気合を入れるために (自分にとっては) ちょっと贅沢な筆記用具を買って臨んだ CISSP 認定試験だったのですが、無事試験を1発合格することができました。5日間の公式レビューセミナーを受講した他は前日に勉強した程度なのですが、 CISSP の条件となっている4年間のセキュリティ分野での実務経験があれば、この程度の試験対策で合格することは可能だと思います。 私の場合仕事の関係でネットワーク、暗号、アプリケーションセキュリティあたりはそれなりに知識がありました。 逆にそれがないと辛いでしょうね。(実務経験がなくても受験することは可能で合格後は「(ISC)2準会員」として登録されます)
レビューセミナーはその名の通り「レビュー」のためのセミナーで、本来は既に持っている知識をレビューするのが目的なのだそうです。 私の場合セミナーの前は何の準備もしていないので、もちろんこんな広範な知識を持ち合わせてはいませんでした。 範囲が広いのでセミナーはかなりのスピードで進んで行くのですが、それでもモジュールによっては 9:30 開始 21:00 終了というようなことになってしまいます。 泊り込みでもないのに 21:00 までかかる座学のセミナーは初体験でした。
試験時間は6時間に及び 250問の4択マークシートを解答します。 途中自由に休憩を取ることができるのですが、私の場合は休憩を取らず6時間フルに使いました。 時間が足りなくなることはあまりないと思いますが、私は全て見直しすることはできませんでした。 和文、英文併記で問題によっては英文もきちんと読んだ方が良いのですが、そうするとやはり時間がかかります。 英和辞典を持ち込むことはできますが、「辞書を引かなければならないようならば捨てる」と割り切って私は持って行きませんでした。 公式セミナーと試験は同じ回数開催されているようですが、受験者はセミナー受講者の3倍はいたように思います。 独学で受験する人もいるので合格率については何とも言えませんが。
セミナーのモジュールEでの模擬試験のスコアは 83/100 でしたが、本番の試験はこれより難しく感じます。 本番試験後に「完璧だった」と思える人はそれ程多くないのではないかと思いますが、 中には採点されないリサーチ目的の問題も含まれるとのことなので、 「よくわからなかったのはリサーチ問題」と考えたほうが精神衛生上良いと思います。 3/18 に受験して 3/29 深夜に合格通知メールが届きました。 「何とかなったかなあ」という気分ではいたのですが、やはり合格通知が来るまでは不安でした。 落ちたらまた6時間試験を受けるかと思うと憂鬱になります。
この試験の難しさはプライオリティをつけて解答しなければならないものがあることです。 イメージで言うと、「会社経営で最も重要なものは次のうちどれですか?」という問いに、
- 従業員
- 株主
- 取引先
- キャッシュフロー
の選択肢が並ぶような感じです。技術的な問題であればすっきり解答することができるでしょうが、 この類の問題は判断が必要なので難しく感じます。どのような観点からプライオリティをつけるのかを理解しておく必要があります。
どんな問題が出たかについては書くことができないのですが、 (ISC)2 の実力診断テストが目安になると思います。 ただし実際の試験は判断が必要な問題が混じってくるのでもう少し難しいでしょう。私は利用しませんでしたが、 CISSP CBKオンライン・セルフアセスメントを利用するのも良いかも知れません。
CISSP には有資格者のコミュニティがあり、日本には日本のコミュニティが存在するのだそうです。 セミナーの講師の方も「合格後またお目にかかる機会があるでしょう」と言っていました。 また、認定継続のために CPE というポイントを積み重ねなければならないのですが、これはそれなりに大変そうです。