CISSP受験記(2025年7月)
CISSPを受験し無事合格したので、勉強方法等を記します。
BackGround
NWの保守やCSIRT、セキュリティマネジメント等に数年の従事経験あり
現在は脆弱性診断やペネトレーションテストを主サービスとする企業にてPMぽいことをしています。
保有資格としては
セキュリティマネジメント、情報処理安全確保支援士、CEH,CRTP,OSWP等…
CISSPについて
この記事にたどり着いた皆さんには言うまでも無いでしょう。
詳細は以下リンクよりご確認ください。
https://japan.isc2.org/cissp_about.html
試験形式について
他のBlogでも記載されているとおり、CAT形式での試験となります。
https://www.isc2.org/certifications/cissp/cissp-cat/cissp-cat-japanese
Q:CISSPのCAT試験では、何問の問題が出題されるでしょうか?
A:CISSP CATは可変長コンピュータ適応型試験です。各受験者には、最低100問、最大150問が出題されます。合否判定を受けるには、受験者は最低75の採点問題に回答しなければならず、125以上の採点問題に回答することはありません。各試験には、試験の一部として25の予備試験問題、または採点されない問題が含まれます。予備試験問題は、今後の試験に含めるために評価される問題です。受験者は、採点問題と予備試験問題を区別できないため、受験者は各問題を慎重に検討し、提示された情報に基づいて最良の選択をする必要があります。
CISSP試験には、試験概要に記載されている通り、8つのドメインがあります。適応型試験として、試験問題は受験者に合わせて調整され、各ドメイン内の概念について習熟レベルを示すことができます。
100問の試験に合格した受験者は、全ドメインを通じて十分な概念を習得しており、習熟度を証明することができます。100問の試験で合格しなかった受験者は、最低合格点を達成するために必要な習熟度を、十分なドメインを通して示していないことになります。100問を超えた受験者は、いくつかのドメインで熟練している可能性がありますが、追加項目の提示により、最低合格点を達成できるよう、他のドメインでの熟練度を証明し続ける機会を与えられます。
難しいことが書かれていますので、chatgptに要約させると
① 信頼区間ルール(早期終了)
100問以降で合否が95%の信頼度で確定した場合に終了
100問で終わるのは「合格」または「不合格」が明確なとき
② 最大問題数ルール(150問)
合否が100〜149問で決まらず、150問すべて解く
最後の75問の中で 一度も合格基準を下回らなければ合格
③ ROOT(時間切れ)ルール
3時間で時間切れの場合
最後の75問の中で合格基準を一度でも下回ると不合格
このような終了条件となるようです。要は受験者の回答精度によって取り組む問題数が変わるということですね。
(追記)私は150問解いたので、合否ギリギリのラインをさまよっていたと思われます。
回答数が100問を超えても焦らず、取り組みましょう。(CATの都合上、時間が無いからと焦って適当に回答を進めていくと非常に不利になるので注意)
試験準備
https://amzn.asia/d/7ZbsxLh
これを2周しました。(模擬試験は1周ずつ) 他の方の体験記を読むと、公式問題集を見て腹落ちするまで読み込むことと書かれていることが多いですが、私はそこまで行っていません。
(2周目では答案を覚えていたので爆速で回しました。が、これはおすすめしません)
単純に知らない用語が出てくれば、解説を見てそれを覚える。ということを実施しました。
もし不安であれば腹落ちするまで見てもいいと思うのですが、支援士取得者やCSIRT業務を行っている方などは、公式問題集に出てくる単語で知らない用語があればググって覚える位で良いと思います。「広く浅く」が大事かなと。
さて、次がおそらく重要です。
https://youtu.be/qbVY0Cg8Ntw?si=ffBfYeVwNa4LPI9t
詳しくは言いませんが、この動画を見てCISSP的考え方を身につけましょう。そして、公式問題集との問題のレベル差等を把握してください。
MOST,BEST,LEASTやPREVENT,DETECTの違いをはじめとして、例えば
「一番大切な対策はどれか A,B,C,D….」といった問題が合ったときに、「AもBもCもDも正解だろ」といった意見を持つことでしょう。しかし上記動画で詳細解説されていますが、そんな考えは捨てましょう。CISSPでは選んだ一つの対策しか実行できないと考えましょう。
他にも重要なエッセンスが紹介した動画に詰められています。
このアンドリューさんの講義を見たから合格したのか否かは定かではありませんが、少なくとも私が回答の際意識したのはこのアンドリューさんの動画から得たエッセンスのみです。
(アンドリューありがとう…)
最後に
試験合格後はエンドースメントに関する案内が来ますが、まぁ〜〜〜〜〜これがめんどくさい。
私はCISSPメンバーになるための経験年数を保有していますが、転職をはさんでいるため当時の上司の氏名、電話番号やら記入せねばならず非常にめんどくさいです。試験合格して盛り上がったタイミングでやりきってしまうことを推奨します。
会社から受験・勉強費用は出ませんので前回の記事に続き今回も個人ですべて支払っています。
今後必要になるCPEの維持費等も含め、個人で支払った以上の賃金を今後受け取れるよう切に願う。
(ちょうど七夕シーズンなので、年収爆上がりをお祈りしておきます)
CISSP試験に挑まれる皆様のご検討をお祈りしております
