情報セキュリティ国際資格 CISSP の勉強方法
及びセキュリティの e ラーニングのご紹介
ご協力のお願い
zoom 聴講者はチャットか Q&A でリアクションして頂けるとありがたいです
リアクションないとものひとりごといっているような感覚に陥ります
他のセッションでも同じなのでよろしくおねがいします
youtube のかたは twitter ハッシュタグ #osc21on
zoom より 30 秒程度遅れます
あんた誰よ ?
株式会社サイバープロテック顧問
CISSP 2020/1 取得、情報処理安全確保支援士
matomo (Piwik) Japan — 自サーバーに導入できる web アクセス解析プラットフォーム
株式会社サイバープロテック
サイバーセキュリティの e ラーニング研修専門アカデミー
- 代表取締役 岩下廣美(公認会計士、米国公認会計士、システム監査技術者、CISA、CISM、CISSP)
おしながき
14:00 - 14:30 情報セキュリティ国際資格 CISSP の勉強方法
14:30 - 14:45 株式会社サイバープロテックのご紹介
サイバーセキュリティの e ラーニング研修専門アカデミー
講師募集中です
CISSP とは — 実施団体
CISSP(Certified Information Systems Security Professional) 認定資格とは、 (ISC)² が認定を行っている国際情報セキュリティ・プロフェッショナル資格です
(ISC)² (International Information Systems Security Certification Consortium: アイエスシー・スクエアー) 拠点フロリダの国際民間非営利団体
CISSP とは — 地域
情報処理安全確保支援士が通用するのは日本国内だけです
だからといって支援士を否定するわけではないです。 お間違いなく
自衛官が取得
兵器はコンピューターだし、第五の戦場は — サイバー空間
- だって、わたしが決めたんだもん陸上自衛隊システム防護隊 伊東 寛 初代隊長
CISSP とは — 求められる領域
便利かつセキュアなコンピューターの利用
コンピューターは道具です
道具の使用をセキュリティのために制限しないように努めます
セキュリティのためなんでもかんでも NG にする考えが NG
マネージメント層向けです
- 支援士のように枝葉末節は問われませんだからといって支援士を否定するわけではないです: 再掲
CISSP とは — 資格別収入比較
CISSP とは — NARIC の見解
- (ISC)² @ISC2_Japan (twitter 2020/5/13)イギリスの国家機関であるNARIC(National Academic Recognition Information Centre)は、CISSPが修士号と同等の価値があると発表しました。
CISSP とは — 厳密に言葉の定義を行います
- Policy: 従わないとならない。 短い文。例: 当社のセクシャルハラスメントポリシー
- Procedures: 従わないとならない。 様々なタスクの実行方法を具体的に指示。pascal 言語は procedure ですよね
- Standards: 従わないとならない。 具体的な仕様。例: 当社で使用するノートパソコンには norton untivirus をインストールすること。
- Baselines: 自分の判断で使う。 Standard の根拠となる統一基準。例: Group Policy in Windows
- Guidelines: 自分の判断で使う。 アドバイス集。例: サイバーセキュリティ経営ガイドライン
CISSP とは — 取得者数
試験範囲
とにかく範囲が広いです
2019 年 5 月、さらに cloud 関連セキュリティが追加される
試験内容
699 米ドル + 消費税、約 85,000 円
4 択が 250 問、6 時間
日本語選択時は原文(英語)を参照可能
新宿か梅田でいつでも受験可能、Pearson VUE のサイトで予約
日本語? 英語?
もともとの試験が英語なので英語で勉強しましょう
ただ、(私の場合)恐ろしく時間かかりました
google 先生に電子辞書、DeepL なんでも使いましょう
英語だと safari が使える=教材が多量かつ安い → 後ほど
日本語でも受験できますが、英文の訳です
試験はどの言語であれ、原文の英語を参照できます
英語では単語の意味を厳密に定義したうえで問題が構築されている
日本語だと試験問題の訳がたまにぶれてます
Authentication と Authorization が日本語だと両方 認証
third party が サードパーティ、関連会社だったり
ぶれにあたったときは英文参照が必須となります
日本語でもぶれないように努力はされているそうです…
CBK(Common Body of Knowledge) 本
Conrad 本
読み込めば 60-70% くらい問題の正解を選べるようになります
cloud 関連の記述はありませんが、公式問題集二版で十分 → 後ほど
safari に入った! → 後ほど
CBK 公式本
(ISC) 2 CISSP Official Study Guide, 8th Edition
英語だったら safari にある
日本語版 2019/7 に出版。現在、紙は中古のみ、kindle はあるが 高杉
辞書がわりにつかう。全部読むとか無茶しないこと
紙はやめといたほうがいいんじゃないでしょうか
問題集
OFFICEAL PRACTICE TESTS 公式問題集(英語)
CISSP OFFICIAL PRACTICE TESTS 第一版、第二版(両方とも safari にあり)
公式問題集はこれだけなので、大事につかいましょう
仕上がりを見るために使う
CBK に 2019 年 5 月に追加された cloud 関連は第二版で十分 → 第一版にはない
第一版とあわせて見ておいてもよいでしょう
第二版は CBT (Computer Based Training) あり → 後ほど
OFFICEAL PRACTICE TESTS 公式問題集(日本語)
CISSP OFFICIAL PRACTICE TESTS 第二版日本語
非公式問題集 CISSP Practice Questions Exam Cram 第 4 版
出版社はピアソン(試験予約サイトね)
がんがん解く。知らない単語は調べあげる
暗号方式についてこれでもかと出題アリ
第 5 版 は amazon で検索できるもののいまだ刊行されず → 第 4 版は cloud 関連がない
非公式問題集 CISSP Practice Exams, Fifth Edition
工学系であればおなじみの McGraw-Hill、少し古いけど日本語訳あり
公式問題集と比べ斜め上から考えさせるいい問題集だと思う
Shon Harris (March 27, 1968 – October 8, 2014)
残念、共同著者のひとり Shon Harris さんは亡くなっています
CBT あり → 後ほど
CBT (Computer Based Training)
CCCure
1 年で 200 米ドルだったと思う
いろいろあるけど CISSP 関連は 1500 問ほど
問題を作りたい人が投稿できるサイトです
パクり、解答が怪しいのも散見、だが domain 4 はどれよりも最強
怪しい問題を調べまくるのもまたよし、力はつく
SYBEX (ISC)² CISSP Official Practice Tests, 2nd Edition
CISSP Official Practice Tests 第ニ版 に書いてあります
下でお見せしている web サイト URL が書いてあるだけですが…
CISSP Official Practice Tests 第ニ版 を持っているかの質問がありますので、答えてください
公式問題集は仕上がりを見るために使いましょう
McGrawHill Education
CISSP Practice Exams, Fifth Edition の Appendix の CBT 解説をみてください
はやく気づけばよかった
コピペができないのでプラグインで解除します(下記は Firefox の場合)
Absolute Enable Right Click & Copy (Firefox)
Boson Kit for (ISC)² CISSP
USD $189
Boson さん、相当自身があるみたい。大激論 → Reddit.com CCCure or Boson?
- 3 年毎に CISSP を失効させて、試験を受けてる…I lapsed CEUs - on purpose. I know I’m going to have to take the exam every three years, so I have no need to keep track of CEUs. * CEUs; Continuing Education Units (CPE: Continuing Professional Education と同等)
CCCure に金払ったので使ってはないです… でもよさそうです
「下手ほど筆を選べ」
O’Reilly Safari Books Online
全部あります
(ISC)² CISSP Official Study Guide, 8th Edition
CISSP Official (ISC)² Practice Tests 第一版、第二版
CISSP Study Guide, 3rd Edition (Conrad)
CISSP Practice Questions Exam Cram 第 4 版 (ピアソン)
CISSP Practice Exams, Fifth Edition, 5th Edition (McGraw-Hill)
メールアドレスは必要なものの認証プロセスなし、 10 日間即試用開始
kindle
紙は重たいの持って歩けないし、辞書と連動しているので必須
残念なことに付属辞書は複数語が超貧弱なので英次郎から Kindle 用辞書を作製
-
ただ、辞書サイズ縮小化が目的となってしまいデータを削り複数語の検索ができないようにしている
複数語こそ英次郎の持ち味なので縮小化しないように改造が必要
少し古い英次郎が必要なのでヤフオクで
-
calibre - E-book management
kindle で読めるようデータをつくる
電子書籍からまるごとコピペして google 翻訳にかけるのに重宝
safari から LibreOffice に貼り付け → calibre で emobi 化 → kindle へ転送
カード学習ソフト Quizlet
調べた単語は英単語記憶のように全てつっこみます
単語帳作るだけで結構覚えられるので CISSP の勉強 = 単語帳をつくるでいいんじゃないかと
CCCure のわからない単語を徹底的に検索し単語帳へ
スマホと連動できるので、通勤中単語の復習が可能
Quizlet CISSP 単語集
取り組み方(1)
Conrad 本を一度読みます
CISSP Practice Questions Exam Cram 第 4 版を解いていきます
わからない(あやふやな)単語、略語は今一度解答前に調べます
調べた結果は単語集としてまとめます
いい図面、PowerPoint は紙でコピーして手元におきます
通勤中は Conrad 本二周目に入ります
CCCure を解きます
ここでも解答前に調べてよし
取り組み方(2)
CISSP OFFICIAL PRACTICE TESTS 第二版 で Practice Tests (全ドメインのガチ想定問題) を 除いたドメイン毎 のテストを解きます
ここでも解答前に調べていいですが、それでもどこのドメインが弱いか得点にあらわれます
弱いドメインのどの単語を覚えていないか控えておきます
解答前に調べても 8 割程度しか正解しないときは公式問題集以外で再勉強です
貴重な公式問題集を消費しない
弱い単語を覚え、弱いドメインは Conrad 本(3 周目)で復習
取り組み方(3)
CISSP OFFICIAL PRACTICE TESTS 第二版 Practice Tests を解きます
解答前に調べてもいいですが、正答率 9 割を目指します
すこし解いて 9 割でなければ、弱いドメインの復習
Practice Tests は約 250 問
貴重な公式問題を消費しない
弱い単語の復習に専念します
の進捗をみつつ試験会場の予約をします
仕上がりが芳しくなければ試験日をリスケ
6 時間 250 問なので解答時間はあまり気にしなくてもいいです
セキュリティスペシャリストの午後 1 の基地外ぶりと比べると…
試験当日 — 持っていくもの
運転免許証と図書館のカード
アメリカ基準(たぶん)で公的に発行したと認められるもの
一つは写真入り
食料 、水
弁当も可能だが、ロッカーが狭いことも想定しましょう
試験当日 — 試験中
いつでも休憩で退出可能です
いちいち静脈認証するので面倒ではあります
眼鏡もいちいちチェックされます
試験当日 — 試験後
時間が来ると自動終了します
データの submit は試験官が行います
submit して即座に結果がわかります
クールダウンする間もなく、落ちた時は悲しいものがあります
試験当日 — 試験結果
不合格は A4 二枚、合格は一枚、だから、内容見なくてもわかる
一回落ちたから知ってるんです (w
合格後の手続き — 必要なもの
CISSP フォルダー(すでに取得しているということ)の推薦
職場に所属している(いた)ことの証明
職務経歴書
初年度会費
合格後の手続き — CISSP フォルダーの推薦人を探す
フルネームと (ISC)² の会員番号が必要
推薦文まで用意しろとはいわれません
ただし、推薦人は提出された職務経歴書についてコメントを求められます
知り合いいなければ (ISC)² に相談するか、私でもいいです
2020/12 に OSC の発表が縁で一名推薦しました
合格後の手続き —会社の所属証明書
形式はなんでもいいけど 英語 で
推薦人がみるので、日本語でもいいのかもしれない?
わたしはこの通りに書いてくれ ↓ と、前職社長にお願いしました
合格後の手続き — 職務経歴書
Candidates must have a minimum of five years cumulative paid work experience in two or more of the eight domains of the CISSP CBK.
A4 二枚程度で (ISC)² が要求する 5 年、2 ドメイン以上の関連を書く
経営者層(C-level)とか、情シス、ベンダーにセキュリティ対策とかインシデントにおいてどう 自分がつないだのか を詳しく書く
自分がつないだのか が先方によく理解されないと職務経歴書の書き直しとなります
推薦人がうまく説明できるようにネゴっておきましょう
合格後の手続き — 年会費をクレジットカードでお支払い
職向経歴があると (ISC)² に認められれば、年会費の支払いをもって完了です
13,914 円(125 USD)/year
支払い後即座に ISC² マイページ より CISSP ホルダー証明書が PDF で発行可能です
紙の証明書がきます
二カ月近くかかります
オンラインであれば PDF 証明書を年会費支払と同時に発行できます
