CISSP受験体験記

CISSPの試験に合格しました。勉強期間は約4週間で、幸い一発合格できました。

CISSPは米国発のセキュリティの認定資格で、国際的に認められています。セキュリティ業界では有名な資格ですが、日本ではCiscoOracleの資格と比べるとあまり知名度はないかもしれません。

試験の内容は、NDAにより一切口外してはいけないことになっているので、勉強方法や受験の流れについて振り返ってみたいと思います。

CISSPを目指す方の一助になれば幸いです。

勉強方法

まず、CISSPの試験はそれなりに難しいです。少なくとも、IPA情報セキュリティスペシャリスト(今は情報処理安全確保支援士というださい名前の試験に変更)と同等かそれ以上の難易度という感想です。 難しいと思った理由は主に3つです。

(1) 範囲がすごく広い

CISSPの試験範囲は8つのドメインに分かれていますが、その1つ1つで本が何冊も書けるんじゃないかというほど広いです。 問題集には、裁判の進め方からNmapコマンドのオプションまで出てきます。全てに精通しているような人は超人だと思います。 私は、IPAネットワークスペシャリスト情報セキュリティスペシャリストを取得していますが、それでもカバーできるドメインはせいぜい3つか4つくらいだと思います。

(2) 問われる内容がそれなりに深い

出題形式はだいたい4択問題なので、IPA情報処理技術者試験の午前問題と似たような感じですが、同等と思うのは甘いです。午後問題程度のそれなりに深い内容を問われると思った方がよいと思います。 出てくる用語もそれなりに難解です。例えば、Certification と Accreditation の違いとか。日本語だと認証と公認という感じで違いがよくわかりませんが、両者は違います。 試験は日本語で受けられますが、外資系ベンダの試験にありがちな感じで、日本語だと意味がわからなかったり、誤訳としか思えないところもあるとかないとか。英語の原文も同じ画面で確認することができるので、英語の原文を必ず確認した方がよいと思いました。

(3) 独特で曖昧な問題が多い

この3つ目が最大の難関だと思います。問題に対する答えを覚えるだけでは全く歯が立たないと思います。 表現するのは難しいですが、自分の主観は捨てて、「CISSPであればそう考えるべきである」というような視点が必要だと思います。 CISSPは、現実的でビジネス(経営者)寄りな視点を求められるので、例えば、リスクマネジメントの目標が問われるような場合は、「リスクを完全に無くす」のではなく「(経営者が)リスクを許容できるレベルにする」のような選択肢がおそらく正解に近いんじゃないかと思います。 これは、問題集をやってみるとわかると思いますが、何を言っているのかさっぱりわからない問題が出てくると思います。私もそうでしたが、「CISSPにあるべき視点」のようなものを意識して、慣れてくるとなんとなく正解が見えてくるようになってきたと思います。

CISSPの一般的な勉強方法として、NRIさんがやってる1週間のセミナーがあります。しかし、私は未受講です。 セミナーの評判は良いのですが、受講に50万円くらいかかるのが大きな障壁です。これを受講するのは会社のサポートがないと厳しいでしょうね。 独学だと知識の偏りが気になるので、合格後でもなんとかして受講したいところです。

CISSP CBKトレーニング | 人材育成・研修 | サービス案内 | 情報セキュリティのNRIセキュア

以下に、私が勉強に用いた教材を紹介していきたいと思います。

CISSP認定試験 公式ガイドブック

CISSP認定試験 公式ガイドブック

数少ない日本語の本です。なんとなく購入していましたが、あまりの厚さに3分の1ほど読んで挫折しました。現在は絶版になっていて、新版が予定されているようですが、紙の本はいらないかなと思います。(売却してしまいました...)

CISSP Official (ISC)2 Practice Tests

CISSP Official (ISC)2 Practice Tests

練習問題が1300問収録された本です。私はKindle版を購入しました。比較的お手頃な価格で非常におすすめです。 この本を購入すると、本と同じ内容のテストがWebで利用できるようになります。Webテストの作りがいいので本を読むことはほとんどなかったです。

ちなみに、Webテストの登録方法は、本のあるページに書いてある内容を入力するというものでした。セキュリティ的には弱いですね :-p

Webテストはこちら https://testbanks.wiley.com/

私はまず、このWebテストで50問ほどのミニテストを作ってなんとなく実力を判定してみました。初見でおおむね7割前後は得点できていたので、苦手なドメインを中心に後述の本を拾い読みして偏りを埋めるという勉強のやり方で進めました。 ネットワークセキュリティや暗号のところは初見で8割くらい得点できましたが、米国の法律や裁判のところはさっぱりわからず、半分くらいしか得点できませんでした。 IPA情報処理技術者試験でも法規の出題はありますが、午前問題でせいぜい数問とかなので、まるごと捨ててもなんとかなりますが、CISSPでは2,3割がそんな感じなので捨てるわけにはいかず苦労しました。考えてもわからない暗記物はかなり苦痛ですが、そういう試験なので仕方ありません。 暗記するしかない問題もありますが、大部分は考えないといけません。問題に対する答えを覚えるのではなく、なぜその答えになるのか、納得できるまで後述の本で該当箇所を勉強するのがよいと思います。

CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide

CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide

この本も非常におすすめです。これもKindle版を購入しました。こちらも登録するとWebテスト1421問を利用できるようになります。Webアプリの作りは前述の Practice Test のほうがしっかりしてます。

Webテストはこちら http://sybextestbanks.wiley.com/course/index/id/102

1000ページ以上ある辞書のような本なので、全部読むのは苦しいと思います。気になるところを拾い読みするだけでも充分勉強になると思いました。時間と根性がある人は全部読むととても勉強になると思います。 これももうすぐ新版が出るようです。

これも数少ない日本語の本です。半額になってたのでKindle版を購入してみました。 ちょっと内容が古く、ときどき誤訳じゃないかと思うところがあったりしますが、日本語で概要を捉えるにはよいんじゃないかと思います。章末の問題集が、公式の本よりひねられた感じになっていて、本番の雰囲気に近いような気がしました。

CISSP Study - (ISC)² OFFICIAL

CISSP Study - (ISC)² OFFICIAL

  • learnZapp
  • Education
  • $9.99

前述の Official Study Guide から、Exam Essencials と Review Questions を抜き出したようなアプリです。本があればいらない気はしますが、手軽にテストの練習ができて楽しいので、1200円がそれほど高いと思わなければ買ってもいいと思います。

申し込み~試験

福岡センタでの残念な出来事

2週間くらい勉強して、なんとなく模擬テストで8割くらい得点できていたので、そろそろ行けるかなと思って申し込むことにしました。受験するだけで7万円くらいかかる試験なので相当の覚悟が必要です。 現在のところ、日本では東京・大阪・福岡の3カ所でしか受験することができません。私が申し込もうとしたときには、東京・大阪は1ヶ月以上先までほとんど空いていませんでした。福岡だけはわりと空いていたので、たまには福岡まで旅行するのもいいかなと思って、福岡センタで受験することにしました。試験日は約2週間後にしました。

Pearson (ISC)² 認定試験 https://www.pearsonvue.co.jp/Clients/ISC2.aspx

福岡センタは博多駅の近くにあるので、博多駅の近くで前泊しました。試験開始の30分ほど前に行き、静脈の登録や写真撮影などを行ないました。 CISSPの試験では、途中の休憩は自由で、試験ルームの外に出ることもできます。ただし、休憩中も時間は経過していきます。試験センタに来る前に、飲み物と軽食を買っておくのがよいと思います。

適当に休憩をはさみつつ、250問中150問ほど回答したところで、画面がフリーズしました。システム担当の方が慌てた感じで試験ルームに入ってきて、トラブルシューティングを始めました。どうやら、サーバのトラブルで、部屋にいた全員が影響を受けたようです。部屋には6人くらいいたと思いますが、4人くらいは試験を途中から再開できたようでした。しかし私ともう1人は、途中経過を復元できなくなってしまい、その日はもう再開できないと謝られてしまいました。 ピアソンで何回か別の試験を受けたことはありますが、こんなことは初めてです。思わぬトラブルで試験を中断されて困惑しましたが、こういうトラブルの時のシステム担当の方の気持ちは痛いほどよくわかるので、同情してしまいます。

別の日程での再試験を提案されましたが、私はわざわざ福岡まで来てるのでそれなりに旅費がかかっています。完全に先方の過失なので旅費を補填できないのか交渉しましたが、受験の規定に何が起きても受験料以上は保証できないとの記載があり、聞いてもらえませんでした。 再試験については、たまたま2日後に東京センタの空きができたようなので、東京センタで受験することとなりました。 旅費については無念な気持ちでいっぱいですが気持ちを切り替えるしかありません。わざわざ福岡まで来たのはいったい。博多でラーメンを食べて帰るだけの旅になってしまいました。

東京センタで再試験

東京センタは有楽町と新橋の中間くらいにある、帝国ホテルタワーの18階です。試験は9時からなので、30分くらい前に来て、同じように静脈の登録や写真撮影などを行ないました。

100問毎くらいに休憩を挟みつつ、2時間くらいで250問に回答しました。わからない問題にはマークを付けました。 250問一通り終わった後、50問くらいマークした問題を見直し、さらに250問全てを2回見直しました。 結局マークした50問くらいはよくわかりませんでしたが、合格基準はおおむね70%と言われていて、仮に全部外していても80%くらいは得点できているだろうと判断したので終了しました。 その時点で、3時間10分ほど経過していました。制限時間は6時間なので、時間的にはだいぶ余裕がありました。 朝の9時前から始めて、12時頃には終わっていたのでそれほどお腹も減らず、体力的にも余裕がありました。

試験終了後、結果はすぐにわかります。画面には何も出ませんが、受付で試験結果が紙で出力されます。結果を見ると、無事に合格していました。昔から、いつか取得しようと思っていた資格だったのでうれしかったです。 CISSPの試験では合格すると点数はわかりません。不合格だと弱かったドメインがわかるらしいです。

福岡で150問ほど進んでたので、本番の試験の傾向をなんとなく知ることができ、それを踏まえて余分に1日勉強できたので、再試験の時は気持ちに余裕があったように思います。結果的には良かったんじゃないかなと思いました。 合格してしまえば福岡でのトラブルもレア体験として笑い飛ばせるというものです。

今後の対応

今後は、(ISC)²に登録して正式にCISSPと認定される予定です。CISSPホルダーからの推薦(エンドースメント)が必要なので、知人のCISSPホルダーにお願いしようと思います。 知人にCISSPホルダーがいない場合は(ISC)²が直接認定してくれるようですが、レジュメを提出したりしないといけないようでちょっと面倒かもしれません。

CISSPの試験は、2018/4から大幅に変わるようなので、この記事の内容は古くなる可能性があります。最新の情報は(ISC)²のウェブサイトをご参照ください。

japan.isc2.org

最も大きな変更は、試験の方式がCAT(Computer Adaptive Testing)という方式になるところだと思います。問題数が250問から100問になり、時間も6時間から3時間に短縮されるようです。難易度はおそらく上がるのではないかと思います。 現行の250問の試験では、各ドメインの出題比率が決まっているので、苦手なドメインを得意なドメインである程度カバーできますが、CAT方式だと、おそらく最初に採点に関係ない苦手なドメインを見極めるための問題が出題されて、その後苦手なドメインの問題が重点的に出題されるような形式になるのではないかと思います。 これから受験される方は、苦手なドメインがなくなるよう、より満遍なく学習するようにがんばってください。

CISSPとは編集

  • Certified Information Systems Security Professional (公認情報システムセキュリティプロフェッショナル) CISSP認定資格とは、(ISC)²(International Information Systems Security Certification Consortium)が認定を行っている国際的に認められた.. 続きを読む
  • このキーワードを含むブログを見る

kendama.asia

kendamaドメインを1つくらい取っておいてもいいかなと思ったので、kendama.asia ドメインを取得しました。
とりあえず Kendama Revolutions の転送アドレスとして設定しました。
http://kendama.asia/

kendamaドメインの登録状況をざっと検索してみました。

続きを読む

カスペルスキー

情報セキュリティEXPO@国際展示場に行ってきました。
アンチウイルスソフトカスペルスキーのブースで、開発者でCEOのユージン・カスペルスキーがプレゼンテーションをやってました。パッケージでもおなじみですね。
内容は、サイバー犯罪者同士のビジネスの話や航空機のセキュリティの話などで、ユーモアを交えつつのおもしろいプレゼンテーションでした。
カスペルスキーブースのノベルティグッズは宇宙食のプリンでした。ふつうはボールペンとかメモ用紙とかなのでさっぱり意味がわかりませんがロシア式のジョークでしょうか。食べてみたらちょっと不思議な食感でした。

PostfixのOP25B対策

ここ数日自宅のSMTPサーバからメールが届かないなと思っていたら、最近ISPOP25Bを始めていたのを忘れていました。
しょうがないので、Postfixのドキュメントを参考にホスティングサービスのメールサーバのサブミッションポート宛にSMTP-AUTHありで中継させることにしました。

だいたいこんな感じの設定を行いました。

/etc/postfix/sasl_passwd
-------------------------------
[mail.example.com]:587 username:password
$ postmap hash:/etc/postfix/sasl_passwd
main.cf
-------------------------------
relayhost = [mail.example.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_type = dovecot

設定してみたものの以下のようなログが出て動作しないのでドキュメントをよく見てみると、Dovecot-SASLはサーバ側の認証しか対応してないようです。

warning: unsupported SASL client implementation: dovecot
サポートしているSASLの実装
 * Cyrus SASLバージョン1 (クライアントおよびサーバ)。
 * Cyrus SASLバージョン2 (クライアントおよびサーバ)。
 * Dovecotプロトコルバージョン1 (サーバのみPostfixバージョン2.3以降)

このためにCyrusをインストールするのもめんどくさいなーと思いつつ、とりあえず設定を元に戻しました。
元に戻したつもりだったのですが、このとき、relayhostの設定を残したままにしてしまいました。SMTP-AUTHを行っていないので当然リレーできないはずですが、なぜかリレーできてしまいました。
考えてみると、fetchmailを使って5分ごとにPOP3でメールを取得しているのを思い出しました。今さら使うことはないと思っていましたが、POP before SMTPが有効になっていたんですね。
あまりきれいな解決策ではないですがとりあえずこのままにしておこうかと思います。
そのほかの策としては、

くらいでしょうか。
SPAM対策は必要だと思いますが、なかなかやりにくい時代になってまいりました。

音楽保存サービス:ストレージ利用は著作権侵害 東京地裁

音楽保存サービス:ストレージ利用は著作権侵害 東京地裁−今日の話題:MSN毎日インタラクティブ

記事タイトルを見たとき、不特定のユーザがダウンロード可能なアップロードサービスかと思ったのですが、どうもそうではなく、記事を読む限り、自分でリッピングした音楽データを自分だけがダウンロードできる状態でアップロードできるサービスのようです。
これは暴挙もいいとこでしょう。自分だけがダウンロードできるということは、著作権で認められている私的使用のための複製にあたると思われますので、何を侵害しているのか全く理解できません。著作隣接権公衆送信権送信可能化権は、著作物を「公衆」に向けて送信する権利ですので、自分しかダウンロードできないサービスには適用しようがないように思います。
もしこれがダメなら、Google MailやYahoo!ブリーフケースは確実にアウトでしょう。東京地裁がこんな判例を出したというのはちょっと信じがたいので、何かの間違いだったと思いたいです。

公衆送信権 - Wikipedia

情報セキュリティEXPO

今日は東京ビッグサイトサボり情報収集しに行ってきました。主に情報セキュリティEXPOを見ていましたが、組込みシステム開発技術展やデータストレージEXPOなども一緒にやっていたので見てきました。
日立ソフトウェアのブースの抽選会でなぜか一等が当たってしまい電波時計をもらってきました。どうせならNintendoDSなどがよかったのですが。(←おまえはいったい何しに行ったんだ?)
組込みシステム開発技術展のIPAのブースに、あのソフトイーサ代表取締役会長の登大遊氏がおられました。名刺交換させていただきちょっとお話ししてきました。気さくで物腰が柔らかい感じの方で、PacketiXについて少し教えていただきました。展示会でこんな有名人に会えるとはラッキー。

APOPの脆弱性

APOP脆弱性が見つかったようです。MD5ハッシュのコリジョンを利用してパスワードを解読できるというものです。脆弱性を突くためにはman-in-the-middle attackを行う必要があるのでそれほど簡単ではありませんが、プロトコルそのものの脆弱性なので直接の対策は難しそうです。
APOPを使用するとパスワードがクリアテキストでネットワークを流れることはありませんが、メール本文は相変わらずクリアテキストで流れるので通信の秘匿という意味では十分ではありません。私の会社のメールサーバはPOP3 over SSLに対応してあるのでもうAPOPはほとんど使っていません。世の中の流れとしても、多くのISPPOP3 over SSL(TLS)に対応してきているのでそちらを使う方がよいでしょう。

APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について(IPA)
Bugtraq: APOP vulnerability