ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。(編集:株式会社ラック・デジタルペンテスト部)
当ウェブサイトをご利用の際には、こちらの「サイトのご利用条件」をご確認ください。

デジタルペンテスト部提供サービス:ペネトレーションテスト

エンジニア経験ゼロの文系ギャルが「CISSP®認定試験」を受ける

こんにちは!
デジタルペンテストサービス部(以下「DP部」)で、セキュリティコンサルタント📚とかテクニカルコミュニケーター🤝とかをやっているMi*です🤗💓

この記事では、こないだ受けてきた「CISSP®認定試験」のことを書こうと思います!正直いって、このブログを見に来るようなエンジニアの方にはあまり役に立たないかもしれません・・・でもこれからセキュリティエンジニアを目指すよ~って方とか、文系だけどセキュリティ興味あるかも~って方とかの参考になるとうれぴです💓

f:id:lac_devblog:20220108193910j:plain

ギャルかどうかは自分で決める。自分がギャルだと思えばそれはギャルだ

てかまじでなんでこうなった

軽く自己紹介みたいになりますが、DP部のつよつよエンジニアたちが「スポーツのスター選手」の集団だとすると、セキュリティコンサルタントやテクニカルコミュニケーターっていうわたしの仕事は、部活のマネージャーみたいな感じです。例えば選手たちがいい感じにがんばるためのサポートとか、内外の関係者とのコミュニケーションとか、ファンを増やすための情報発信とかみたいな感じがわかりやすいと思います🙌

そういう仕事をするためには、そのスポーツで活躍できるような運動神経や技術は無くてもなんとかなるけど、ルールや戦い方とか、カルチャーみたいなものはマストっていうか、むしろ選手よりも深く知っておいた方がいいかなって思います💪

ということでエンジニア業務をしたことがないわたしにとっては、セキュリティエンジニアとしての知識はともかく、全般的な知識があるとしごでき👩‍💻になれそうな気がしたので、そんな感じでとりま「CISSP®認定試験」を受けることにしました🔥

 

f:id:lac_devblog:20220108203637j:plain

業務でコードを書いたこともサーバを立てたことも一度もないまま幾星霜

とりま試験に向けた勉強をする

このブログにたどり着くような方はご存じかと思いますが、「CISSP®」は(ISC)²が認定する情報セキュリティプロフェッショナル資格です。「セキュリティプロフェッショナル」ということで、エンジニア向けということではなくて、「プロフェッショナル」なのがアガります🤗
(そうだよ、エンジニアだけがセキュリティ屋さんじゃないかんね・・・🤣)

CISSP®はWebで公開されている各種のセキュリティ資格マップなどでは、「マネジメント向け」のような分類をされていることが多いですが、わたしはむしろ「文系向け」(*1)だな~と思います。

(*1)そもそも学問を理系・文系で分けること自体がないわ~って感じですが、

  • 文系 : 主に人間の活動を研究の対象とする学問の系統
  • 理系 : 主に自然界を研究の対象とする学問の系統

だとすると、CISSP®は文系寄りの資格だよね~という意味合いです。

けれど、これまでに情報科学系の分野を勉強していなくて、かつ仕事でも触れる機会のない文系の場合はちょっと苦しい部分もあるので、以降で攻略法を解説します💪

①公式CBKトレーニングに参加する

元も子もないですが、正直これしか勝たんです🥺

Web上とかにに公開されている合格体験記には、「トレーニング無しで独学でも合格できる」というものも多いですが、エンジニア経験ゼロかつ文系の場合はまじで受けた方がいいです🙋‍♀️

レーニングを受けるとまず全体的にどんな試験なのかがわかるので、この辺は割とわかるわ~とか、この辺意味不だわ~みたいなのがわかるだけで安心だし、受けたからには受からねば~って気持ちにもなります💪
(会社で受講権の順番が回って来るまで数年待ちましたが、それでも待った方がいいです🥺)

レーニングでは、試験は全250問で選択式だよ~みたいな基本から入って、「CISSP®認定試験」の試験範囲にあたるCBK(「共通知識分野」)の以下の8ドメインそれぞれの解説をしてくれます。ドメインっていうのは、センター試験共通テストとかの科目みたいなものって思っておけばおけぴです🙆‍♀️

CISSP®「共通知識分野」8ドメイン

  1. セキュリティとリスクマネジメント
  2. 資産のセキュリティ
  3. セキュリティアーキテクチャとエンジニアリング
  4. 通信とネットワークセキュリティ
  5. アイデンティティおよびアクセス管理
  6. セキュリティの評価とテスト
  7. セキュリティの運用
  8. ソフトウェア開発セキュリティ

具体的な内容を見るとわかるのですが、「文系寄りのドメイン」「理系寄りのドメイン」の両方があります。ここもセンター試験共通テストっぽいな~って感じです。

例えば個人的には、「3.セキュリティアーキテクチャとエンジニアリング」で出てくる暗号学や、「4.通信とネットワークセキュリティ」で出てくる計算機科学の内容とかは、かなり理系寄りの分野だな~と思います。このあたりのドメインの内容は文系脳には割とつらたん🥺なので、

  • レーニングの中で完全に理解するのは最初から捨てる
  • どの辺で「わかんない感」が出てきたかをマークしておく
  • 講師の先生が重要だとおっしゃったキーワードや図はとりまマークしておく

を心掛けてトレーニングを受けるといいかなって思います💪

逆に文系寄りのドメインは、知識や考え方みたいなところも含めて、トレーニングの中でできるだけ習得しちゃうのがいいです。具体的なドメインでいうと「1.セキュリティとリスクマネジメント」とか「2.資産のセキュリティ」とかはかなり文系寄りだと思います。文系寄りのドメインは以下を心掛けてトレーニングを受けました。

  • 知らないキーワードが出てきたら休み時間などに調べて理解しておく
  • わかりにくい概念は講師の先生の例え話や経験談みたいな話を要チェック
  • 考え方の面で腑に落ちないものがあれば講師の先生に質問する
  • 他の受講生の方が講師の先生にしている質問も要チェック

「考え方みたいなところ」っていうことで・・・CISSP®認定試験」に合格するには「CISSPとしての考え方」が必要だ、みたいなことをいろいろな人が言っているのを聞きますが、正直、個人的には意識することはあまりなかったかな~という感じです🤷‍♀️

ただ強いて言うなら、エンジニア的な感覚で問題に回答しようとして、「技術的に正しい」選択肢を選んでいるだけだと、必ずしも正解できないだっていうのはあるかもって思います🤗

例えば技術的にベストなのはAのやり方だけど、それを実行するとコストがかかりすぎるから現実的じゃない・・・みたいな「文脈」から合理的に判断してBのやり方を選ぶ、って感じの問題がちょくちょくあります。
(これだと何のことかさっぱりわからんね・・・しゃあないけど🤣)

その辺は、エンジニア経験がないことが逆に有利に働くな~って思います💓

 

f:id:lac_devblog:20220110184426j:plain

レーニング中に集中切れてきたな~って思ったらエナドリでぶち上げ

CISSP公式問題集をひたすら解く

試験の予約方法や受け方についてはトレーニングで教えてもらえますが、試験の予約がなかなか取りづらく、特に直前だとほぼ取れないということなので、トレーニングで試験の予約のやり方を教えてもらったら、忘れないうちに秒で試験を予約しちゃうのがいいと思います💪
あとは試験の日までひたすらCISSP公式問題集をやっていれば何とかなります!他の方の合格体験記にはいろいろな本や問題集を使っているものもありますが、ギャルは見た目によらず一途なので公式問題集一本でおけです💓

CISSP公式問題集には、以下の感じで全部で約1300問の問題が入っています。

  • 8ドメイン毎の問題(各ドメイン100~111問):約800問
  • 全分野の問題からなる125問の演習テスト(4回分):500問

わたしの場合は問題集を入手した時点で試験まで2か月弱だったので、以下の感じで進めました💪

まず最初の1か月で「8ドメイン毎の問題」パートをやる

週末のうち1日で2ドメイン分の問題を解く+答え合わせをする感じです。このときに、それぞれの問題を以下の4パターンで分類しました。電子書籍の問題集の場合はマーカー機能みたいなものが便利です。

  • ○「問題で言っている意味がちゃんとわかって、正解できた」
  • △「正直問題の意味はよくわかんないけど、ノリで正解できた」
  • ▲「問題で言っている意味はわかったけど、なんか間違えた」
  • ×「マジで意味わからなくて間違えた」

週末のもう一日は問題の復習に充てます。×の問題はそもそも用語がわかっていないことが多いのでそこから復習です。▲の問題は正解に至るまでの考え方を確認します。意外とヤバいのが△で、ハズレ選択肢も含めて知らないものがあれば確認します。この辺は全てノートにまとめます。めっちゃノート使います。図解することで分かりやすくなるようなものがあれば、それも自分で書きます。

あと意外と大事なのが、問題文の英語部分も見ておくことです。問題集では日本語と英語が一緒に書かれていますが、日本語訳だけでは意味がわかりにくいときがときどきあるので、英語に抵抗がなければ、この用語って英語ではなんていうのかな~?っていうのを見ておくと問題の意味を取りやすくなるのと、用語によっては英語の方が意味合いが分かりやすいものがあるのでよきです🤗

平日は余裕があればトレーニングのテキストを見直して、トレーニング中にわかんないマーク(笑)を付けたところが問題に関連していそうであればじっくり読みなおします。「講師の先生が言ってたアレって、そういうことだったんか~わかりみが深い~~」っていう感じでこの辺でようやく理解が追い付きます🥰

1か月通して8ドメイン分の問題を一通りやると、得意分野・不得意分野や、残り1か月で何をすべきかが見えてきます。

f:id:lac_devblog:20220110182138p:plain

点数書いちゃうと弊社的にいろいろマズそうだから書かないw

ここで常識的に考えると、残りの1か月で苦手なドメインに集中して・・・ってなりますが、そうはいかないのが文系ギャルです🙋‍♀️(!?)センター試験共通テストのときがまさにそうだったのですが、

  • 苦手科目に時間をどちゃくそ使ってもそもそも苦手なので伸び率悪い
  • むしろ得意科目の方がおろそかになって事故る

って感じでぴえんからのぱおん🥺だったので、

  • 得意ドメインは満点狙いで可能な限り点数を伸ばせるように追い込む
  • 苦手ドメインはとりま合格点(=70%)に乗せることを目指す

という感じの戦略にしました💪

ちなみに今さらですが、「CISSP®認定試験」は、センター試験共通テストのような科目(ドメイン)ごとの試験ではなくて、8ドメインまとめて1000点満点の1つの試験なので、合格点(=70%)に乗らないドメインがあっても大丈夫なはずです🙆‍♀️

その後に125問の全分野演習テストの前半2回分をやる

とはいっても、「8ドメイン毎の問題」の最初の方は、やったのが1か月くらい前でだいぶ忘れているので、125問の演習テストをやる前に、×や▲のものを中心にもう一度復習します。いける気がする~!ってなったら125問の演習テストの1回目をやります。

・・・はい、全然正解できないですね🤣この時点でも全く知らない単語や概念が続々と登場してきてぴえん🥺ってなりますが、そういうものは淡々と覚えていくしかないです。つらたん🥺

特にエンジニア経験がないと、エンジニアは当たり前に覚えていることを試験用に新しく覚える必要がどうしても出てきます。インターネットのTCP/IPで使うポート番号とかがそうですね。この辺も仕方ないので淡々と覚えていくしかないです。仕事とあまり関連しないところは開き直って語呂合わせでもなんでもいいので覚えましょう。とはいえ単語とその意味だけをひたすら覚えていくのは厳しいので、具体的にどういう製品やサービスで使われているかをセットで覚えていくとよきです。ここは努力で経験を補うしかないです💪

125問の演習テストについても、○、△、▲、×の4種類で分類して、次の日以降に復習します。全部復習できたら2回目の演習テストも同じような感じでやります。

問題集を進めていると、「最適なものを選べ」みたいな問題で「4択のうち2択までは絞りこめたけれど、最後の1択が選べない」みたいなことがよくあります。そういうときに役立つのがギャルマインドです🌈どちらを選べばいいかわからなくなったら、「・・・てか、これって結局何がやりたいの?」と自分に問いかけることで、きっと正解にたどり着けます。ギャルじゃない人はギャルになったつもりで自分に問いかけてみましょう🙆‍♀️

本番1週間くらい前に全分野演習テストの後半2回分をやる

3・4回目の演習テストは、本番の試験っぽい感じで250問を通して解きました。通しで解くことで、250問解くのにどれくらい時間がかかるのかとか、どの辺で集中力が切れてくるかとか、どの辺で休憩を入れればいいかがわかるのでどちゃくそ重要です💪

試験までの残り1週間は、ひたすら問題集の復習をします。ここまでで問題集をトータル3~4週くらい解くことになりますが、その頃には問題集の問題はほぼ全問正解できる感じになっているので、本番の試験もいけんじゃね?って気分になってきます🤣

ここまで来ると、最後は知識というより体力やメンタルだと思います💪

CISSP®認定試験」を受ける

試験はテストセンターで受験します。申し込み日程にもよると思いますが、わたしの試験時間枠は真冬の朝7:30集合というDP部メンバーは誰一人合格できなさそうな枠でした・・・🤣 が、年末年始に箱根駅伝観戦に熱中していたため、いい感じにすぱっと起きられました💪
(スタートは朝8時だけど、玄人は朝7時の当日エントリー変更発表から見るじゃん?🥰)

また試験は最大6時間の長丁場なので、途中自由に休憩を取ることができ、休憩時には持参した軽食を取るのもOKです。この辺は完全に個人の好みの問題ですが、今回持参したアイテムを紹介します。

 

f:id:lac_devblog:20220111153518p:plain

遠足の前日ばりに真剣におやつ選んでいくスタイル

①いつも飲んでいるコーヒーを当日の朝に淹れたもの。いつめんの安心感🥰
②コーヒーとセットでカフェインレスの飲み物をチョイス。
③手軽にHPを回復できるから休憩のたびにちょっとずつ食べる。
④甘いものだけじゃなくて塩分もほしくなる気がした。大正解🙆‍♀️
⑤お腹空いたとき用。試験開始が朝早かったから持っていってよかった。
⑥お菓子であれば推しを持ち込めると気づいた瞬間に合格を確信💪

事前に250問通しで解いた時点で集中力が続かないのはわかっていたので、70/250問、140/250問、200/250問あたりで3回休憩を入れました。あまり早く解きすぎると不正を疑われることがあるそうで(!?)、ゆっくりめに進めて4時間弱で全問解き終わりました🙌

帰り際に受付で合否結果のプリントをもらえます。無事一発合格でした!いぇいいぇい!🥰🎉

さいごに

エンジニアじゃなくてもセキュリティプロフェッショナルになれる!ことを証明したくて受験しましたが、無事合格できてよかったです🥰
これからも異端の道を突き進みます🙋‍♀️やりらふぃ~💓