先日、CISSPを受験しました。
結局2週間前までほとんど対策せず短期決戦となりましたが合格できました。(教訓:人は追い込まれてこそ輝く)
www.isc2.org
試験概要
出題形式:250問(日本語・英語併記)、四択
受験費用:749米ドル
受験費用は約8万円。一発合格を狙う最大のモチベーションといっても過言ではありません。
試験時間は6時間で一問あたり平均約90秒で回答するイメージです。朝8時からなので体調管理も大事かもしれません。
自由休憩(飲食・トイレ)することができ、私は2回トイレに行きました。
入退室に必要なアクセスキー以外(身分証やロッカーの鍵)はロッカーに封印するため、資料の参照はできません。
試験当日
開示は禁止されているため、具体的な試験内容は控えますが、ぱっと見は情報処理技術者試験でみるような4択と同じ形式です。
ただし、正解の選択にそれなりの知識と思考が要求されるため、一筋縄ではいきません。
例えば、通常の4択では明らかな正解1つと明らかな誤り3つが並ぶことが多いですが、CISSPの試験ではその常識があまり通用しません。
正解か誤りのどちらかといえば正解といえるような選択肢が2つ3つ4つ並ぶものが大半で、最も正しい(優先されるべき)選択肢を選ぶことになります。
そのため、選択肢の技術対策や運用対策は何を解決できるのか、どこまで信頼できるのか、どこまで問題文の状況に適しているのかをその場で見極める力が重要になります。
つまり、設問に出てくる用語は知っていて当然、選択肢を吟味することが求められます。
加えて、単純にビジネス、ガバナンス、マネジメント、プロシージャ等、カバー範囲が広いため、回答はより難しくなります。
所感としては、即答できたのは6割程度。3割は選択肢を絞って考え込む。1割は選択肢の内容(問題文や単語や意図)が一部理解できずに鉛筆コロコロでお祈りといった感じでした。
迷った際は、問題文を一言一句を確認して本質的に何を聞かれているのかを再認識。英語文面も参照して認識に違いがないかを再確認。そのうえで考え込むといった方針をとりました。
特に、日本語は「検証されて検証された」がverifyとvalidateであったり、「管理と管理」がmanagementとadministrationなど、判断に影響のあるガバガバ翻訳の場合もあるので、英語とのハイブリット方式で回答するのがよいと思いました。試験当日も上記のようなケースがあり、10問ぐらい新次郎の顔が頭から離れませんでした。(ファッキュー)
試験が終了すると、その場でこんなレポートがもらえます。
知識のインプット
前述のとおり当日の試験では、いつ(特定時点または特定期間)、どこで(組織、部門、物理的な施設)、だれが(役割、権限、責任)、何を、どのように実行すべきか。その中で最も優先されるべき選択を理由付けして判断できる必要があります。問題文の意味が分からなければ正しい選択肢の中から最も正しい選択肢を吟味することすら叶わないため、ある程度の知識習得は必須になります。まずは、CISSPセミナーのテキストや公式問題集を読み込み、なんとなく重要そうな単語や考え方をインプットしていきました。注意点として、技術要素や物理設備の性質自体は、CISSPや国内外を問わずに普遍的に通用知識になりますが、それらの捉え方や考え方自体はCISSP固有であるケースもあります。ですので、実務経験者からすると、他の資格やガイドラインと言ってることが違う、自身の業務では全く違う考え方を採用している、自身が所属している組織にはアンマッチというようなケースもあります。それらはあくまで「CISSPとしての考え方」つまり、米国でスタンダードなナレッジの一つと割り切って捉えるべきかと思います。とはいえ、IT業界でコーポレートから技術まで幅広いレイヤで頂点に君臨する米国基準であることには変わりませんので、あくまでベストプラクティスの一つ、されど米国の標準資格といった心持で臨むと気持ちよく勉強できる気がします。
CISSPでは頻繁に問題が更新されるらしく、過去問や公式問題集の内容がそのまま出題されることはありません。一方、出題形式が変わって同じ単語が登場する可能性はあるため、単語自体や単語の意味を抑えておく意義はあります。少し意識した点としては、略語のみならず正式名称まで確認をして、選択肢や問題文に略語が登場した際に意味を把握できるようにしました。多岐にわたる分野から様々な略語が登場する点や正式名称で概ねの概念を把握できる点から、略語の意味が分からず失点するケースを防げるかと思います。
回答訓練
CISSPで問われる本質は単純な知識ではなく知識を含めた「CISSPの」考え方です。そのため、それらを根本的に身につけておかなければ失点を重ねることになります。
せっかくなのでCISSPチックな4択を用意してみました。
こちらをベースに回答のイメージを紹介したいと思います。
組織の情報セキュリティにおいて最も重要視されるべき概念を選択してください。
1.情報資産を適切に保護してビジネスの継続性を支援する
2.有効かつ効率的なナレッジや技術を導入し情報システムの堅牢性維持に努める
3.技術、運用、物理の観点から網羅的に対策を実施することで情報システムが保有するリスクの低減に努める
4.ガバナンス、マネジメント、プロシージャの取組みにおいて組織が保有する情報資産の価値を向上させる
情報セキュリティでは価値のあるものを保護することが重要になりますが、組織で守るべきものには「ビジネス」という「組織の最大ミッション」に影響する資産が該当します。
これには、物理資産やプログラム資産、その他ビジネスで取り扱う顧客情報まで様々なものが該当します。
ここで注意すべきなのは、資産は技術関連に限定されないことです。技術資産のみが保護されていたとしてもビジネスリスク(漏洩による法的責任、レピュテーションリスク、ビジネス優位性の喪失)を内包する資産への保護が疎かであれば組織の事業継続に大きな影響を及ぼします。最終的に技術対策が必要になるケースは多いですが、それ自体が最優先の目的ではないことは認識しておく必要があります。
2はビジネス視点の文言が抜けている点から正しくはあるものの、1には劣ると考えています。
また、情報セキュリティの取り組みはあくまでビジネスの支援です。情報資産の価値を向上させることが主目的ではなく、資産のビジネス価値が損なわれないようにする、損なわれたとしてもビジネスに影響が出ないようにすることが重要です。この点においては、資産に対する分類(classification、categorize)・分析を行ったうえで脅威・リスクを洗い出し、回避、転嫁、低減、受容から適切なリスク対応戦略をとることも求められます。3では、リスクの低減に努めるとありますが、これが必ずしも正しいとは限らず、対策コストの方がリスク顕在化による損害よりも高くつく場合、あえて対策をしない「受容」戦略をとることも検討すべきといえます。4についても「情報資産の価値を向上」とあるため、1の方が適切と言えます。
このように、ビジネス視点からトップダウンに資産を保護していくことが組織における情報セキュリティの根本的な考え方になります。
まずは、抽象的な方針が定義されたポリシが定められ、それに沿ってベースライン(最低限の基準)やスタンダード(標準)に落とし込み、より具体的なプロシージャを実装していくような流れは、CISSPの各ドメインでも登場してきます。情報セキュリティの観点から組織がどういう状態であるか(何もできていないのか、ある程度対策できているのか、どこに問題があるのか)を判断して適切な解決策を選択できるようになることを目標としておくと、自分が何を勉強しているのかを見失わずに済む気がします。
なお、CISSPで導入すべき技術やナレッジは必ずしも業界最先端のものである必要はなく、信頼性が担保されたものも推奨されます。ベストプラクティス(NIST)などの情報を取り込むところもこれらが反映されていると思います。
あとは細かいテクニックですが、合格ラインは70%となっているため、極端に失点を恐れる必要はない気がします。50%-60%程度に自信をもって回答できていれば、2択に絞れた問題も半分以上は回収できるはずです。また、CISOあたりに求められる知識が中心のため、各要素に精通している必要はありません(たまに出題されますが捨て問と判断して差し支えないないです)。単語をみて大まかな特徴、メリット、デメリットが理解できていれば大半の問題は回答可能です。ただ、同じ用語であっても日本でよく扱われる意味とCISSPでの捉え方に齟齬があるケースもあるので、事前に知っている単語でも定義や扱いを確認しておくとよいかもしれません。
所感
CISSP自体は、幅広く浅くといった感じで各領域で求められるのは概要レベルの知識です。ですので、これ単体でセキュリティプロフェッショナルとするのは正直疑問です。
例えば、TCPであればSYN、ACKを聞かれる程度でパケットレイアウト等まで言及されるようなことはおそらく稀です。関連ガイドラインについてもどのガイドがどの分野のガイドなのか、どのような内容が定義がされているのか程度が主で、一言一句覚えるようなことは必要ありません。また、CISSPホルダであっても、2要素認証を実装してください、WAFをチューニングしてください、脆弱性診断を実施して修正対応まで実施してください、インシデントレスポンスでログ解析してくださいといった具体的な作業では手が止まる気がします。総括すると、セキュリティ責任者などの上級職や関連する従業員は取得すべき資格ですが、必ずしも万人にフィットするものではなさそうです。ここら辺は他にも関連資格があるようなのでもしかするとサポートされているのかもしれません。
最後に、試験とは関係ありませんが、勉強してなんとなく感じたのは、やはり人の扱いが米国と日本で異なっている点です。米国では個人に過度な期待をしない、言い換えると人はミスをしたり、少なからず感情的に行動して、非合理的な行動をするものと判断しています。そのため、米国の基準や規則ではそれを織り込み済みでルールや対策を整備し、上級職がそれらの管理・説明責任を負うという形態が構築されている気がします。例えば、従業員が技術的な最小権限が付与されているにもかかわらず誤って機密を公開してしまう、解雇を理由に論理爆弾をしかける、個人的な利益のために営業秘密を他社に持ち出す、運用者が操作を間違えてシステムデータを削除してしまうなど、様々な人的リスクがありますが、CISSPではそれらも考慮のうえでトップダウンに教育、トレーニング、NDA(秘密保持契約)、デュアルチェックなどでリスク管理を行っています。たとえ、リスクが顕在化したとしても組織としての責任は十分に果たしているため、残りの責任は従業員に擦り付ければ組織が守られます(事業継続できます)。一方、日本では個人の働きに過度に期待するケースがよく見受けられます。これは、米国では上級職が担うべき管理責任や説明責任までを末端の従業員に押し付け、結果的にリスクが顕在化した際の対策が取られておらず被害が拡大する、レベルの低いインシデントが世間に露呈する、挙句問題をうやむやにしたまま言い逃れる、といったことに繋がっているように思います。つまり何が言いたいのかというと、会社・組織がうまくいかないのは若手社員のせいではなく、だいたい経営層や管理職のせいです。CISSPではリスク管理の観点から組織を俯瞰するスキルも多少身につくので、問題が起こったときに自分が悪いのか否かを判断して自分を守れるようになることも重要だと思いました。
おわり
