セキュリティ界隈のみなさん、こんにちは!
今回は、グローバルスタンダードな資格である、CISSPの勉強方法について解説します。
ところで、CISSPに対して、次のようなイメージを持たれている方も多いのではないでしょうか。
- CISSPって独学で取得することは可能なのか?
- 取得にはどれくらいの期間やお金が必要なのか?
- 効率的な勉強方法はないのか?
CISSPの勉強方法に関する情報は、まだまだ日本では少なくイメージがつきにくいと思います。
本記事では、2024年現在、CISSPの合格レベルに至るために、効率的な勉強方法をご紹介します。
CISSPとは?
CISSPとは、国際非営利団体(ISC)² (International Information Systems Security Certification Consortium)が認定を行う、国際的なサイバーセキュリティ資格です。
認定を行うには、次のようなセキュリティ共通知識分野(CBK)の8分野について、深い知識を有していることを証明する必要があります。
- セキュリティとリスクマネジメント
- 資産のセキュリティ
- セキュリティアーキテクチャとエンジニアリング
- 通信とネットワークセキュリティ
- アイデンティティとアクセスの管理
- セキュリティの評価とテスト
- セキュリティの運用
- ソフトウエア開発セキュリティ
加えて、セキュリティ専門家としてフルタイムで5年以上の実務経験が求められています。
(なお、大学卒業学位取得者、あるいは(ISC)² が認める資格の取得者の場合、1年分の経験が免除されます。)
私自身について
私自身、CISSPを取得したのは社会人1~2年目であったので実務経験があまりなく、座学での勉強にとても苦労しました。
ただ、3か月間ポイントに絞った勉強を集中して行うことで1発合格することができました。(勉強方法は後述します。)
当時は、CISSPに合格しても何かスキルがついたようには感じなかったのですが、
色々なセキュリティ業務を経験していくうちに、次のようなメリットがあったと感じました。
・今までにやったことがない分野の仕事でも、フレームワークや考え方が頭に入っているので何をすべきかが分かるようになった
・より多くの専門用語を理解できるようになり、様々な分野(技術・管理・戦略系)の会話についていけるようになった
例えば、ソフトウェアの脅威分析を依頼されたことがあるのですが、CISSPでSTRIDE等の考え方を知っていたので、スムーズに業務を遂行できました。
また、建物の物理セキュリティを考える際にはターンスタイルやマントラップなどの用語が頻繁に出てくるのですが、CISSPで勉強していたので積極的に会話に参加できるようになりました。
このように、CISSPが対応する分野はとても幅が広いので、様々な領域でそのスキルを活かすことができます。
CISSP取得のメリット
また、一般的なCISSP取得のメリットとしては、セキュリティ資格の中で最もグローバルで認められている資格だからでしょう。
2021年7月にcouseraが実施した調査によると、他のスペシャリスト資格より3倍以上求人があるそうです。
また、給与水準も高く、グローバル調査機関Global Knowledgeの「最も稼ぐことができるIT資格Top15」によると、なんと5位の$151,853です。(※1~5位はより専門領域に特化した資格)
参考URL: www.globalknowledge.com
特に、外資系企業や監査法人、金融機関などで、監査やリスク管理などの仕事をする際には、必須条件であることが多く、国内でも情報セキュリティ確保支援士よりも優遇されることが多いです。
こんな人にオススメ!
・サイバーセキュリティで求められる知識全般を学びたい人
・将来的にグローバル企業への就職・転職を考えている人
・セキュリティの仕事を行う上での単価を上げたい人
CISSPの勉強方法とコンテンツ紹介
2023年現在、CISSPの勉強方法としては大きく2パターン存在します。
1つは、お金を大量に使える人向けです。ただし、その分短期で資格取得を目指せます。
もう1つは、コストを抑えたい人向けです。こちらは、受験者のバックグラウンドに大きく依存しますが平均的には半年〜を見ておいた方がよいと思います。
CISSPの勉強にあたって、お金を払えば大きく時間短縮することができるということは、1つのポイントです。
下記の勉強方法においては、私が実際に使用してみて良かったもののうち、CISSPで求められる知識を効率的に勉強できる教材に厳選しています。
※ 暗号やネットワークなどの本を紹介されているブログをよく見かけますが、CISSPとしてはオーバースペックであるように感じています。
個人的には、模擬問題などで分からないものを都度調べる方が効率的(必要十分)だと考えるので、本記事で紹介していないことはご容赦ください。
勉強方法① (ISC)² 公式トレーニングの受講
(ISC)2 公式トレーニング
(ISC)2 公式トレーニング
■ トレーニング期間
- 平日の5日間(09:30〜17:30)
■ 学習形式
- オンライントレーニング(ライブ配信)
- (ISC)2公認講師による、専用テキストを用いた講義
■ 費用
- 495,000〜550,000円(税込)
- ※試験費用は別途約91,000円程かかる
■ 配布物
- 日本語テキスト(冊子、電子版)
- 英語テキスト(電子版)
- 日本語確認問題(冊子、電子版)
- 英語確認問題(電子版)
- 日本語CISSP公式問題集(電子版)【終了後のアンケート回答者に配布】
https://www.nri-secure.co.jp/service/learning/cissp_training
結論から言うと、2024年現在、(ISC)2 公式トレーニングを受講することが最も良い選択肢だと思われます。
独学で勉強される場合、「新版 CISSP CBK 公式ガイド」や「CISSP公式問題集」をベースに勉強されていく方が多いと思いますが、全く学習効果が異なります。
上記資料の場合、セキュリティ共通知識分野を1つ1つ理解していくには適している一方で、試験問題(CISSPとしての)の勘所というのが掴めないことが問題です。
公式トレーニングでは、講義中に「CISSP的な考え方としては〜〜〜」と話されることがあるのですが、ここが最重要箇所となるんです。
また、講師陣が教える能力に長けているため、1つ1つの概念を学んでいくのですが、事例や関連性を含めて講義されるので、知識の定着がスムーズに行えることもメリットの1つですね。
とはいえ、約50万円とかなり高額なので、予算が厳しい方も多いと思われるため、比較的コストをかけずに独学できる勉強方法もご紹介します。
CISSPの勉強を始める際に最も大事なのは体系的な知識を得ることです。 2023年現在、日本語で学べる教材としては、公式トレーニングか上記CISSP講座しかありません。 上記のCISSP講座は、日本語教材として、クオリティが高く、簡単な言葉で1つ1つの概念を説明しています。 そのため、サイバーセキュリティ入門者でも分かりやすい内容になっており、アニメーションでCISSPの全体像を学べるので、CISSP学習のスタート地点として凄くオススメです。 また、公式トレーニングが費用面で受けにくいと思われている方も、まずはこちらの講義で学習のとっかかりを見出し、必要に応じて公式トレーニングの受講を考えられることがよいと思います。 本講義は1ドメインあたり1500円〜で学ぶことができるので、非常に取り組みやすいですね。 ただし、上記の講座だけで、CISSPに合格するのは難しいので、次に紹介するような書籍を使って知識を保管していきましょう。勉強方法② おすすめの独学方法
Udemy CISSP講座(日本語版)
CISSP公式問題集
こちらが独学でメインで使用する教材です。
他のブログ発信者や合格者の話を伺ってみると、ほとんどの方がこの公式問題集で勉強されています。
私自身も本書を2週することで、全ドメインの正答率を9割以上にし、徹底的に知識を詰め込んだ上で試験に望んでいます。
ただ、この問題集から始めるのはあまりオススメではなく、上記のような公式トレーニングやUdemyでCISSPの全体感を先に学んだ上で取り組まれる方が学習効率が高いです。
新版 CISSP CBK 公式ガイド
CISSPの独学といったら、CBK公式ガイドですよね。
本書の使い方としては、1ページ目から順番に読んでいくのではなく、都度分からない用語を調べるような、辞書的な使い方が最も良いと考えています。
というのも、本書はCISSPで求められる知識を網羅的に書かれたものなので、ページ数が膨大で、とても読み切れるものでは無いからです。
ただし、もし公式トレーニングを受講される予定があるなら、本書は不要だと考えています。
というのも、CISSP公式トレーニングでは、既に日本語資料を配布しており、そちらの方が内容的にも理解しやすいものになっているからです。
なので、全て独学でやられる方にオススメな本となります。
CISSP Exam Cram
CISSPは難しすぎる!って人のために
CISSPの勉強を始めるにあたっては、少なくとも1年間のセキュリティ経験があった方が良いと感じています。
経験は、大学での勉強でも良いですし、社会人としての経験でも良いですが、大事なのはCISSPで述べられている内容がざっくりでも頭に入ってくるかです。
公式トレーニングやUdemyは比較的初心者の方でも分かりやすく作られている印象ですが、もし万が一、全くわからないと感じたら一度ITやサイバーセキュリティの基礎を勉強するべきです。
CISSPを受ける前にオススメできる資格は「Comptia Security+」や「CEH」が丁度良いと考えています。
セキュリティコンサルタントにおすすめな資格をまとめているので下記もご覧ください。
まとめ
国内では、情報処理安全確保支援士よりも、CISSPを求められることが多くなってきています。
グローバル共通で認められている資格なので、セキュリティを志す人は、ぜひ取得を目指してみてください。
また、合格した人もぜひコメントで教えていただけると嬉しいです。
コメント