CISSPに受かるためにやったこと

記事を温めている間に結構時間が経ってしまったのですが、
CISSPに一発合格しましたので、
振り返って感じたことなどを書いていきます。
※個人の体験記ですので、最新&正確な情報は必ず公式サイト等の
案内をご確認ください

念のため書いておきますと、CISSPとは
ISC²という会社が提供するセキュリティ資格です。
管理者向けのセキュリティ資格の中では最難関とも言われています。

この記事にはこんな内容が書いてあります

1. 取り組み期間と前提:合格までにかかった時間は約2ヶ月半
2. 3ヶ月以内の受験であればまず予約を⇐めっちゃ大事
3. 勉強方法材:公式問題集、Anki、Web検索、晴耕雨読(ブログ)、
  Udemy、Pidepin、Pete ZergerのYouTube動画などを利用
4. 当日:
・予約時間までに受付すればOK(開始時間は予約時間を過ぎても大丈夫)
・持っていったもの(チョコ、ウィダー、ラムネ:食べる方)
 当時は待合室内にウォーターサーバーあり
・休憩時間は好きにとってOK、ただし、毎回チェックアウト、
チェックインが必要(試験時間に含まれている)
・3回取った、50問ごとなど目標を決めておくと良い
5. 振り返って
・思った以上に技術系、知識暗記系の問題が少なく、考え方を問う問題が多い
・終わってからも手続きが面倒(Endorsement、年会費支払いなど)

1. 取り組み期間と前提

まず、本格的に取り組んだ期間は約2ヶ月半です。
受験した際の私の経験値としては、業務経験約7年、
セキュリティ機器の運用、保守、セキュリティ設計を実務で担当、
数年前に情報処理安全確保支援士の試験に合格、
その後、CompTIASecurity+などに合格していますので、
それなりに下地はある状態でした。

今回、ありがたいことに公式トレーニングも
受講させていただきましたが、
丁度繁忙期だったこともあり、リアルタイムではほぼ聞けませんでした。
一応アーカイブで一通り流したんですが、
PCでしか聞けなくてとっても使い勝手が悪かったです。
スマホでも聞けるようにしてほしい。
ということで、ほぼ聞いてませんでしたので、
ある程度セキュリティの経験がある方であれば、
独学でも問題ないと思います。

(研修について言うと、
幅広い範囲をカバーしていて良い研修だとは思います。
ただ…
長時間拘束なので非常に疲れます。。。。)

2. 3ヶ月以内の受験であればまず予約を

取り組む前の注意点として、
自分の希望に沿った日付で受験するのであれば
2ヶ月前には予約することをおすすめします。
1ヶ月前だと1週間以内しか空いていないそうです(同僚談)。
私自身は2ヶ月くらい前に予約しました。
実際、翌月はほぼいっぱいで、翌々月の後半に入れました(前半は埋まっていた)。
受験日を決めると覚悟も決まりますのでおすすめしますが、
他のベンダ資格などと違ってリスケには手数料がかかるのでご注意ください。

3. 勉強方法

やったこと

①ネット上で情報収集をする
②公式問題集を解く
③Web検索で随時知らない用語を調べながら、
Excelにまとめる
④まとめたExcelをAnkiアプリに食わせてひたすら暗記する
⑤補助教材について

①ネット上で情報収集をする

資格試験に挑む時には必ずネットで
以下のような情報について調べます。
・合格体験者が何をやったか、コツなど
・試験範囲、出題傾向
・利用できる教材は何があるか
・具体的な受験方法(予約方法、キャンセル方法、受験場所など)

色々調べた結果、合格者のブログの中で最も参考になったのは
「晴耕雨読」というブログです。
ここの用語集が本当によくできていて、ブックマークして
毎日のように訪問していました。
その他、いくつかのサイトを参考に、
公式問題集の丸付けの際
理解度がわかるように印をつけていく手法を取り入れました
(②で書いています)。

次にわかったのは、
試験範囲についてはドメインが8つあるんだなーくらいでしたが、
出題傾向についてはあまり詳しい情報が無いということです。
たいてい、IT試験というのは類似問題がネットに何問か転がっていたりするものなのですが、
CISSPだけは恐らく過去問だろうと思われるものがほぼありませんでした。
そこがこの資格の権威性を保てる一つの要因だというのは
たくさんの人が主張している通りだと思います。
よって、これに限っては本当に公式問題集を信頼して解いていいと思います。

一応、その他の教材としてKindleUnlimitedで読める英語のもの、
日本語のものもいくつかDLしましたが、
どれも即効性のあるものは少ないと感じ、数分眺めてやめました。
ただし、同僚はCramの問題集を補強用として使って2回目で合格していますので
公式問題集だけでは突破できなかった場合は使ってみても良いと思います。

最後に、受験関連の情報ですが、
早めに予約をしておいた方がいいこと、
一度予約すると変更には手数料がかかること、
テストセンターは新宿でも日比谷でも
あまり違いは無さそうということ辺りを
このタイミングで再確認しています。

②公式問題集を解く

さて、いよいよ実際に勉強に着手です。
1200問近くある問題集を2ヶ月半という短い期間で
当初3周する予定だったため、下記のように予定を立てました。
・基本的に毎日50問を解き、見直しをする
=ドメインごとに分かれている部分は2日で1ドメインさばく
・模擬試験は1回分が100~125問あるため、ここも2日で1回を目標とする
・問題集の回答はExcelに記載し、丸付けの時に下記のルールで印をつける
「〇」:用語も全て理解しており、説明文が不要なほど正解している自信のあるもの
「△」:用語は知っていて問題文もある程度理解できたが、間違っている可能性のあるもの
「▲」:用語はなんとなく知っていて、なんとなく予想はできるが間違っていそうなもの
「×」:用語も問題文も理解できず、完全に勘でしか解けないもの

当初想定していた流れ:
1周目:正解率を出すものの、あまり気にしない。とにかく解いて、用語と問題に慣れる
2周目:1日100問解く。
1周目との正解率の差を把握する、1周目も2周目も間違っていた問題に色付けする
特に2回とも間違ったものを重点的に理解し、必ずAnkiアプリ※に登録
3周目:2周目にやった時に「△」「▲」「×」だったものを解き直す
※忘却曲線を踏まえて新規学習範囲や復習範囲を決めてくれる
フラッシュカード形式の暗記ツール

1周目は、だいたい午前中(仕事前)に20~30問の見直しまでを終わらせ、
夜に残りの20問を解いて見直しという感じのリズムで
平日も合計で2時間くらい、休日は5時間くらい使ったかなーと思います。
年末年始に取り組んだこともあり、
残業がそこまできつくない期間だったのがラッキーでした
(ただ、おかげで年末年始はあまり遊べませんでした)。

1周目はわからないことだらけ、用語も一つ一つ調べて…という感じでしたが、
勉強に着手して1ヶ月半くらいたった頃、
2周目の途中くらいから30分で50問解けるくらいになっており、
問題を解くのに飽きてしまったため、2周目の最後の方はかなり息切れしてました。
同じ問題とはいえ、合計で2000問以上解いてるわけなので、
そりゃそうですよね。。。
ということで、なんとか2周目まではやり切ったものの、
3周目はやる気にならず、最後の3週間くらいは
Ankiでのインプットのみ継続していました。

記録を付けていてよかったなと思ったのは、2周目をやってみると
自分の弱いところが割とはっきりわかります。
1周目でもなんとなくわかるんですけどね。
私自身は、ドメイン1は予定通り2日で終わらせたんですが、
ドメイン3がなぜか無茶苦茶辛くて、5日間かかりました。
そのうえで2周目を見ると、得意なドメインは80%を超えてくるのに対し、
苦手なところは60%後半~70%前半でした。
CISSPは総合で合格点に達している必要があることに加え、
各ドメインでも70%以上である必要があるという基準もありますので
弱い分野も無くしておく必要があります。
よって、2周目を回しながら、特に苦手ドメインのところをAnkiに入れていきました。
ちなみに、正答率は、
1周目はだいたい半分くらい(間違いが多すぎて心折れそうになるので気にしない方がいいです)、
2周目はおおむね8割くらいという感じです。

少し合格方法からは逸れますが、
あまりに飽きてくるので、公式問題集以外の問題集も
時々ネットで拾ってきてやってみたりもしましたが、
初回の受験準備をしているのであれば、
問題傾向の違いに不安になるだけですのでおすすめしません。
勉強期間中、ことあるごとに本当にこのやり方でいいのかという思いが何度もよぎって、
合格者の方のブログなども再検索を繰り返しましたが、
みなさん、公式問題集を信じて解きましょうと書かれていて、
合格後、自分でもそれが正しいことを実感しました。

③Web検索で随時知らない用語を調べながら、Excelにまとめる

ここで主に参考にしたのが「晴耕雨読」の用語集でした。
CISSP特有の(?)用語は大抵載っていますが、
筆者がかなり優秀な方のようなので、
ここに載っていない時はレベルの低い内容を
自分は知らないんだなと思ってましたw

まあそれはともかくとして、
問題集を解きながら知らない単語をひたすらリストアップして、
意味とセットでExcelにまとめていきました。
この時にA列に用語、B列に意味を書くのが大事です。
最初はAnkiアプリに取り込むことを全く考えていなかったので
なんとなく2列にまたがったり3列にまたがったりさせていましたが
取り込む前提で作り始めてからは用語と意味で1列ずつ
というルールを徹底しました。

④Ankiアプリで暗記

Ankiというのは、忘却曲線を利用して
学習スケジュールを組んでくれる
フラッシュカード形式のアプリケーションです。
これ、本当に優秀で、別記事にも書いた通り
LinuC303、LPIC303でも活躍しました。

確か、1周目の途中からAnkiアプリを使い始めた気がしますが、
最終的にはカードは200枚になりました。
Quizletというアプリもあり、こちらは他の人が
CISSP用の勉強カードセットを公開したりしてくれていましたが
進めていくと答えが時々間違っていたりして、
抵抗感が強くなってしまったのでAnkiアプリに絞りました。

問題集の問題をカードにすることも考えましたが、
私は用語のみにして、問題については問題集に集中しました。
200枚ありましたが、まだ1ヶ月以上あったので、
普通に1日20枚の新規カードを追加していく
デフォルトのコースでやっていったと記憶しています。
https://apps.ankiweb.net/

⑤補助教材について

その他、問題集を解けない時間
(家事や歯磨きなどの隙間時間)はひたすら動画を聞き流しました。
特に初期の頃はUdemyのPidepinの動画が
日本語ですしとてもとっつきやすかったです。
広く浅く説明してくれるのでさらっと聞けますし、
深くない分、全体像をなんとなく把握したり、
必須用語をなじませるのに役立ちました。
これは、一番詳しくはないので、一番最初に利用することをおすすめします。
また、一応ホームページもあり、用語集がありますので、
どこにも載っていなくて困った時には見ていました。

一通り上記を聞いた後は、断然YouTubeのPete ZergerさんのCISSPコースがおすすめです。
完全に英語ですが、とてもわかりやすくて聞き取りやすい英語を話してくれているので
比較的理解しやすかったです。
また、こちらも英語ではありますが、レジュメを無料配布してくれていて、
特に日本語での補足情報の少ない範囲は機械翻訳して読みました。
「due care」と「due deligence」のような用語は
日本語にするとほぼ同じ言葉にしかならなくて
非常に理解するのが難しいんですよね…。
Udemyでも英語でコースが提供されていますが、
それと比べても無料とは思えないクオリティです。
DCの消火器の種類の覚え方やセキュリティのフレームワークの種類の覚え方の
Tipsなども役立ちました。

先に受かった知り合いも、
無理にでもCISSP用語を業務で取り入れるようにしていたと言っていたので、
どの用語も「あ、それ知ってる知ってる」みたいな感じになるように、
頭にとにかくなじませようと、
仮に英語が完璧に理解できなくても繰り返し聞きました。
朝起きたら即YouTubeで、うとうとしながらでも流してました(笑)。

また、KindleUnlimitiedで問題集を提供しているWentz Wuという人のホームページも
英語ではありますが、IT知識全般についてとても詳しい解説があります。
ここまでしっかりやり込む時間が無かったので
知りたいところだけ見て、他はあえて手を付けませんでしたが、
CISSPの受験だけではなく、IT分野全般について
理解を深めたい場合は参考にしてみても良いと思います。
L1からめっちゃ詳しく説明されています。

4. 当日

そんなこんなで、ついに当日です。
朝の7時半に新宿ですので、子供たちを残して向かいます。
子供たちには、すごく大事な試験があるから
この日だけは自分で鍵を閉めて出て行ってね、と
1週間前にカギ閉めの予行演習もしてお願いしていました。

テストセンターの入っているビルは、出口から徒歩2分という距離にも関わらず、
方向音痴な私はしっかり迷って、医大側に渡ってしまって焦りました。
やばい、どこだろうとうろうろして、
結局元々自分が出てきた地下鉄出口に戻ってみたら、
なんとなく目の前の道路を渡ってしまっていましたが、
実際には渡る必要は無く、ファミマを通り過ぎて少し歩くと
すぐに目印になるホテルがあり、あっという間に着きました。

どきどきしながらビルに入ると、ドアが全部閉まっています。
一瞬焦りましたが、そういえばインターホンを鳴らして
受付して開けてもらうようなことがブログに書いてあった気がする!
ということで、辺りを見渡すとそれらしきものが。
無事受付の方とお話しできて、上に向かいました。

エレベーターを降りるともう目の前が待機ルームで、
奥に受付があります。
まず受付をして順番待ち。
ここまでを予約時間までに済ませればOK。
待っている間に開始時間を過ぎても問題ありません。

注意点は、中に入ってしまうともう勉強できる雰囲気じゃないことです。
ピアソンVUEとかもそんな感じではありますが、
電子機器、参考書類はしまってくださいと言われますので、
エレベーターを上がったら瞑想するくらいのつもりでいた方がいいかなと思います。

私の時は5人くらい待っていて、
30分か40分くらいしてから自分の番が来ました。
身分証明書の提示やら静脈認証やらの登録で結構時間がかかります。
それが済むとロッカーの鍵をもらえるので、中に荷物をしまい、
名前を呼ばれると自分の席に案内されます。

自席周りの環境は他のテストセンターとあまり変わりませんが、
中に入る前に再度チェックインプロセスとして
ポケットの中に何も無いかとか、眼鏡は細工されていないかとか
確認されてから入ります。
試験時間に含まれますが、休憩時間を自由に取れるようになっており、
休憩の前後にも同じようにチェックイン、チェックアウトプロセスがあります。

休憩時間については2回の方が多いようで、自分もそのつもりでいましたが、
結局3回取りました。
1回目:80問目くらい(残り時間290分くらい) 10分休憩 ウィダー、ラムネ、チョコ
2回目:163問目(残り時間140分くらい) 15分休憩 ラムネ、チョコ
3回目:225問目(残り時間35分くらい) 7分休憩 ラムネ、チョコ

持って行ったのは、チョコ、ゼリータイプのエネルギーチャージ飲料、ラムネ、水でしたが、
エネルギーチャージ飲料とラムネが自分は良かったです(ラムネは食べるやつです)。
水は、持っていきましたがウォーターサーバーを設置してくれていたので
それを飲んでました。空調のせいか、めっちゃ喉が渇きます。

試験開始してみると、あまりに長くてとにかく早く解放されたい気持ちになり、
180問くらい解いたところで、もう合ってるかどうかとかどうでもいいから
ぽちぽちすれば外に出られるんじゃないか、みたいな思考になってました。
なので、休憩時間には、水分とエネルギーを補給しつつ、
少しストレッチしたりして体も動かしました。
とにかく長くて集中力が切れます。
最後の方は、解いていないのに「次へ」ボタンを押しそうになるくらい
ぼーっとしていたので危なかったです
(CISSPは一度進んだら戻れません)。

そんな状態になりますので、事前に〇問解いたら休憩しよう、
といった目安はあっていいと思うんですが、
頭が働かなくなってきたら休憩した方がいいです。
自分は、それで2回の予定だった休憩を3回に増やしました。
そうそう、休憩するのに手を挙げるんですけど、
たまになかなか気づいてくれないので、
手を挙げながら問題を解いてましたw
1回の休憩につき、チェックイン・チェックアウトを含んで
5分休むのに合計10分くらいかかるイメージでいるといいかなと思います。
余談ですが、担当の人が、むちゃくちゃ急いでチェックイン、チェックアウト作業をしてくれます。
試験時間に含まれているので、
ここで時間を取ってしまうと受験生のひんしゅくを買うっていう
プレッシャーがあるんだろうなーと
なんとなく申し訳なさを感じました。

ということで、最後はぼーっとなりながらもなんとか最終回答をしたら、
あとはチェックアウトをして、
待合スペースでレポートを受け取って完了です。
合格の時は「合格」のみ、不合格だとそれぞれのドメインの正答率を出してくれます。

5. 振り返って

みなさん言っていますが、やっぱり6時間は長いです…。
集中力と体力が削られるので、前日はとにかく体調管理優先で。
受けてみて自分が感じたのは、思った以上にCISSPとしての考え方を問う問題が多く、
知識系、暗記系のものは少なかったということです。
公式問題集を解いていても、L1~L7までしっかり業務経験があるわけではないので
あやふやな知識のまま進めている分野が多く、
もっとしっかり細かい部分まで確認しなければ、と焦っていましたので、
ここは少し拍子抜けでした。
運もあるんでしょうけど。
※個人の感想です

CISSPは技術者ではなく、役員、管理者目線での問題ですので、
技術的な細かいことを言っていたり、
現場担当にしかわからないような内容の選択肢が入っていたら
それは不正解である可能性が高いです。

ちなみに、英語バージョンは250問形式ではなく
100問くらいに減っているようなのですが
回答の正誤によって次の問題の難易度が変わるという形式なので
こちらの方が難しいと言われています。
それ以外にも、年々難しくなるようですので
資格試験全般に言えることですが、
もし受験を考えているようでしたら早めに受けた方がいいかと思います。
10年くらい前に受けた人からは
前はそこまで難しくなかったんですけど…
みたいなことをちらほら聞きました。

最後に、合格したらしたでその後の手続きもちょっと面倒です。
エンドースメント(推薦状)と職歴を英語で提出する必要があり、
周りのCISSPホルダーに推薦文を書いてもらうことになります。
そんなに詳細なものはいらないのですが、
英語っていうだけでめんどくささが倍増なので、
合格してから1ヶ月くらい放置しました。。。
しかも、前の会社の上司の連絡先も書かないといけなかったりで、
久しぶりに連絡しました。
その後、それが受理されると※年会費を払ってやっと次月からCISSPとして認められます。
※ランダムで監査が入るので、そうなると上司に改めて内容を証明してもらう必要があります

そしてそして、合格した後はCDPを貯める必要があります。
年会費は毎年だし、なんて手間のかかる…。
IPAの情報処理安全確保支援士よりはマシかもしれませんが。
あちらは合計12万ですからね…。
この記事をアップした後くらいに、まずはオンライン講習を申し込んでみようかと思ってます。

そんなわけで、途中散らかりましたが、
どなたかの参考になれば幸いです。
最後まで読んでくださり、ありがとうございました。