CISSP公式ガイドブックをザクっと読んで考察してみる

Other tests その他資格・検定
この記事は約5分で読めます。

数日前に購入して、積読状態になっているCISSP公式ガイドブックを少し読んでみました。

その考察として、思ったことをブログしておきます。

現役の情報処理安全確保支援士(以下RISS)がCISSPを語っているブログがあまりなかったので、興味ある方もおられるかなと思います。

なお、自分は国際資格を何個か持ってます。

プロジェクトマネジメント系のPMP、サイバーセキュリティ系のCEH、テクニカル系のSJCP、MCDST、AWSCCPとかです。

研修費用など、会社から出してもらってたりしてたこともあり、それなりに勉強してたため全て1発で合格してきました。

そんな自分が今年に入り注目したのがCISSPです。

セキュリティ系というとCEH以外には、

  • 情報セキュリティ検定1級
  • 情報セキュリティアドミニストレータ
  • 情報情報安全確保支援士(試験)

なども取得していて、正直、あまり資格をたくさん取ると、資格マニアのようで、どうかと思ってますが・・

ただ、コロナ禍で少し時間もあるので、CISSPに挑戦してみようかと(考え始めてます)。

 

CISSPとは

CISSPは認定情報システムセキュリティプロフェッショナルということで、世界的にかなり評価の高い資格です。

有名どころのコンサルティングファームなどの人がよく名刺とかに書いている資格だと思います。

研修だけで50万、受験は8万円と、なかなか、費用面での難易度が高い資格だとは思います。

実務経験も5年程度必要です。

転職などでのアピール度合いはかなり高いと思います。

 

情報処理安全確保支援士との比較

世間では、情報処理安全確保支援士と比較されています。

大体、CISSPが上位で、情報処理安全確保支援士はその焼き直し又は劣化版という評価のようです。

ただ、このようなことを書いている方のほとんどが情報処理安全確保支援士ではないような気がします。

自分はCISSPの公式ガイドブックをザクっと呼んで、少し違う印象となりました。

あくまで、個人的な見解ということで、読んでもらえればと思います。

 

CISSP公式ガイドブックの考察

公式ガイドブックの問題を初見で解いて約6割程度の正答率となりました。

合格には7割程度必要とのことなので、少し勉強する必要があります。

CISSP試験について、よく聞く話が「この試験特有の難しさがある」ということです。

が、自分は公式ガイドブックの問題を解きましたが、その点は全然気にならなかったです。

多分、ほとんどの国際資格は欧米系になると思いますが、この手の試験が期待する受験者の思想や考え方が、PMPやCEHと同じだからだと思います。

この点、日本と欧米ではかなり違います。企業文化的なもの、雇用慣行的なものですが、日本の会社員としての常識で答えると間違います。

このあたり「CEHでポルノ発見→通報」「PMPで発注先より奢られる→断る」というシンプルな欧米ロジックを感じます。

日本だとまずは上司に報告だとか、よく飲みに行く発注先だとかで「まぁまぁ」という文化があるかなと。

あと、会社の上役の指示だから仕方ないとか、前任者がやってたから・・etcな感覚は全てアウトです。

なにこれ?と思うものとしては、物理的対策として、火災時における人命第一(これ結構CISSP特有とか言われてますが)とか。

 

一方、テクニカルな内容は初歩的なものが多く、多分暗記で十分対応できます。この点、情報処理安全確保支援士の記述問題の方が思考力という意味でのレベルは全然高いですね。

ただ、原理原則の考え方はCISSP独自の世界観があります。

特にセキュリティモデルなんかは、情報処理安全確保支援士では出題されません。Bell-LaPadula機密性モデル、Biba完全性モデル、Clark-Wilson完全性モデルなどです。

物理的な対策として、細かいことでは消火器のクラスCは電気火災とか。なぞなぞ博士になれそうな問題も多くあります。

その他、欧米の各種法規・ルール(HIPPAとか)や、NIST標準など、かなりマニアックな内容もあります。これはただ覚えればよいだけですが。

だらだらと書きましたが、まとめるとCISSPではセキュリティとしての知識ドメインは広がるとは思います。

ただ、日本でセキュリティ実務をやる上では、欧米の法規や物理的な対策など無駄が多いような気がします。

 

まとめ

所詮は資格なので、取得してからがスタートだとは思います。

とはいえ、スタートラインに立つときの最低限の知識を証明することは、これからも求めれられると思います。

まとめとして、

それを前提に、自分の持っているセキュリティ資格とCISSPの試験難易度を、学習難易度、問題難易度、認定難易度の3つで書いてみます。

学習難易度

高  CEH > CISSP > 情報処理安全確保支援士  低

CEHは最近Udemyでオンラインコースやその書籍が販売されているので、改善はしました。しかし、参考書は翻訳版は少ない(ない?)こともあり、集合セミナーの分厚いテキストの通読を強いられる。

ハッキングは実践が習得の近道ですが、環境準備も大変なので。まぁ試験合格だけなら暗記一本でも何とか対応できるとは思いますが。

CISSPは日本語のガイドブックと問題集が出揃い、google翻訳でWeb問題集も使えるようになったので、ここ数年で学習難易度はかなり下がったと思います。

問題難易度

高  情報処理安全確保支援士  > CISSP≒CEH  低

CISSPとCEHは管理系or技術系のバックグランドにより、難易度が大きく左右されると思います。

Linuxやルータ管理系のコマンドを実務でやったことがないと、CEHは厳しいと思います。

最も問題難易度が高いのが情報処理安全確保支援です。

情報処理技術全般の幅広い知識が必要となることや、午後問題で読解力と記述力を問われるためです。

認定難易度

高  CISSP > CEH  >or≒ 情報処理安全確保支援士

認定に業務経験が必要なCISSPとCEHは認定難易度は高いです。ただ、CEHは50万円のセミナー受講で実務経験は申請不要となります。このため≒もある。

情報処理安全確保支援士は申請だけですね。

費用的には情報処理安全確保支援士は3年14万円で定額です。

CISSPとCEHは年1~2万円の会費と、3年間で120CPE(時間)の継続学習が必要です。これはやり方により費用は大きく増減します。

 

ということで、個人的な考えではありますが、今後、これら資格を取得する方の参考になったのではと思います。

何かリクエストがありましたら、コメント下さい。。

コメント

  1. 通りすがりのCISSP より:

    いつも拝見しております。

    可能であれば、CEHに合格する方法などを公開頂けないでしょうか。

    当方、CISSP,CISAは保有しておりますが、技術を保管するため受験を検討しております。

Copy Protected by Chetan's WP-Copyprotect.