Maxima で綴る数学の旅

紙と鉛筆の代わりに、数式処理システムMaxima / Macsyma を使って、数学を楽しみましょう

-セキュリティ- CISSPの試験問題はなぜ難しいのか

 

CISSPの試験は難しいと言われます。理由は色々言われていますが、正面切って論じるのは難しい側面もありました。試験内容がNDA対象のため、本物の問題を議論できないからです(試験を受ける直前にNDAにサインをします)。

CISSPの試験問題は短い質問と4つの選択肢が与えられ、正しい選択肢を選ぶ、という形式がほとんどです。それなら楽勝、と思うかもしれませんが、セキュリティの業務経験があってもそれなりの準備をしなければ撃沈する可能性が高いです。

試験の難しさに関して、色々言われる理由(の例)は以下の通りです。

  • 技術者として答えてはいけない。マネジメントとして答える必要がある。
  • 4択のうち普通は2つ、場合によっては4つとも正しいことがある。その場合最も正しい選択をする必要がある。
  • 問題文と選択肢を正確に読む必要がある。
  • 問題集を覚えるような勉強はほぼ意味がなく、考え方を身につける必要がある。
  • (他にも色々)
  • 上記を実行するために正統的なセキュリティの知識を常識的に知っている必要がある。

これでは抽象的すぎて、何を言っているのかよくわからず、せめて具体例で説明してくれよ、と思うのですが、(おそらく)NDAに阻まれて具体的な説明を見たことがあまりありませんでした。

 

先日、とあるフォーラム(Reddit/cissp)で耳寄りな情報を知りました。CISSPの母体である(ISC)2が運営するコミュニティサイト(掲示板)にいくつかの例題・回答と、なぜその問題が正解するのが難しいのか、を説明したスレッドがある、というのです。

早速そのリンクの先を見ると投稿者の方が作成した24問の問題とその解説、及びその問題に対する活発な議論がありました。

このサイトは誰でも見ることができます。

折角なので、上記スレッドからいくつかの問題について翻訳し、投稿者の方の説明及び、私のコメントを付けた記事をこの後ポストしたいと考えています。

投稿者の方はrsladeさんというのですが、翻訳、引用などを許可してもらうことができました。付記して感謝したいと思います。

 

ちなみに上記スレッドを読んで、本題以外にも色々と勉強になりました。

  • ISC2はItem Writing Workshopというイベントを開催します。ISC2の会員(CISSPやCCSPの資格保持者)がボランタリに参加して、それらの資格試験の問題を作成する、というもののようです。上記スレッドにはその参加者のコメントもありました。
  • Item Writing Workshopで話されるのかもしれませんが、試験問題のライフサイクルのような話も書かれていました。問題が作られて、実際の試験で仮運用され、その結果に基づいて本番投入され、そこでも評価されて、場合によっては書き直し、破棄、などの運命を辿るようです。誰も正しく答えられないような問題も、(誰もが正しく答える簡単な問題も)評価が低く破棄される場合もあるようです。