Kelly HanderhanのCybrary.itビデオコース有料化について追記しました。
私は日本語で開催される有料セミナーを受講しませんでした。この記事は、同様にいわゆる独学で受験する人の参考になればと考えています。有料セミナーでは日本語のしっかりした資料が配られるとのことですので、勉強の仕方もかなり変わってくると思います。
私の場合、CISSPの勉強は結果的に結構長く、4/13〜10/17の半年かかりました。本当は7月頃に受験しようと考えていたのですが、受験日の関係+仕事のスケジュールなどでこうなりました。結果的には良かったのではと考えています。
で、「受験日の関係」の話です。この試験は平日朝、あるいは午後に行われ、ホームページのカレンダーで表示されている試験可能日を指定して申し込む流れとなります。私は7月初旬に申し込もうと思って、初めてそのカレンダーを見ると7月に可能日はすでになく、8月も夏休みなのか可能日はなく、、、9月も候補日が4日くらいしかなくて都合が悪く、、、結果10月の可能日に申し込みました。
受験を考えておられる方がいたら、「意外と試験可能日が無い」ということもあり得るので、お気をつけてください。
次にこの半年間の大まかな勉強の流れです。
- 情報収集 (4/1 - 4/13)
- ビデオ学習 (4/13 - 5/4)
- 情報収集2 (5/5 - 5/31)
- 本と問題集 (6/1 - 8/20)
- 本と問題集、YouTube ビデオ (8/25 - 10/16)
- 最後の追い込み 10/16
最初に、情報収集は重要です。出来るだけ最新の情報を入手するようにしてください。ネットの情報は日付をよく見ないと古いものも多いです。
また英語での情報収集も欠かせません。日本語の教材も少ないですし、日本語では専門的なまとまったサイトもありません。英語なら無料のビデオコースもありますし、しっかりとした無料練習問題のサイトもあります。また無料のまとめ資料もあります。様々な理由から現状ではCISSPの取得には英語を使った方が有利だと思います。
英語ではありますが、掲示板サイトReddit.comのCISSPスレッドは、16週間の学習計画、教材の評価、合格報告、不合格報告と今後の進め方相談、ブートキャンプ(日本の有料セミナーのことです)の体験記など大量の記事があります。
https://www.reddit.com/r/cissp/
勉強にはどうしても何か1冊まとまった本が必要です。分からないことは必ず出てきます。その際に信頼できるソースを一つ手元に持っておく必要があること、そしてCISSPのその手の本は1000ページ以上のものが普通にありますから、何冊も持つのは無駄が多いです。世間で「信頼がおける本」とされているものは10冊無いと思いますので、よくリサーチして買いましょう。
先ほど書いたように無料のビデオコースがあります。が有料のビデオコースもあります。その辺も含めてリサーチされると良いと思います。
以下、私が利用した教材を記載します。
ビデオ学習:
Cybrary.it 無料有料ビデオコース 講師:Kerry Handerhan, タイトル:CISSP, 時間:約15時間
https://app.cybrary.it/browse/course/cissp
4月から5月の連休にかけてこのビデオをノートを取りながら見ました。 CISSPの内容の全体像を掴む助けになりました。Kerryさんは発音が明瞭で短いセンテンスをスパッと言い切るので日本人でも理解しやすいと思います。CISSPの8つの分野を全てカバーしています。
トピックについての説明も事実を述べるだけでなく、その背景や動機を話してくれるので聴き続けることができます。まずドメイン1が長いのですが、ここを乗り切ることが重要です。ドメイン2は短く、ドメイン3以降は技術的になっていきます。技術者にとってはまずドメイン1を乗り切れるかが最初のハードルです。
一つ、大切なことですが、このビデオをお勧めしている人は本当に沢山いますが、ダメ出ししている人を見たことがありません。非常に評判の良いビデオです。
もう一つ、Kerryさんが「testable(試験に出る)」と言ったらそこは絶対に理解する必要があります。そう言ってくれる箇所が何箇所もあるのです。
とにかく15時間で全体像が掴める、というのは手頃です。お勧めだと思います。
[追記]
2020/2月から有料化してしまいました。値段はホームページ上の割引価格で$49/monthか$399/yearです。私の場合3週間でこのコースを見終わり、その後見返すことは無かったので、1ヶ月分の価格とすると5500円くらい、ということで本を1冊買う感じです。内容を知っていると値段の価値はある、と言えます。普通の学習者が内容を分からず購入するにはちょっと勇気が入りますね。
参考書:
- 作者: Mike Chapple,David Seidl,James Michael Stewart,Darril Gibson
- 出版社/メーカー: Sybex
- 発売日: 2018/06/19
- メディア: ペーパーバック
- この商品を含むブログを見る
本としてはこのSybexの公式スタディガイド第8版を選びました。本が好きで紙の本を買ったのですが、失敗でした。厚さが10cmくらいあり持ち運べません。紙なので検索できません。Kindle版がありますので、是非そちらを購入されると良いと思います。
ちなみにこの本を結局通読はしませんでした。今までに知らなかった話題(私の場合は事業継続、災害復旧、物理セキュリティ、アセットセキュリティなど)は章ごとに通読しましたが、暗号、ネットワークプロトコルなど割と知っているところは参考資料として使いました。
この本はどの評価を見ても必ず「そこそこ良い」と評価されています。私の評価も同じです。読む本としては楽しくないので眠くなります。一方、参考資料(問題集をやって答えの解説がわからない時、もっと知りたい時に参考にする資料)としては非常に信頼が置けると思います。全ての話題がカバーされており、それぞれについて説明があります。その内容も正確で、必要十分な詳しさの説明になっています。Kerryさんのビデオコース受講の際にも不明点の確認に多用した記憶があります。
この本とは別に「すごく良い」と評価されている本もあるので、どれにするかは個人の好みだと思います。自分がこの本を選んだ理由は、、、「公式」という言葉の響きに惹かれたから、のような気がします。
問題集:
- 作者: Mike Chapple,David Seidl,James Michael Stewart,Darril Gibson
- 出版社/メーカー: Sybex
- 発売日: 2018/06/19
- メディア: ペーパーバック
- この商品を含むブログを見る
また問題集も必要と思ったので、Sybexの公式プラクティステスト第2版も組みになった物を購入しました。こちらも当然紙できました、、、が実は一度も使いませんでした。
理由は単純で、Sybexのこの2つの本(公式スタディガイドと公式プラクティステスト)は、買うと、それぞれについてオンラインで実施できる問題集の学習環境へのアクセス権がついてきます。本の中に記載されている問題もオンラインの学習環境の問題も同じ物ですので、私はオンライン学習環境を使っていました。スマホでもPCでもChromeブラウザでアクセスしていました。
公式スタディガイドには、合計1320問の問題が付属します。また公式プラクティステストには、1334問の問題が付属します。この二つの問題集は幸にして重複していないと思います。厳密な比較はできませんが、「あれ、同じ?」と思ったことが一度もなかったからです。公式スタディガイドの問題の方が基本的で、公式プラクティステストの方が少し難しいです。
この学習環境にアクセスした時間が表示されるのですが、それぞれに65時間くらいづつ使いました。時期的には6月から8月に使いました。知識の定着に非常に役だったと思います。
ちなみに学習環境で問題を解く際に、Chromeのページ翻訳を使うとスマホでもPCでも日本語でトライすることができ、お勧めです。変な翻訳もありますが、誤訳に慣れるのも重要です。またChromeのページ翻訳ならすぐに英語の原文も確認できます。
またこの学習環境の中から、用語集のPDFをダウンロードできます。結構な数の用語がカバーされており、説明が短いのですが適切で、実用的な用語集になっていました。
通読した本:
Eleventh Hour CISSP®: Study Guide (English Edition)
- 作者: Eric Conrad,Seth Misenar,Joshua Feldman
- 出版社/メーカー: Syngress
- 発売日: 2016/09/03
- メディア: Kindle版
- この商品を含むブログを見る
公式スタディガイドが厚すぎて通読できそうにないとわかり、2回目の情報収集フェーズで探して見つけたのがこの本です。この本はわずか200ページ強の本ですので、英語に慣れていれば通読可能です。著者のEric Conradは別のCISSP本が「すごく良い」と評価されている人なので信頼が置けると判断し購入しました。この本は6月から7月末までに1度、また8月から9月末で1度通読しました。
こちらは細かいところは省略されており、また試験に出ないとされている部分も省略されています。それらの結果としてのこの薄さです。したがって、この本は後から知識を確認するために読むには良いし、ひょっとすると最初に全体像を把握するために読むのも良いのかもしれませんが、この本だけでは絶対知識不足になると思います。Sybexの公式スタディガイドのような本との併用は非常に有効だと思います。
問題は1ドメインに5問、合計40問が掲載されています。説明は詳しく、レベルも良いのですが、数が少なすぎます。おまけ程度に考えてください。
Kerryさんのビデオと同等かそれよりも少し詳しいレベルの内容を文字で確認できるので、通読は記憶の定着に役に立ったと思います。
ちなみにこちらはKindle版を購入したため、検索もできたし、とても便利でした。
問題集の追加
英語で情報収集していると「大変良い問題集がある。それはBosonだ。少し技術的よりだが」という意見を度々見かけました。そこで購入したのがこちらの問題集です。こちらは750問の問題が含まれています。Windows OS用のアプリケーションとして提供されているため、利用にはWindows PCが必須です(購入せずにアプリをダウンロードすると数問だけ試せます。動作確認が出来ます)。
8月末頃になると公式スタディガイドや公式プラクティスガイドの問題は繰り返し解いていることもあり、回答を記憶してしまいます。そのため新しい問題で実力測定と、さらに勉強するべき弱点分野の確認のために8/25に購入しました。価格はUSD $84 (定価$99, 割引クーポン適用)でした。
9月から試験直前までこの問題集にかなりお世話になりました。分野的にはアセットセキュリティとID管理が弱いことがわかり、Sybex公式スタディガイドを再度読み直したりといった勉強につなげられました。また8割〜9割の点数が取れることがわかり、実力測定(要はかなり出来てきた、という安心感です)にもなりました。
最後の追い込み:
試験前日(10/16)にRedditを見ていたら、以下のビデオは試験直前に必見、という意見をいくつか見かけたので見ました。Kerry Handerhanによる"Why you WILL pass the CISSP"というビデオです。
試験を受ける際の心構えが10のポイントとしてまとめられています。1 - 4は「受験の際の鉄板とも言える心構え」として多く語られている話のまとめです。個人的には5 "End Game"が新しく、実際の試験でも役に立ちました。目的を問う設問で4つとも正解に見える場合、もっとも最終的なゴールが正解、という考えです。セキュリティ教育の目的は?と聞かれたら、1.従業員の知識向上、2.シニアマネジメントの知識向、3.従業員の行動改善、4.対外的に社員教育を説明できるようにする、から選ぶ場合、どれも悪くはないのです。が、最終的なゴールは従業員の行動改善によるセキュリティの改善であり、そこにつながらないと意味がないわけです。
実はもう2つ、最後の追い込みでやったことがあります。日本の公式サイトでPDF配布されているCISSP 8 ドメインガイドブック を読み直して知らないことについて調べる、と、この資料の後半にある、「確認テスト」をやってみる、です。
前者は最後の2週間くらいの中でやりました。もちろん書いてあることはほとんど知っています(そのはずです、、、)。ただ私の場合はですが、ドメイン2の資産のセキュリティで、「クラウド上の残留データ」という項目に気がつき、これってなんだっけ?となりました。これの意味する課題と、クラウド各社(AWS, Azure, GCP)が提供する解決策を調べたりしました。
CISSP 8 ドメインガイドブックには確認テストが40問ついています。この確認テスト、このPDFの中にもネットを探してもどこにも正答がありません。個人的には、これらの問題は本番の試験の問題と非常によく似ていると思います。これらを最後の1週間くらいの中でやりました。
正答がなく、正解が分からないのにやる価値はあるのでしょうか。実は4月頃に確認テストに一度目を通した際には、ほとんど全ての問題で「これはわからん」と感じた記憶があるのですが、試験直前にやってみると、割と迷わずに答えられました。CISSPとはそういうものか、と納得できた瞬間でもありました(とはいえ、今見てもよくわからん問題もあります)。
その他、勉強期間中に利用したインターネット上のリソースを以下に列挙します。
IT DojoのYoutubeチャンネルには短いCISSP Questionsが100近く掲載されています。家のブラビアAndroid TVでこの動画を見て、問題に答える、というのを8月くらいから日課にしていました。出題者のお兄さんの英語は聞き取りにくいかもしれませんが、出題はと正答は文字でわかるようになっています。ただ、解説は聞き取る必要があります。
日本マイクロソフトCTOの河野省二さん(CISSP)が講師となり半日でCISSPの考え方を講演した際の録画ビデオです。日本語でCISSPの考え方を無料で聴けるので、このチャレンジセミナーに参加しても良いですし、上記ビデオを視聴するのも良いと思います。
https://resources.infosecinstitute.com/category/certifications-training/cissp/
Infosec Instituteという情報サイトがあります。各種のセキュリティ関連の教育プログラムや資料を提供しており、上記のリンクから辿ると、CISSPに関する情報が大量に掲載されています。
https://csrc.nist.gov/publications/sp800
NISTのSP800シリーズのいくつかの資料は必須知識として参照されています。Sybexのオフィシャルガイドに書いてある少しわかりにくい段落が、実はSP800からの短い引用で、原文を読むとコンテキストがわかるので意味が腹に落ちた、という経験を何度かしました。BaselineのTaloringとScopingとか、、、IPAにいくつかの日本語訳もあり、そちらも良いと思います。
個人的には30, 34, 37, 53, 61, 63, 64あたりは斜め読みでも眺めてみる価値はあると思います。
無料練習問題サイトとしては、以下の3つはお勧めです。私もやりました。
McGraw-Hill Education | CISSP Practice Exams 500問
Elsevier: conrad: CISSP Study Guide Practice Exams 500問
CISSP Practice Questions Exam Cram, Second Edition: Safari Books Online 600問
上記最初の2つのサイトではAdobe Flashが使われており、その実行環境が必須です。
以下のサイトも役に立つかもしれません。
skillset.comはInfoSecInstituteに統合されて有料化してしまいました。
https://www.studynotesandtheory.com/ 多少読みました。
Free Certification Practice Questions - GoCertify 80問 全部やりました。
残念ながら、読んでみる機会がなく、私自身では評価できない、 しかし有名、あるいは評価の高い本を以下に上げておきます。
CISSP Study Guide (English Edition)
- 作者: Eric Conrad,Seth Misenar,Joshua Feldman
- 出版社/メーカー: Syngress
- 発売日: 2015/12/08
- メディア: Kindle版
- この商品を含むブログを見る
CISSP All-in-One Exam Guide, Eighth Edition
- 作者: Shon Harris,Fernando Maymi
- 出版社/メーカー: McGraw-Hill Education
- 発売日: 2018/10/19
- メディア: ペーパーバック
- この商品を含むブログを見る
【発刊記念キャンペーン価格】ALL-IN-ONE CISSP認定試験 学習参考書 第5版 ?情報セキュリティプロフェッショナルのための総合事典?
- 作者: ション・ハリス
- 出版社/メーカー: 株式会社インフォクラスター
- 発売日: 2014/02/02
- メディア: Kindle版
- この商品を含むブログを見る
CISSP Practice Exams, Fifth Edition
- 作者: Shon Harris,Jonathan Ham
- 出版社/メーカー: McGraw-Hill Education
- 発売日: 2018/12/07
- メディア: ペーパーバック
- この商品を含むブログを見る
この公式ガイドは内容も新しく、手に入れようか迷ったのですが、値段が高い割にアマゾンの評価では翻訳の質が悪い、となっており、やめました。
この問題集は、著者名や出版情報からすると、Sybex公式プラクティステストの翻訳と思われます。4月に英語版を買った後で6月ごろにこちらが出版されて、ショックだったことも、今では笑い話です。