今年の３月１日にCISSP（コンピュータセキュリティ系の試験）に無事に合格したのですが、その備忘録になります。

*多分、IT関係以外の人には全く興味がない話になるかと思われますｗ

www.isc2.org

昨年、大学を卒業して以降に就職活動をトロント内でしていたのですが、全く手ごたえもなく気力も無くなりそうな状態だったので、一つここは目先を変える意味も含めて国際的に有用な資格を取得した上で、就職活動すれば良いやと思い立ちCISSPを受験することにしました。（今年に入ってから）

１月末から２月末まではひたすら勉強に明け暮れていまして、卒業した大学にほぼ通い詰めていました。

＜勉強方法＞

1.公的な資格取得目的のブートキャンプを受講する。

５日間みっちりと朝８時から夕方５時までのオンライントレーニングを受講しました。

アメリカ人講師と１０人程度の受講生が同時に受講する形で、CISSP試験の試験範囲を網羅する形の講義と簡単な模擬テストという内容です。

（もちろん自分以外は、アメリカ人もしくはカナダ人という構成）

資格機関が主催するだけあってべらぼうに高いｗ

ずーっと英語を聞いていると頭が痛くなって、夜はグッスリと寝れましたｗ

おかげで、朝早くから学校に行くのもそんなに苦ではなかったです。

２.書籍を使って勉強する。

‐CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide

-CISSP Official (ISC)2 Practice Tests

-Official (ISC)2 Guide to the CISSP CBK, Fourth Edition

個人的には、これで十分だと思います。

本の内容を熟読してから、クイズを解いて自分の弱点を把握してまた本に戻るという形で勉強していくことがいいように思います。なぜなら、実際の試験では、同じ問題はまず出ないということ、理解した上で実際の状況でどれを選ぶか？的な判断させる問題が良く出題されるからです。そのためには、単語を覚えると共になぜそれが必要なのかを抑える必要があります。
（特にマネジメント、BCP、インシデント対応、評価、SDLC、開発の特徴や各プロレスをマネージャーとなったつもりで抑えておく必要があります。

３.公式アプリを利用する。

-CISSP Practice Tests

-FLASH CARD（公的トレーニングを受けたら、ネット上で勉強出来るツールとしてついてきたｗ）

-Quizlet（いろんな人が作ったフラッシュカードが見れるのとCISSP関連も挙げられている。）

本当に電車内とか、ちょっとした隙間時間に出来るのはものすごくいいです。これで、暗記するべき内容はかなり覚えた気がします。

４.無料のトレーニングを受講する

www.cybrary.it

公的５日間ブートキャンプトレーニングの後に、この無料のCISSPトレーニングコースを受講しました。二つの異なる授業を受けることで、必要な内容を細かくキャッチ出来たのはものすごく助かりました。海外のForumをみてもこのコースは受講者のほとんどが見ている気がします。

また、プレゼンテーションスライドが表示されているので、英語が分からなくてもある程度理解できるような内容になっていると思います。

自分の勉強スタイルとして、公的トレーニングビデオを２回見てその内容をノートにまとめる。また、フリーのオンライントレーニングでも見ながら重要なポイントをノートに纏めていきました。そして、カードや問題集を解いていく中で、自分の弱点を把握してさらに本やビデオを見直していくとことを繰り返し繰り返し行いました。

5.youtube

無料のクイズや講義をアップロードしている人がいるので、自分の知識を深めるためにこちらも隙間時間を使ってたまに見ていました。

＜試験について＞

ずっと英語の教材で勉強してきた訳ですが、日本語で受験しても英語も同時に見れるということで「日本語」での受験を選択しました。これは自分にとって非常に良い判断だったと思います。英語と日本語の両方を確認することで、問題文の意味を深く理解することが出来て落ち着いて回答することができたからです。（日本語だけの問題文をみると翻訳がかなりアレで、回答に窮する事も多々ありましたけどｗ）　逆に英語だけでも、二重否定が登場したりなんだりして分かりにくい英文もたまにあり・・・、その時は日本語に助けられました。

受けてみて思ったのですが、この試験を日本語文献だけで勉強するのはかなり大変だなって思いました。やっぱり英語ってこの業界だとある程度必要ですね。

あとは、現在英語版の試験のみがCAT（Computerized AdaptiveTesting）を導入してまして、試験時間がMAX3時間で１００問～１５０問出題されます。他の言語については試験時間６時間で２５０問出題されるというかなり肉体的にキツイ試験のままです。来年度以降変更があるかもしれませんが、これから受験する人は注意しておいたほうが良いと思います。（あとは、４月から試験ドメインが多少変更があるので、それも併せて注意した方が良いですね。）

＜試験を受ける際のアドバイス＞

1.CIAのどのカテゴリに属する問題なのかを把握する。
機密性、完全性、可用性、どの要素にかかわる問題なのかを把握した上で回答すると、回答しやすいです。また、選択肢もこの考え方でグルーピングしたり、排除することができる場合があります。

2.正解だけを追い求めない
不正解の選択肢について、なぜ不正解なのかを確認しながら勉強することが大事です。このプロセスによって内容に対する理解が深まって応用問題も解くことが簡単になっていきます。また実際の試験でもこの考え方で不正解の選択肢を排除するということが大事です。

3.定義を答えるのか、すべき行動を答えるのか必ず確認する。
what?なのか how?なのか問題文が求めていることを把握することが重要です。

4.問題文と選択肢は２回以上読む
時間は十分にあるので、落ち着いて理解した上で回答することが大事です。

5.計算が必要な時には必ずペンと紙を使う

脳内で行ってしまってケアレスミスを誘発することを避けます。（ただし、計算が必要な問題はそんなに出ないと思います。）

6.人の命が第一ｗ

人命に関する問題が出てきたら、99％人命を守るのが正解になります

7.Big umbrellaの方がより正解に近づくｗ

もしも、似たような２つ選択肢で迷った場合には、より大きな範囲をカバーする選択肢を選択すると正当率があがります。

8.試験範囲は膨大だけど、深くは求められないｗ（mile wide and inch deep）

マネージャーとして判断を問われる試験なので、法律、技術、業界標準プロセス、マネージメントプロセス等々、様々な内容を把握しておく必要がありますが技術的に深い所までは求められません。（例：暗号化技術の詳細な内容など）

9.この試験はテクニカルな試験ではなくて、マネージメント試験

回答者もマネージャーとしての判断を求められます。マネージャーとしては、出来る限りポリシーに従い、上層部と連携していく事が求められます。

10.best,worst,least.mostの問題が出たときには、しっかりと考えること

いくつかの正解がある中で、最善や最悪なものをしっかりと挙げる必要があります。　CIA的に何が問題なのか、ポリシーに従っているのか等々・・・知識を応用する必要があります。

これから、自分は実際の資格取得のためのプロセスに入りますが、周りにCISSPホルダーがいないので、元上司に相談して以下の英文の書類を作らないといけません・・・・。めんどくさいｗ

‐Copy of Certificate/Diploma/letter from University or other to support my waiver claim (if applicable)
-Proof of employment for each Job/Position form
-Contact Information for supervisor/reference of each position listed
(name, phone, and email.)

書類の不備やらなにやらもなく、１か月後には認定証が届くといいなぁｗ