こんにちは、DP部のor2です。

ギャルにあこがれて(嘘)CISSPを受験しました。1回落ちましたが2回目で無事合格できました。
勉強方法は独学？です。(「CISSP CBKトレーニング」未受講)
勉強方法をまとめていきます。(「CISSPってなんだ」とかの話はギャルの方を見ていただければと思います。)

勉強期間前半はギャルの試験勉強方法を参考に、後半は先生(ChatGPT)と一緒に勉強していました。
ChatGPTを使った学習は対話的だったので非常に楽しかったです。
(ChatGPT有料版を利用)

・あくまでChatGPTの利用は私的なものです。このBlogを読んで試してみる場合は注意してください。
・日本の著作権法では、「AIによる著作物の学習利用に権利者の許諾は原則不要」とされていますが、「ChatGTPのモデルの再学習に使われない」ようにオプトアウトを設定することを推奨します。
・ChatGPTは間違えを出力することもあります。必ず正しい出力をするわけではない点に注意してください。

自分のスペック

新卒で当社に入社し、５年ほどセキュリティ周りの業務をしています。
担当したことのある業務の内訳は以下です。
- セキュリティ機器の構築
- JSOCでセキュリティログを監視するためのいろいろ
- ペネトレーションテスト

セキュリティ系の資格は何も持っておらず、業務で学んだ技術周りのことしか知らない状態から勉強をスタートしました。

受験スケジュール

2023/10月頃
勉強開始。
公式問題集開始(1週目)。正解率は約6割。
知らない単語しかないので全部Ankiに登録。したは良いもののあまり手を付けず。
思い出したときにAnkiを周回してましたが、つまらなすぎて勉強がはかどらない。
(思い返すとこの期間は何やってたんだって感じです。かなり非効率的)
2024/1月中旬頃
明日から本気出す。
Peace of Mind Protectionキャンペーンの試験バウチャーを購入(試験を2回受けられる券)。
3月末頃に試験予約。
公式問題集開始(2週目)。正解率は約8割。
ほのかに自信を持ち始める。
2024/2月中旬頃
公式問題集開始(3週目)。正解率は約9割。
残り時間はテストを回す。半分だけやって正解率は7-8割。
合格は確信出来ないが可能性は十分と慢心。
2024/2月末頃
試験受験。手が震える。
「あ...ありのまま今起こったことを話すぜ！
おれは問題が何を言っているかわからなかった...頭がどうにかなりそうだった...(ry」
ドメインの半分が基準値以下。
2024/3月
慢心は傷心に。
4月頭に再試験を予約し、ChatGPTを使った勉強を始める。
「これはいいアイデア。先駆者いるの～？」と思ったらすでにいた。
-> ChatGPTをフル活用して、IT初心者が難関資格であるCISSPに受かった合格体験記【2023年10月】
この方はもともと受験計画にChatGPTを組み込んでいた。賢い(確信)
2024/4月頭
試験受験。
わ、分かるっ!?分かるぞ!!
無事合格。

具体的な勉強方法(ChatGPT)

以下のようなプロンプトを入力し、ChatGPTにチェックしてもらってました。
考察・回答部分は冗長になってもいいのでなるべく詳細に、具体的に書いた方が良いと思います。
ChatGPTから良い回答を貰うためでなく、自分の思考プロセスを明確にするため愚直に言語化していくのです。
また、個人的な感覚なのですが、どの選択肢が正しいかは0/1ではなくグラデーションで考えた方がすっきりします。

プロンプトテンプレ

以下に問題文と選択肢、私の考察を記載します。
私の考察には問題を解くにあたり、どのように考察し、選択肢を評価したかを記載しています。
私の考察の内容が問題文・選択肢の要点をとらえ、適切に評価できているか評価してください。
問題に回答するにあたって、主要な観点を見逃している場合はその点を指摘してください。

[問題文]
...(問題文の本文)

A. 選択肢A
B. 選択肢B
C. 選択肢C
D. 選択肢D

[解答と解説]
正解はD

...(解説)

[私の考察]
A: 妥当ではない
...(理由)
B: 妥当かもしれないが微妙
...(理由)
C: 妥当ではない
...(理由)
D: 妥当
...(理由)

実際にこのプロンプトを試したときの例です。(入力は長いのでテキストです。)
問題文、回答、解説は自作したものなので信用しないでください。

入力

以下に問題文と選択肢、私の考察を記載します。
私の考察には問題を解くにあたり、どのように考察し、それぞれの選択肢を評価したかを記載しています。
私の考察の内容が要点をとらえ、適切であるかを評価してください。
問題に回答するにあたって、主要な観点を逃している場合はその点を指摘してください。

【問題文】
A社はAWSを利用したクラウドベースのアプリを開発しています。
先日、新しくユーザ向けのGUIアプリをリリースしました。
しかし最近、サービスリリースの翌日から不正アクセスが発生していたことが発覚しました。
監査の結果クラウドサービスリリース時から不要な管理アクセスポートが開いていたことが原因と分かりました。
また、サービスの運用担当は事前に定められた手順でサーバを管理していることもわかっています。
インシデントが発生した原因として適切なものを選択してください。

選択肢:
A. サービスの運用担当が管理アクセスポートが開いていることに気づけなかったため。
B. クラウド基盤設計時のリスクアセスメントが不足していたため。
C. ファイアウォールやIPSによる不正アクセスの遮断を実施していなかったため。
D. 悪意ある従業員が管理アクセスポートを開いたため。

【回答と解説】
正解はB

A. サービスの運用担当が管理アクセスポートが開いていることに気づけなかったため。
サービスの運用担当が不正なポートが開いていることを発見し、それを管理者に報告することは理想的には素晴らしいことであるが、これは運用担当の職務として適当ではない。
運用担当は事前に定められた手順でサーバを管理していることからDueCareを適切に実施していたと判断できるため、運用担当が原因ではない。
B. クラウド基盤設計時のリスクアセスメントやセキュリティテストが不足していたため。
管理アクセスポートが開いていたのは設計時の考慮漏れである。
また、セキュリティテストを実施することで考慮漏れに気付けた可能性がある。
これらはDueDiligenceとして実施すべきことであり、インシデント発生原因として適当。
C. ファイアウォールやIPSによる不正アクセスの遮断を実施していなかったため。
ファイアウォールやIPSといった技術的なセキュリティコントロールを導入することで不正アクセスは遮断できる可能性は高い。
しかし、不正アクセスの懸念と対策案はリスクアセスメントの時点で検討すべきであるため、選択肢Bの方が原因として適切。
D. 悪意ある従業員が管理アクセスポートを開いたため。
悪意ある従業員によるサボタージュは脅威であるが、管理者がDueDiligenceを実施することで被害を最小限に抑えることができる。
例えば、定期的なポートスキャンや変更ログの監査によって今回のようなインシデントは被害を最小限に抑えられる可能性がある。

【私の考察】
A: 妥当ではない
サービスの運用担当はDueCareを実施しているため、インシデントの原因として不適切。
もし運用担当の業務に不正ポートの確認が含まれている場合はインシデントの原因となるが、通常この業務はサービスリリース前にセキュリティ担当に職務として割り当てられるものである。
B: 妥当
問題文からリリース時点で管理アクセスポートが開いていたことがわかる。
このことから、不要なポートの開放はリスクアセスメントで事前に脆弱性として把握しておくべきことであり、設計時の注意事項として扱う必要がある。
また、リスクアセスメントでリスクが適切に管理されていた場合、リリース前のセキュリティテストなど、サービスの脆弱性管理も適切に行えるはずです。
以上より、DueDiligenceが適切に行えていなかったという観点からこの選択肢が正解となる。
C: 一部妥当
FWやIPSを実装することで不正アクセスを遮断できる可能性は高いため、妥当な選択肢に思える。
しかし、不要なアクセスポートが開いていたことが原因であるため、FWやIPSを導入する以前の問題である。
また、セキュリティ製品を導入するか否かはサービス設計からリリースまでの間に、費用とリスクの観点から決定するものであるため、何らかの合理的な理由から導入を見送った可能性もある。(セキュリティ製品が高いので、会社の規模やプロジェクトの予算感によっては購入できない可能性もある)
D: 妥当ではない
リリース前に悪意ある従業員によるサボタージュが行われた可能性はあるが、問題文ではこのような内容は登場しない。
また、例えばサボタージュが行われたとしても適切なセキュリティテストや監査ログによって早期に気付けた可能性がある。

応答(長いのでキャプチャを2枚に分けてます)

この後は納得・理解できないことがあればさらに質問していけばよいです。

冒頭でも書きましたが、対話的な学習だったので非常に新鮮で楽しかったです。

上記のプロンプトに至った理由

個人的に勉強していて思ったことなのですが、抽象化された言葉が多く、漠然とした意味は分かっても問題文・選択肢を正しく解釈し、適切な選択肢を選ぶのが難しいことがよくあります。
まるで初めてビジネス会話に参加した時みたいな感覚です。
つまり、単語理解・解釈能力が不足しているということです。

なので、問題文・選択肢を解釈する過程を言語化することで概念(単語)・文脈の理解・解釈能力を向上(頭に染み込ませる)する必要があると考えます。
また、複数の選択肢が正しいと思える問題もあるので、優先度を評価していくことも思考プロセスに組み込む必要があります。
個人的にはこれがCISSP的な考え方というものの一端で、公式問題集をただ解くだけではなかなか得られないスキルだと考えています。(もちろんCISSP的な考え方の全部ではないですし、公式問題集を解くだけでこのスキルを身に着ける人もいると思います。)

特にCISSPの勉強を始めた方は言葉の指す範囲やニュアンス、意味といった部分に苦戦することがあると思います。(私がそうでした。一例をあげるとDuecare/Duediligenceといった一見単純だけどよく分からない概念に苦戦しました。)

ChatGPTと後述するお勧め問題集で勉強することでこのスキルが向上しました。

お勧めの問題集

How To Think Like A Manager for the CISSP Exam Paperback

こちらのブログを拝見して読んだ書籍になります。
-> CISSP合格までに利用したリソースと使い方について

この書籍は単語を大体把握したタイミングで読んでみるといいです。
タイトルの通り、マネージャの視点に立ち、問題を解釈・処理していくプロセスが丁寧に書かれています。
問題数は25問と少なく感じますが、解説が重厚なのでしっかり時間を取って取り組むことをお勧めします。
構成は問題/選択肢/問題文・選択肢の解釈・判断となっており、上記で示しているChatGPTの学習方法と近い構成でした。