NRIセキュアテクノロジーズで、セキュリティコンサルタントをしている阿部と申します。前回、4か月でAWS全資格コンプリートするための勉強方法を紹介しました。紹介したときは、コンプリート後の2024年8月に追加された2つの資格(AI Practitioner -Foundational、Machine Learning Engineer -Associate)は未取得でしたが、どちらも無事1発合格し、改めてAWS All Certifications Engineersの条件を満たすことができました。
AWS認定資格を4ヶ月で全制覇したコンサルタントが語る『短期集中』勉強法
今回は、2025年2月にCISSPの試験を1週間で合格することができましたので、その勉強方法を紹介します。
CISSPは、国際的に権威のあるセキュリティのプロフェッショナル資格であり、セキュリティ共通知識分野(CBK)の8分野について、深い知識を有することを証明するものです。日本語で学ぶことができる教材としては、①公式トレーニングを受講する、②Udemy等のオンライン学習プラットフォームの講座を受講する、③公式ガイドブック及び公式問題集を用いて学習する、が考えられます。今回は、③公式ガイドブック及び公式問題集を用いて、1週間の勉強で試験を突破する勉強法を紹介します。
なお、私の経歴は前回の記事(4か月でAWS全資格コンプリートするための勉強方法)で紹介していますが、弊社のSOC・マネージドセキュリティサービスの業務を約7年経験しております。今回の記事で“1週間で合格”と紹介していますが、ある程度のセキュリティ業務経験を有した方を対象としています。ただし、未経験の方でも同じ方法で時間をかければ合格には十分到達できると思います。
セキュリティ対策とビジネスとのバランスを考慮する。
CISSPとは、組織において、セキュリティを体系的に捉え、技術だけではなくビジネスの観点も含めて、戦略的かつ公平な判断を下すことが求められる、と要約することができると考えます。具体的には、以下の3つの素養を備えているかが問われていると考えます。CISSPはセキュリティを用いて、ビジネスを円滑に進められるよう、経営層の意思決定を支援します。どのステークホルダーの役割を担っているのかを認識し、回答する必要があります。
特にビジネスオーナー、システムオーナー、データオーナーの違い、データ管理に関連する役割(データオーナー、データ管理者等)は、直感的にわかりにくいところでもあるので、公式ガイドブックや公式問題集の役割に関連する部分は、注意して読み込んでおくとよいでしょう。
セキュリティを体系的にまとめた国際基準やフレームワークが存在し、CISSPの公式ガイドブックでもいくつか紹介されております。全ての国際基準やフレームワークを覚えるのは難しいので、公式ガイドブックで詳しく説明されている、または公式問題集の設問があるものを覚えておくのがよいでしょう。
その中でも特に重要なフレームワークがあります。CISSPがセキュリティ対策を検討する際、1つのアプローチとしてリスクマネジメントフレームワークがあり、公式ガイドブックでもNIST SP 800-37※のフレームワークが詳しく説明されています。監査やコントロールの評価において、スタンダードとして長く利用されています。リスク対策の基本的アプローチであり、CISSPの問題を回答する上で参考になる考え方なので、NIST SP 800-37については、内容をしっかり理解しておきましょう。
※NIST SP 800-37
NIST(米国国立標準技術研究所)が開発したリスクマネジメントのフレームワークで、最新版は2018年2月に発行されたRev2。リスクマネジメントの活動には準備→分類→選択→実装→アセスメント→認可→監視の7つのプロセスがあり、システム開発ライフサイクルと連携しており、リスクマネジメントの各タスクは組織内のシステム開発ライフサイクルのプロセスと並行して、またはシステム開発ライフサイクルのプロセスの一部として実行される。そのため、アセスメントだけではなく、その後のリスク対策の導入から継続的な監視を行い、見直し・改善を行うことが重要であることを示している。
②原則だけで判断した場合、セキュリティがビジネスを停滞させる結果となる場合があります。例えば、資産管理にソフトウェアの製品ツールを導入することにした、としましょう。一見、資産の可視化がされ、適切なライフサイクル管理ができると思います。しかし、社内にソフトウェアの製品ツールを運用できる人員がいない、またはソフトウェアの製品ツールの運用ルールが曖昧な会社だとしたら、情報が更新されず、放置される可能性もあります。また、会社の規模が小さく、管理する資産が少ない場合は、Excel等で手動管理した方が、コストがかからないこともあるでしょう。どのような組織であれば、ツール導入が効果的であるか、導入後の運用も含めて考慮する必要があります。
CISSPはセキュリティを用いて、ビジネスを円滑に進めることが求められますので、状況に応じて、原則だけに捉われない対応が必要となります。以下に記載する判断基準を覚えておきましょう。
大量の知識詰め込みは必要ない。(知識だけ詰め込んでも試験は突破できない)「知識」より「原則」の読み込み(理解)に多く時間をかける。
公式ガイドブックはボリュームが多いので、隅から隅まで読み込むことはお勧めしません。「原則」の内容を理解するため、または、理解があやふやな「知識」を調べるために使いましょう。まずは、公式問題集で問われた内容を覚えましょう。
まず公式問題集を解いて、解説を読み込みます。例えば、インシデントレスポンス、IDライフサイクルのようにプロセスを段階的に問う分野であれば、「原則」に分類し、公式ガイドブックの書籍であれば、関連する部分に付箋をつけておきましょう。電子書籍であれば、関連する部分のページ番号を記録しておきましょう。「原則」については、ノート等にポイントをまとめるより、読み込んでしっかり腹落ちさせることが重要です。
「原則」に該当しない分野は、「知識」として、公式問題集を複数回解いてアウトプット重視で覚えていきましょう。ノートやPCのメモ等でポイントだけ抜粋して覚えるのもよいですが、全部をまとめていると、時間がもったいないので、苦手な分野(未経験分野)や、似た内容であるもの(例えば、本人拒否率 (FRR,タイプ1) : 正しいIDを認識できないエラー、他人受入率 (FAR,タイプ2) : 許可されていないIDを許可するエラー)
は、ノートやPCのメモ等でまとめる等、工夫をするのがよいでしょう。
まず抽出した「原則」を読み込んで、理解しましょう。ポイントとしては、以下を意識して覚えましょう。
注意したい点は、原則通りに覚えることです。例えば、SOC業務を行っている方は、インシデントレスポンスの部分について、いつもやっていることなので、一読すれば理解できると思います。ただ、いつも実施しているSOC業務が原則通りであるとは限りません。試験は基本的には原則を問いますので、原則通りに覚えてください。
「知識」について、対策やコントロール等は、情報セキュリティの3要素のCIA(機密性、完全性、可用性)と結びつけて覚えておきましょう。(暗号化は機密性、改ざん検知は完全性など)
また、モデルや手法の違いに関する知識は優先的に覚えておきましょう。例えば、以下のモデルや手法等です。
モデルや手法は、こういう状況ではこのモデルや手法が望ましいといった、原則(国際基準やフレームワーク)に近いものなので、正確に覚えておきましょう。
CISSPの試験は定期的に更新されますが、公式ガイドブックや公式問題集の日本語への翻訳にはタイムラグがあるので、最新のセキュリティ動向を収集しておくことをお勧めします。例えば、IPAの情報セキュリティ脅威の内容を見ておくだけでもよいと思います。弊社で、IPA「情報セキュリティ10大脅威2025」の脅威への対策を解説しておりますので、ご参照いただけると幸いです。
1問あたり1分程度で回答する。(長くても2分程度)
回答を終えたら、振り返らず、1問ごと集中する。
CISSPの試験は、最大150問(合格点に達していれば、最小100問)を3時間で解かなければなりません。1問あたり1分程度で回答しなければならないのと、1度回答した問題は見直しをすることができません。1つの問題に深追いし過ぎないで、回答をしていきましょう。
問題文を読んで、どのような組織のどの立場で(役割)、どのような国際基準やフレームワークの考えに基づき(原則)、どのようなビジネス観点で(判断基準)、判断を下すことが求められているかを把握します。
単純に知識だけを問う内容であれば、そのまま回答を早くしてしまいましょう。30秒考えても思い出せなければ、諦めて回答をしてしまい、次の問題に移りましょう。
私が受験した感想ですが、明らかに正答と異なる選択肢、問題文と関係ない選択肢が含まれており、回答は概ね2択に絞ることができます。ここで2択に絞れない問題は、原則の内容理解が不十分であるか、原則の似たような内容で、どちらのことを指すかをはっきり覚えていない場合が多いと思います。その場合は、判断基準で回答を導き出してみましょう。
ほとんどの問題は、原則、判断基準で回答を導き出すことができると思います。それでも回答が1つに絞りきれない場合は、どちらの選択肢がセキュリティを用いて、ビジネスを前進させることができるか、を考慮して絞ってみてください。CISSPは、セキュリティを用いて経営者を支援し、ビジネスを円滑に進めることが求められます。ビジネスを停滞させる選択肢は間違いである可能性が高いです。
CISSPの試験を突破することにポイントを絞って、記事を作成しましたが、いかがだったでしょうか。
私は、CISSPはセキュリティを用いて、経営者がビジネスを円滑に進められるように、支援する人である、と理解しています。セキュリティ(原則を理解していること)、ビジネス(判断基準を理解していること)どちらの観点も必要であり、どちらかに偏っていてもいけません。
CISSPの認定には、試験の合格とCISSP CBK 8ドメインのうち2ドメインに関連した5年以上の業務経験(条件を満たせば1年分の経験が免除可能)が必要です。そのため、試験自体も範囲が広く、知識を問うというよりは、様々な状況でビジネスとセキュリティのバランスをうまく取れた選択をすることができるか、が問われています。セキュリティの業務経験が豊富な方でも、すべてのドメインを経験している方は少ないと思います。CISSPの試験を通して、新たな知識の獲得、知識の棚卸や整理をすることができると思いますので、是非チャレンジしてみてください。
また、弊社ではISC2のオフィシャルパートナーとして、CISSPトレーニングを定期的に開催しております。各ドメインに関わる技術や概念、ベストプラクティスの定義を詳細に解説し、またドメイン間の関連性などについても理解を深めることができる内容です。より深く学びたい方はこちらの受講を検討いただけると幸いです。
本記事を読んでいただいた皆様にとって、CISSP取得の参考になり、チャレンジの後押しになれば幸いです。最後まで読んでいただき、ありがとうございました。