CISSPの受験を考えている方
「CISSPって難易度が高いって聞くけど、どのくらい難しいの?なんでCISSPってよく難しいって言われるの?」
このような悩みに対して、
実際に私が独学でCISSPに合格した経験を元に解説します!
【結論】3−4年前よりは、CISSPに合格しやすい環境が整ってきています!
今回、解説する内容は目次の通り、順を追って解説していきます。
この記事を見れば、CISSPの難易度が分かり、どのような準備が必要かわかるかと思います。
CISSPの難易度は?
なぜCISSPの難易度が高いと言われるのでしょうか。理由は3つあります。それは
では、1つ1つについて、詳しく解説していきます。
範囲が広い
CISSPで問われる知識を各8つの領域(ドメイン)を元に見てみると、
1. セキュリティとリスクマネジメント
→アメリカの法律や標準的なフレームワーク等の知識2. 資産のセキュリティ
→データの安全な消去法やデータ分類や管理等の知識3. セキュリティ設計とエンジニアリング
→暗号、物理セキュリティ(消火器、フェンス)等の知識4. 通信とネットワークのセキュリティ
→無線LAN、有線LAN、TCP/IP等ネットワーク全般の知識5. アイデンティティとアクセスの管理
→アクセス管理(識別、認証、認可)等の知識6. セキュリティの評価とテスト
→脆弱性評価、ペネトレーションテスト等に関する知識7. セキュリティの運用
→BCP(事業継続計画)やDRPに(災害復旧計画)等の知識8. ソフトウェア開発セキュリティ
→セキュア開発やデータベースセキュリティに関する知識
と、多岐に渡ることがわかるかと思います。
また、それだけではなく実業務では到底網羅出来ないような内容を多分に含んでいることもCISSP試験が日本人にとって、難しい内容であると言えます。
実際、ドメイン3の暗号のパートでは、「Bell-LaPadulaモデル」「Bibaモデル」といったCISSPでしか聞かないような用語もあります。
実務経験が2年未満だった私が、どのように幅広い試験範囲を勉強したか、用語を学習したか下記の記事に記載しています。公式問題集をひたすら解き、分からない用語をなくす事で合格に近づけます!
経営者の考え方が必要
CISSPの試験では、
ということを考慮して回答しなければいけない場面がよくあります。その様な場合に、
「自分が経営者だったら、この選択が”最良”だ」という様な形で正解かつ最良の選択肢を選ぶ必要があります。
なので、これまでエンジニア一筋でやってきて、現場で身につけた自分の技術力にプライドを持っている人は、
・経営者の考え方に抵抗感を覚え、つまづいたり、挫折してしまう可能性がある。
・アメリカの法律やフレームワーク、実務では使わない暗号概念など、勉強するにはかなり退屈に感じてしまう。
ということがあります。実際私の同僚でも、仕事もできて、技術にも詳しい人が、途中で諦めてしまった人もいます。
経営者の考え方は、独学で学習してても中々身につくものではありません。そこで、私はCISOの考え方を学習することができるオンラインセミナーも併せて活用しながら、勉強していました。詳細は下記の記事をご覧ください。無料なのに有料級のオンラインセミナーは必見です。
日本語の教材が充実していない
CISSPはISC2(アイエスシースクエア)というアメリカに本部を置く団体が行なっている資格試験となっています。
そのため、公式ホームページも英語ですし、試験対策用の教材も英語のものばかりでした。
セキュリティ技術の進歩等々によって、2018年4月に試験範囲(ドメイン)が変更され、元々10ドメインあったものが8ドメインとなり、それによって英語の教材が新しくなっていったのですが、日本語に翻訳されるのは、数ヶ月経った後。という様な状況でした。
2020年6月現在、楽天ブックスで「CISSP」と検索すると、
CISSP関連書籍285件中、日本語の教材はたったの3つだけでした。
しかし、数年前は公式ガイドブックしか日本語の教材はなかったため、1−2年でかなり状況は良くなっていると思います。
以下はここ1−2年で、発売されたISC2の公式教材です
2018年9月に、公式ガイドブック(教科書)
「新版 CISSP CBK公式ガイドブック [ アダム・ゴードン ]」が発売。
2019年7月に、公式問題集
「CISSP公式問題集【電子書籍】[ マイク・チャップル ]」が発売。
私が勉強を少しずつ始めようと思った時には、英語の公式問題集しか発売されていない状況だったため、2019年に発売された、日本語の公式問題集がほんとに救世主だと思います。私は、結局日本語の公式問題集も後からhontoで購入して、CISSP合格のためにひたすら活用していました。
英語の問題集は、見慣れない難しい英語を調べながら、英文を理解して、かつセキュリティの中身を理解しなければならないという感じで、かなり時間がかかって非効率な勉強をしていたと感じます。TOEICは700点後半もスコアだったので、それなり自身もあったのですが、やはり日本語が圧倒的にオススメです!
英語の勉強をしつつ、CISSPの勉強もというのは、本当に非効率なので、英語の公式問題集を購入する事は絶対にオススメしません!!(英語にかなりの自信がある方を除く。)
また、次にいつ、ドメイン改編や試験範囲の変更が行われるか不明で、そうなると、教材の整備にもかなりの時間を要すると思うので、CISSPにチャレンジしようとしている方は是非とも今すぐにチャレンジしてください!
私が実際に活用した教材に興味がある方は、下記ご参考まで。
まとめ
というわけで、CISSPの難易度が高いと言われる3つの理由について解説してきました。
- 範囲が広い
→情報処理安全確保支援士と比較しても圧倒的
→業務では全く学ばない内容が含まれる - 経営者としての観点が必要
→正解かつ、社会や従業員のための”最良”の選択をしなければならない - 日本語の教材が充実していない
→最近は充実してきているが、英語のものと比較するとまだまだ少ない。
実際、私がこれまで取得した資格(情報処理安全確保支援士、CompTIA Security+、Linuc等々)と比較しても難易度が高いと思いますが、
日本語の公式問題集やオンラインセミナーを活用することで、私のように独学でも合格できると思います。
是非、CISSP取得を目指している方は、試験範囲が変わる前にチャレンジしてください!!
コメント