今日はCISSPの試験範囲を俯瞰する為に「プチ模試」をしてみました。
今週2日ほどテキスト"CISSP Prep Guide"を頭から読むという勉強をしていたのですが
遅々として進まず効率の悪さに焦りを感じました。
そこでとりあえず全体をサラッと流して、以下を確認することにしたのです。
・試験範囲を掴む。
・試験の雰囲気を掴む。
・自分が得意な/苦手なドメインをハッキリさせる。
・上の結果に基づき、勉強の計画を立てる。具体的にはテキストの10ドメインの各章の解説の後ろにある練習問題から
それぞれ10問程度をといてみました。
答えあわせのあと、当初の目的、得意不得意を把握するため、正答率をドメインごとにパーセンテージに置き換え。
出題された問題を7割正答するというのが、公式に発表されているボーダーなので
ボーダーを青線、自分の正答率をオレンジで描いてみました。
その結果が冒頭のチャートです。
明らかに凹んでいる
・暗号
・アクセス制御
そして「まぐれ」で得点してしまったが実態はボロボロの
・セキュリティアーキテクチャ
このあたりがてこ入れ必要なドメインのようです。
以下に各ドメインの印象と独断で決める難易度をまとめてみました。
何かの参考になれば幸いです。
コメント・対策
---------------------------------------------------------------------------
情報セキュリティマネージメント ここだけテスト問題挑戦が2度目。初見で無いので正当して当然。
このドメインと次の"エンタープライズ・セキュリティアーキテクチャ"は
セキュリティのいわば土台部分だと思います。
他の問題を解く上で前提とされるような、ベーシックかつ重要な概念が目白押しです。
他に両ドメインに共通しているのは知識ではなく理解を試す問題が多く、問題文が
長いという事。
自分を含め多くの日本人にはここが山になるのではないかと思います。
難易度:4
エンタープライズ・セキュリティアーキテクチャ8割できたのは完全なまぐれ。確信をもって回答したのは1つだけ。
TCBって何?
TCSECって何?
問題文をよく読むといいのかもしれません。
一言でいって「難しい」。
勉強しにくそうなドメインなので難易度は最高の5にしてみました。
難易度:5
アクセス制御のシステムと方法論 用語が特殊。思ったよりRDBのアクセス制御に関する問題が多い。そのわりに点取れてない。がっくり。
データベース関連の英語を復習します。
難易度:3
アプリケーションセキュリティデータベース・データウェアハウス・OO言語・継承など。
英語をよく読めば常識でいける問題が多いです。
非エンジニアの方が受験されるのであれば、しっかりとした準備が必要と思われます。
ドメイン全体にインパクトに欠けます。
たまたま今日やった問題は奇をてらわない良問だったって事だろうか?
難易度:3
運用セキュリティ物理セキュリティに次ぐ楽勝ドメイン。3問も間違えたのは・・・何間違えたっけ?
復習はしないとな・・・。
難易度:2
暗号学 半分しかできなかった。アポだ・・・。一から勉強します。
英語での暗号についての記述を租借するのも、大変。加えて暗記すべき項目が全ドメイン中一番多い。
救いはコツコツ地道に勉強すれば必ず得点できる内容と思える事です。
それから他のドメインとは内容の重複が少ない、いわばCISSP国の中の離島。
他のドメインの進行状況にかかわらず勉強ができるのはラッキー。
それらを踏まえ難易度は4にしてみました。
難易度:4
通信、ネットワーク、インターネットのセキュリティ ボーダーの7割をとるのがターゲットであれば一番楽勝のドメインのはず。
一応仕事の内容とかぶるのでこのドメインでは90%以上を目標にすることに
します。
DOD Layerをド忘れ。要復習。
arpとrarpの違いを問う問題を間違う。問題文はきちんと読め、オレ!(自戒)
個人的にこのドメインについては深く勉強しても無駄にならず、仕事に活かせる。
そんなわけで細かいところまでキチンと勉強して、いつかネスペを受けるときの肥やしにできればと思います。
難易度:2
物理的セキュリティ システムの熱耐性を華氏で聞かれる。華氏と摂氏の計算の仕方を調べねば。
概念的な説明が無く、勉強しやすい。万人に分かりやすいと思われます。
本番では満点とりたいドメイン。
難易度:1
事業継続計画 ディザスタリカバリ等。
現在の仕事の半分は運用の自分にとって内容は覚えやすく、英単語も簡単。
一般の開発者・SEさんにはどうなんでしょうか?
難易度:2
法、捜査、倫理 今回のプチ模試前、最も苦手意識があった分野。テキストでこのドメインの解説箇所をみるだけで
暗記項目の多さに気が遠くなりましたが、実際の問題は意外と素直でした。
英語をきちんと読む事と、法律についての基礎知識をテキストでしっかり勉強すれば
個々の法律を暗記せずとも合格点にのせられるのかもしれません。
もう少し問題をやってみて、出題の傾向をしっかり把握したい。
苦手である事に変わりは無いので、早めに目処をたてたい所です。
難易度:4
---------------------------------------------------------------------------
総評:問題解くのに2時間近くかかったかな?全体の正答率は73%だった。
ドメイン"情報セキュリティマネージメント "以外は完全未着手という点を
考えると予想を大幅に上回る出来でした。
上に書いたように一部のドメインは間違いなくまぐれ。
それを差し引いても今の業務やセキュアドの勉強の蓄積が生きているのを
感じました。
テキストのサンプル問題が全体的に易しい可能性があるので、別の本(できれば
問題集)を買って、実際の試験のレベルを確認しようと思いました。
英語について:現在日本でCISSPを受験する場合、問題は全て日本語と英語が併記されているそうです。
つまり本試験では英語を読む必要は殆ど無いのです。
しかし英語力が必要ないかというと、そんな事はありません。
CISSPの内容自習に必要な英語力:CISSPの参考書・テスト問題集は全て英語です。ISC2 Japanのセミナーを受講しない/できない
自力勉強組(私を含みます)は英語のテキストで勉強するしかありません。
そのテキストの英語の難易度ですが日常的に英語の技術文書に触れている方には大した事ないと
いえます。
ISC2のサイトにCBKの説明、各ドメインの定義と目標が書いてあるので、それを読んでみてください。
テキストの難易度はそれと似たようなものです。
個人的感想:やっとCISSP挑戦のスタートラインにたったという感じがしてきました。
今日は各ドメイン、たかだか10問しか解いていません。今後勉強している中で
各ドメインにたいする印象が変わることは当然予想されます。
そのときは随時アップデートをしていこうと思います。
今日はCISSPと初顔合わせ。
そんなところです。
尚、勉強には以下の本を使っています。(文中でテキストと書いているのはこの本です。)
まだCISSPの試験を始めたばかりですし、他の本との比較も出来ないのですが、
暗号に関する解説は図版を多く使い、非常に分かりやすくまとまっている点は良いです。
(本についてはまたいずれキチンと整理してみたいと思います。)