
CISSPらしい問題云々は、この些細な文言を見落としているだけではないのかなと少し思っている。

結果とか感想とか

結果は試験時間をフルに使い合格。
とはいえ試験中も後もずっと落ちたと思っていた。
どれくらいかというと、受付でもらえる紙も見ずに、昼食を食べて帰宅するまでずっとどうやって次勉強しようか考えていた。
最短何日で再受験できるかとか、別の勉強資材はないか、受かった人たちはいつ頃の記事だったのかなどを家に着くまでずっと調べていた。
家についてからカバン整理のために見たら合格していた。

なんで落ちたと思っていたかというと、単純に問題が分からな過ぎたから。
しかも後戻りで回答変更ができない仕様の関係で、最初分からない問題でずっと悩み続けた結果、１問１分すらない状態になり、最後は駆け足で回答する羽目になった。
正直なんで受かったのかよく分からないレベル。
たまたま極端に難しい外れ回を引いたのでなければ、公式問題集だけを使った人はみんな同じ感想になると思う。
もし次受けるなら英語版は範囲が改定されているらしいのでそちらを使うと思う。
それでも焼け石に水かもしれないが。

また前述したCISSPらしい答えの問題だが、このような状況なのでその問題の存在に気付けることはなかった。
というか本当にCISSPらしい答えの問題があり、それを見つけ悩めるのなら十分合格圏内だと思う。
だからもしそんな問題にあたっても気にせず解けばいい。

合格後のエンドースメント処理もまぁ面倒だが、幸い社内に持っている人がいたのでそこで対応してもらった。
あとは監査に当たらないことを祈るのみ。

資格の価値としてはそこそこあるらしいので、余裕がある人は受けてもいいんじゃないかなという印象。
とはいえ受験費用も高く、今回かなり運に助けられたことを加味するとそれなりに準備したほうがいい。
まぁ実務経験がネックではあるが。

次の予定

次はようやくOSCPの予定。
うまく会社から金を引っ張ることができればいいが、できないと自腹になるので少し痛い出費になる。
欲を言えば10月までにOSCPと上位資格3つのうちどれか一つの計2つ取りたいところだけど、さすがに難しいかなぁ。