CISSP 情報源 第3版

最終更新：2008/01/19　（更新履歴）

■CISSPとは

(ISC)2 （International Information Systems Security Certification Consortium）が認定を行っている国際的に最も権威あるセキュリティ専門家認証資格です。 基本的なことですが(ISC)2は” アイエスシースクウェア”、CISSPは”シーアイエスエスピー”と発音します。

 

■このページの目的は

CISSP受験を決意したとき、この試験に関する日本語の情報があまりに少ないことに驚きました。また日本語試験が開始された昨今、ホルダーの人数が倍増しているにも関わらず、この状況は改善されていません。そこでこれから受験される方が試験についての情報を得るお手伝いをするため、このページを作りました。
試験時にNDA（秘密保持契約）にサインしているため試験の内容については、公開できないことになっています。ですから、このページではその規約に触れない範囲で、情報を提供したいと思っています。

■これを書いているのは

とあるCISSPホルダーです。取得したのはは2005年春。私自身の、今考えると紆余曲折だらけだった、 CISSP取得の道のりはこちらにまとめました。

 

CISSP取得のメリットとは

・試験勉強を通して知識の整理ができる。広い分野を薄くカバーできる

・CISSP取得者を対象としたセミナー・フォーラムがあり、CISSP同士の横の繋がりがもてる

・国際資格なので海外に

 

---

 

基本：まずはなんといっても試験の運営元ISCのサイト

https://www.isc2.org/japan
試験の主催団体である（ISC)2。日本での試験日程、受験方法、費用についての情報があります。日本で受験するなら申し込みもこのページから。要ブックマークです。

ちなみに(ISC)² Japanというのグループの位置づけは全くもって不明。同じ住所に株式会社ITプロフェッショナル・グループってのがあるなぁ。　(ISC)²とこのITPGってのが何らかの契約をしてるってことかなぁ。

https://www.isc2.org/
試験の主催団体である（ISC)2の本家ホームページ。

CISSPグッズ　オンラインストア
(ISC)2 謹製CISSPポロシャツとCISSP Tシャツなどを販売。

---

英語サイト：

http://www.cccure.org/
現存する唯一のCISSP対策サイトといってもいい。テスト問題がある。
某MLリストでこのサイトのテスト問題（名称はCISSP Quiz）で8割から9割得点できれば合格できるとあった。試験の難易度を知りたい方は一度試されることをお勧めします。

---

日本語サイト：

コミュニティ：

mixi
mixiのCISSPコミュニティ。半年前は参加者3人でしたが、今や40人以上。（2005末）

2chのCISSPスレッド
停滞気味。

ISSA Tokyo
ISSAって何？というかたは こちら。オンラインコミュニティではありません。要約すると有志によるセキュリティ勉強会でメンバーはCISSP限定ではありませんが、CISSPホルダーも多く参加しています。参加するとCPEというCISSPの資格継続のためのポイントを取得できます。正式会員になるにはお金がかかります。 

---

CISSPホルダーの方のページ：
数少ない日本人CISSPホルダーの方のページを紹介しておきます。

http://www.ishizuki.com/CISSP/index.html
リンクと書評。

http://www.cacanet.org/ML/cacanet-talk/200305/msg00005.html
木村＠愛媛大学医学部さんのMLへのポスト。各ドメインの概観、お勧め勉強法等に触れられています。

http://blog.bywaysideway.com/
CISSPホルダーkikuさんの日記。試験の形式について分かりやすい説明あり。

http://neeyu.air-nifty.com/neeyu/cissp/index.html
CISSPホルダーにーゆさんのブログ。受験を決意してから認定証を手にするまでの一連が記事になっています。

http://isogashii.seesaa.net/category/695087.html
CISSPホルダーの日記。お勧めの参考書やホワイトペーパーへのリンクあり。

---

その他：


HOTWIRED: ネットバブル崩壊後のキャリアガイド
ネットバブル崩壊後のキャリアガイド　ITの有望株はセキュリティ CISSP取得手当てが上がったとか、そんなお話。

ラック　セキュリティ学園　第五回　注目を浴びるセキュリティに関する資格・認証・認定
2005/10の時点で日本人CISSP取得者は381人!　増えましたね。しかしなぜにこのコンテンツがkakaku.com内に？

---

参考書（全般）

CISSPの取得への最短距離は(ISC)2が主催するレビューセミナーに参加することでしょう。しかし63万円を払って5日間のセミナーに参加することに理解を示す会社はまだまだ少ないはず。そんなわけで私は参考書片手に自習しました。 以下にお勧めの本を紹介しておきます。

CISSP認定試験 公式ガイドブック
Susan Hansche John Berti Chris Hare


価格 ￥ 15,750

もはや本とは思えないふざけた値段！ですが、その価値はあります。
メリットは主に3つ
・CISSPに関する唯一の日本語でかかれた本。
・他の参考書に比べて、まだ新しいので最新のトピックがきちんとカバーされている。
・公式を謳うだけあって、試験の内容と書籍がカバーする分野のギャップが少ない。

特に3番目がもっとも重要です。
訳者は(ISC)2の有料トレーニングコースでトレーナーを勤める「試験を知っている」方達なので、翻訳の質も安定してます。
いろいろ手を出すくらいなら、公式ガイドブックを買ってそれ一冊で勉強したほうが効率がいいです。 キレイに使って、合格したらAmazonかヤフオクで売りましょう。

The Cissp Prep Guide: Gold Edition (All-In-One)
Ronald L. Krutz Russell Dean Vines


価格 ￥ 7,542

CISSPの試験を始めたばかりの頃に使った。暗号に関する解説では図版が多く使われ、非常に分かりやすくまとまっている点は良いです。ただし、2002年の本なので、内容の古さはいかんともしがたいです。特に"法・倫理"と"物理セキュリティ"の分野で試験分野との乖離が激しかったです。おすすめできません。

 

情報セキュリティ技術大全― 信頼できる分散システム構築のために
ロス アンダーソン Ross J. Anderson トップスタジオ


価格 ￥ 6,090

複数のCISSPホルダーの方が推薦されている本。"Security Engineering"という原著のタイトルが示すとおり、 ネットワークセキュリティに限らず幅広くカバーされています。各種論文へのリンクが充実しているのでセキュリティを掘り下げて勉強したい方にはお勧めです。逆に試験に合格することだけが目的の方には不要な本です。
CISSP受験にこの本が有益なのはアクセスコントロールやセキュリティモデルの概念を日本語で解説している数少ない書籍だからでしょう。

 

Amazonでの売れ筋はこんな感じです↓

 

---

参考書（暗号の分野）

CCCureのサイトで「どのドメインが一番難しかったか？」というアンケートをとっています。1位はEncryptionで、およそ3人に1人がこの分野が一番難しいと考えていることがわかります。このドメインをどう勉強するかはCISSP取得の1つのキーポイントです。
collision, key clustering, key spaceなどの用語は確実に抑えること。そして公式ガイドブックに書いてある内容をきちんと覚えることが重要です。

ただ「AESはキー長が何Bit」と暗記に走ると、勉強がつまらなくなります。いい機会なので原理から理解したいという方には以下の本をお勧めします。公式ガイドブックと暗号技術入門、この2冊あればEncryptionの分野はバッチリです。

暗号技術入門-秘密の国のアリス
結城 浩


価格 ￥ 3,150

RSA暗号が「２つの巨大素数からなる合成数の因数分解に暗号の困難性に依存している」ってのはよく聞く話。
そこから一歩ふみこんで「なぜ困難か」を知りたい方におすすめ。

 

---

めでたくCISSPになったら

視覚継続について

CISSPの資格は3年で失効します。資格を継続したい場合、CPEというCPEについて考えるを参考にしてください。
ちなみにそれとは別にAMF（年会費のようなもの）が年間US85ドルかかります。

 

---

 

更新履歴：
2005/12/21　第2版をアップ
2005/12/23  リンク切れ、リンク間違い対応
2005/12/27  Amazon　トップセラーへのリンク追加
2005/12/28 暗号関連の参考書追加
2006/1/28　ラック　セキュリティ学園追加
2007/3/10 資格継続に関する情報追加
2008/1/19 リンクチェック

CPEについて考える

CISSP取得時も今も、CPE関連の情報が不足している気がする。取得後そろそろ2年を迎えようとしているのでCPEを申請してみた。
自分なりに感じるポイントは以下の通り。

・グループAクレジットを頑張って稼ぐ

グループAクレジット
    CBK10ドメインに直結する活動
グループBクレジット
    CBK10ドメインと直接の関連はない活動。講演や管理職研修などCISSPの価値を高めると考えられるもの

グループAが最低80以上ないと継続が認められない。

・バランスよく
必須ではないが、10ドメインのうち6つ以上の分野でCPEを申請することがのぞましいとある。

・早めに動く
3年の期限切れ直前にバタバタやると監査に引っかかる可能性があがる気がする。自分が監査する立場なら、確実に駆け込みでCPEを登録した人を重点的に監査する。早めに120CPE取得してしまおう。

・頑張り過ぎない
120 CPEというと遠い道のりのように聞こえるが、セキュリティの分野で仕事をしている人であれば、さほど意識しなくてもAクレジットを稼げると思う。上の「早めに動く」と矛盾するが取得直後からいろいろと心配してCPE取得を心がける必要はない。ましてCPEが取れるセミナーに無理していく必要はないと思う。

・証拠は残す
申請後1年間は監査が行われる可能性があるらしい。証拠（受講票など？）は捨てないでとっておこう。

・仕上げはギリギリに
たとえば今のCPEクレジットが118だったとする。8 CPE取得可能なセミナー行ったら、そのCPEの登録は3年のサイクルの最後の半年に行う。そうすることで余分にとった6 CPEが翌サイクルに繰り越せる。

・考えすぎない
　(ISC)²JapanのCPE取得の方法のページは明らかに記述が古い。セミナーのDVDを見た前提で18 CPEも取得できるのは、まぁよいとして、なぜ特定少数の雑誌の定期購読でCPE獲得が可能なのか私には理解できない。　

　Webサイトによると(ISC)²サーベイへの協力はBクレジットと書いてあるが、実際にはAクレジットがついていたりする。　また、たとえばブログにセキュリティについて書いた場合は"publish a security article"に入るのか？あるいは映画"ファイヤーウォール"を見に行ったら2 CPEもらえるのかｗなど疑問は尽きない。　

疑問は尽きないが、気にしてはいけない。気にしたら負けだ。とりあえず登録して監査に引っかかったらそこで考えよう。「そういう考え方はセキュリティのプロとして如何なものか？」という謗りは甘んじて受けるが、もともと(ISC)²のオペレーションはとってもアメリカン(≒あまあま、ガタガタ）なので、私一人が言ったところでどうなるものでもない。

 

最後は愚痴っぽくなったけど、私のCPEポートフォリオを以下に紹介して終わりたい。

---

 

日経ネットワーク　1年定期購読：　5クレジット
定期購読Trusted CPEクレジット付与対象雑誌というのは厳密に決まっているので以下URL参照
https://www.isc2.org/japan/trustedCPE_mag.html

CISSP フォーラム参加: 4 CPE
ISC2 Japanが主催するCISSP取得者のためのイベント。だいたい年に1回は開催されている感じ。偉い人のお話はだいたい1回につき2時間程度。というわけでこのイベントについて4CPE申請した。

セミナー参加： 70 CPE
仕事の都合上この半年はセキュリティ系のセミナーに参加することが非常に多く、これだけで合計したら70CPEに達した。かなり稀なケースだと思う。

試験官：　8 CPE
CISSP試験の試験官を務めると自動的に付与される。試験時間だけで6時間、準備や後片付けがあるので完全に1日拘束される仕事。それで8CPEはつらい。

本に寄稿： 10 CPE
たまたま本にセキュリティ記事を寄稿する機会があったので、その分を"published a security article"として申請。

アンケート回答： 5 CPE
"CISSP Job Analysis 2005 Online Survey"など不定期にアンケート調査が行われている。拘束時間に対するCPE取得の効率は高い。

東京大学CCR情報セキュリティコミュニティ入会： 18 CPE
会費は年間1万円だが、入会するとシンポジウムの講演内容の入ったDVDが送られてくる。
このDVDを見たという前提で18CPEが付与される。

 

参考：
https://www.isc2.org/download/CISSP%20Recertification%20Guidelines.pdf

https://www.isc2.org/japan/keep.html

CISSP 情報源 第2版

記事が賞味期限切れです。
CISSP　情報源　第3版をご覧ください。

しっかりしてくれ （ISC)2 !!!

"http://blog.sparky.jp/images/file_20051218T205958890.jpg"
target="_blank">height="180"
alt="ssl-expire"
hspace="0"
src=
"http://blog.sparky.jp/images/img_20051218T205954047.jpg"
width="190"
border="0" />　"http://blog.sparky.jp/images/file_20051218T210007733.jpg"
target="_blank">height="180"
alt="ssl-expire2"
hspace="0"
src=
"http://blog.sparky.jp/images/img_20051218T205956609.jpg"
width="190"
border="0" />

CISSPの試験運営期間である（ISC)2の公式サイト""https://www.isc2.org/">https://www.isc2.org/"のSSL証明書が期限切れ。

かっこ悪いぞ。しっかりしてくれ。

 

『CISSPに合格するための10のTIPS』

これから受ける人は読んでみてください。

"http://www.certcities.com/editorial/tips/story.asp?EditorialsID=29">
My Top 10 Tips For Preparing and Passing the CISSP Exam

 

情報セキュリティ監査企業台帳

"http://blog.sparky.jp/images/file_20051018T003234034.jpg"
target="_blank">height="180"
alt="meti"
hspace="0"
src=
"http://blog.sparky.jp/images/img_20051018T003231518.jpg"
width="240"
border="0" />

"http://www.meti.go.jp/policy/netsecurity/is-kansa/kanto/list01.html">
http://www.meti.go.jp/policy/netsecurity/is-kansa/kanto/list01.html

経済産業省がまとめているセキュリティ監査業務を行っている企業の名簿。

・セキュリティ監査実施の主な実績
・実施者の氏名
などが記載されています。

大まかにですが各企業がセキュリティ監査業務にどの程度真剣に取り組んでいるかが垣間見えてきます。
CISSPやセキュアド、BS7799のリードオーディターなどの資格取得者がいる場合はそれも付記してあります。

僕が見た中で最強の資格は公認会計士でした。そんな人がセキュリティ監査本当にやってるのかよ？？？

CISSP受験の軌跡

CISSP受験の記録を時系列にそってまとめてみました。
今これをみて反省するならば、
・完全に準備ができたと思えるまで出願するべきではなかった。
・テキストは最初からOfficial (Isc) 2 Guide to the Cissp Examを使えばよかった。
そんなところでしょうか。
ちなみに
CISSPは昨年から日本語が併記された試験が開始されました。
英語でしか受験できなかった時代のCISSPホルダーと今のCISSPホルダー、どちらも同じ資格の取得者であることに間違いありませんが
やはり昔の方がハードルが高かったと言えるのではないでしょうか？
いまだに英語で苦労しているので、何も情報のない環境で英語で試験を受けていた昔のCISSPホルダーには素直に頭が下がります。

---

2004年11月上旬
受験を決意。
（参考："CISSP受けてみます！"）
元来飽きっぽいので途中で投げ出さないようブログで受験を宣言しました。
The Cissp Prep Guide: Gold Edition (All-In-One) を購入。
各章の理解度を測る問題をとりあえず全分野解いて、得意分野と苦手分野を明確にしようとしました。
（参考：CISSP プチ模試）
結果からいうとこの時の大雑把ながら感じた第一印象は非常に正確でした。
2004年11月中旬
CISSP試験そのものに関する情報、特に受験資格と認定条件がいまいち理解できなかったため調べました。
（参考："つまりこういう事"）
また私の場合業務経験が短いため(ISC)2 アソシエイトに出願することがわかったので
(ISC)2 アソシエイトについて調べました。
（参考："CISSP準会員"）
2004年11月下旬
今振り返ると11月はよく勉強したと思います。毎日電車でノートをチェックし、知らない単語がなくなるよう心がけてました。
Telecom,BCP,Operation等の得意分野はこの段階で出来上がっていました。
2004年12月上旬
暗号については特別にテコ入れの必要性を感じ本を購入しました。
（参考："『暗号と認証 基礎から身につくネットワーク技術シリーズ (2)』"）
簡潔で分かりやすい良書でした。これを読了後は英語のテキストも読めるようになりました。
が、結論から言えばこの本では役不足だった気がします。
2004年12月中旬
仕事が忙しかったこともあり、勉強は中だるみ状態。
そんな中12月17日に2005年1月23日試験の申し込み締め切りが迫っていました。
（もともと試験日を2005/1/23にするか2005/3/13にするか迷っていたのです。）
正月休みがあるのでそれを利用してまとめて勉強できるという甘い目論見の元、1月の試験に出願しました。
今思えば痛恨のミスです。
（参考："悩みどころ"）
2005年01月
試験を数週間後に控え、主に法、物理セキュリティ、暗号の3ドメインに関して暗記。
特に法は意味もわからないまま丸暗記を敢行。
2005年01月21日
試験2日前、カンファメーションレターを受け取っていなかったことに気づきました。
カンファメーションレターは受験票の代わりになるもので、無いと受験すら不可能！
結局何とかなったものの、焦りましたね。
もっと早く確認すればよかったのに・・・、この点については完全に私の落ち度です。
（参考："カンファメーションレターが届かない"）
2005年01月23日
試験日。
周りの席にはISC2のロゴの入った黄色い冊子を持っている人多数。セミナーのテキストと思われる。
軽食持込OKだったので試験途中で持ち込んだフィッシュサンドを試験会場で食べました。
6時間はやはり想像以上に厳しかった。
が、そこは生来の能天気さで「多分合格した」と思い込む。
ちなみにこの当時CISSPを受験することは周囲には秘密にしてました。
2005年01月29日
予想に反してほぼ１週間で合否を告げるメールが届く。
・・・うほ！落ちてる！
想定外の結果にかなり凹みました。ブログに結果を書きたくないなぁと思いつつもとりあえず敗戦の報告。
（参考：CISSP試験の合否が届いた！）
翌々日に3月20日の試験の申し込みをしました。
不合格通知には1000点満点中自分が何点とったのかが記載されています。相当惜しい点数だったので
とにかくもう一回受ければ絶対合格するだろうという心境でした。
2005年2月
一度目の受験に不合格したことがわかった翌日、先輩のCISSPホルダーに助言を求める。
暗号に関する本を貸してもらえることになり、ついでに励ましてもらいました。
またテキストについてはISC2の公式本（黄本と命名）が無難だろうという結論に。
早速黄本を買って読んでみました。
詳しくは書けませんが、やっぱりこれを読んでおくべきだったと感じました。
結局一度目の不合格から二度目の受験の間は先輩推薦のこの本を読んだのと黄本を拾い読み以外何もせず。
結婚という人生最大のイベントに翻弄されCISSPどころではありませんでした。
2005年03月20日
2度目の受験。（参考：3/20）
1度失敗していて後がないにもかかわらず、心理的にはかなり落ち着いて望めました。（なんでだろう。）
上のエントリーにあるとおり、6時間の試験後、酒を飲みに行く余裕がありました。1度目の受験時からは
考えられない違いです。
2005年03月26日
合格通知が届く。
（参考：CISSP試験の合否が届いた！パート2）
2005年04月01日
この日「プロフェッショナルとしての業務経験が3年」の条件をクリアしました。
2005年04月07日
会社のCISSPホルダーにお願いして書いてもらったエンドースメントフォームを送信しました。
2005年04月18日
ISC2から"ENDORSEMENT PROCESSED"というタイトルのメール。
エンドースメントの内容に問題がなかったこと。証明書を印刷して送るプロセスに入っていることが書いてありました。
2005年04月末
待ちにまったエアメールがポストに！晴れてCISSPになった日です。
ちなみにCISSPの資格は3年で失効します。私の場合失効は2008年4月18日。
ということはISC2から"ENDORSEMENT PROCESSED "のメールが来たその日から、CISSPの資格を得ていたようですね。
（参考："いまさらですが"）

---

さいごに
認定証が届いて私自身のCISSP取得の旅は全て終了しました。
CISSPネタでブログを書くのはこれが最後、、、だったら綺麗なエンディングですが、CPE等CISSPを継続させるための制度についても
情報が少ないため、それらについて調べて書くことはあるかもしれません。
今後もCISSPの名に恥じぬよう、勉強は続けて行きたいと思います。
そして学んだことを同僚、会社、顧客そして社会に還元できるよう頑張りたいと思います。
と結構真面目に思っています。

いまさらだけど

久々にCISSPネタ。2週間くらい前に認定証が届きました。
これでCISSPを名乗ってOKということですね。
同時に届いたのは
・カード（蝋引きの紙製、ペラペラ、きっとよく燃える）
・メンバーページへのログインパスワード
メンバーページのコンテンツはこれから見ようと思います。
豆知識）
ペーパーに合格後、エンドースメントフォームを送るときは郵送でと公式サイトにありますが、自署後にスキャンしたPDFファイルでもOKでした。Faxでも受け付けてくれるそうです。
郵送よりはFAXの方がお勧めです（費用、処理のスピードの観点から）
それでも認定証がとどくまでには2週間を要しましたが・・・

セキュリティ資格の本、差し上げます。その２

セキュリティ資格の本、差し上げます。の当選者発表です！！！
昨日の18時に告知通り応募を締め切りました。さて当選者ですが・・・
コースA:CISSP3冊セット
6人の方が応募されたコースAはあみだクジの結果、gunnmakunnさんに決定しました。
コースB：セキュアド3冊セット
これは応募者1名だったので、自動的にasasayamaさんに決定。
asasayamaさん、gunnmakunnさんには別途メールで連絡先をお尋ねしますので
よろしくお願いします。
外れた方はごめんなさい。自費でCISSPの本を買うなら私のお勧めはとにかく黄色い公式本です。
さて、CompTIA Securityの本どうしよう、、、（ほしい人いれば言ってください。）

セキュリティ資格の本、差し上げます。

プレゼントは終了しました。（2005/4/25追記）

資格の対策本や副読本をこのブログをご覧頂いてる方にプレゼントします。
家の本棚で埃をかぶせておくのではなく「セキュリティ系の資格に興味あるけど参考書高いのでちょっと・・・」と思っている方に有効活用して頂きたいというのが今回のプレゼントの趣旨です。
各コース1名の当選者に全ての書籍をお送りします。送料は当選者の方に負担していただきます。
応募方法は一番下にあります。
特にCISSP本は割高で躊躇されている方もいると思うので、この機会にぜひ。

---

コースA:CISSP3冊セット

Official (Isc) 2 Guide to the Cissp Exam Susan Hansche John Berti Chris Hare by G-Tools

情報セキュリティ技術大全―信頼できる分散システム構築のために ロス アンダーソン Ross J. Anderson トップスタジオ by G-Tools

『暗号と認証 基礎から身につくネットワーク技術シリーズ (2)』 (写真)
以上3冊をセットにして1名様に。
全ての基本にしてバイブルのOfficial (Isc) 2 Guide to the Cissp Examと良書「情報セキュリティ技術大全」は特にお勧めできます。
この2冊があれば、試験対策はバッチリ！もう本を買う必要はないでしょう。

---

コースB：セキュアド3冊セット

情報セキュリティアドミニストレータ実戦問題 加藤 昭 by G-Tools

情報セキュリティアドミニストレータパーフェクトラーニング過去問題集〈平成16年度〉 NRIラーニングネットワーク by G-Tools

情報セキュリティアドミニストレータ合格教本〈平成16年度〉 岡嶋 裕史 by G-Tools

以上3冊をセットにして1名様に。
平成16年度の対策本ですが、今年の対策にももちろん使えます。過去問題集は回答用紙がついていてそれが本番の形式に似ていて非常に役に立ちました。
　

---

コースC:CompTIA Security+セット
Security+COMPLETEトレーニング CompTIA認定資格受験ライブラリー
CompTIA Security+セットといっても一冊です。受験を検討していた時期に購入しました。
結局一度も受験してないのでなんとも言えないのですが、本を読んだ感じセキュアドと同等か若干易しめなのかなと思います。

---

応募方法：
このエントリにコメントを残してください。
メールアドレスとハンドル、ご希望のコースを忘れずに書き込んでください。
上記3項目以外に何か書いていただいても抽選結果には一切影響しません。
締め切り：
2005年4月24日（日）　18:00
抽選は厳正に行います。ブログには当選者のハンドルのみ掲載します。
別途当選された方にメールをお送りしますので、住所などを教えてください。
諸注意：
・近所のコンビニから着払いの宅急便で送ります。発送は神奈川からです。特にCISSPセットは厚さ・重量ともにあるのでご注意ください。
・転売目的の方はご遠慮ください。（いないと思うけど）
・貰い手がつかない場合、締め切りを延長します。
・プレゼントについてご不明な点があればこのエントリにコメントを残してください。

CISSP試験の合否が届いた！パート2

先週の日曜に受けたCISSP試験の結果がもう届きました。（今回も実質6日で結果発表です。）
で、結果は
「合格」
前回の受験の時は不合格だったものの手応えは十分ありました。（参考）
「前回よりも2・3問多く正答するだけで合格圏内に入るはず」という予測がたったので、今回はそれなりに自信と余裕をもって試験にのぞめました。
嬉しいというよりホッとしています。

---

合格したのはあくまでペーパーのテストであって、これから推薦状と職務経歴に関する情報を(ISC)2に送って認定が出るまではCISSPを名乗れません。つまり私はまだCISSPホルダーではありません。
とはいえ認定の過程で問題になる要素もないので、CISSP取得への最大の難関を突破したと言っていいと思います。
来月終わりには晴れてCISSPを名乗れるようになるはずです。

日本にCISSPは何人いるのか？

CCCureに興味深い記事が載ってました。
「国別CISSPホルダー数(http://www.cccure.org/modules.php?name=News&file=article&sid=678)」
目立つところをピックアップしてみると、以下のとおり。

オーストラリア　503
中国 217

カナダ 1719
香港 1226
インド 450
日本 230

韓国 22
北朝鮮 666

シンガポール 694

ロシア　39
UK 1248

アメリカ 20417

CISSPホルダーは全体で30681人なので2/3はアメリカ人ということになります。
アジアに関して言うと、
・何かの記事で香港・韓国はCISSP取得者が多いと読んだ記憶がありますが、韓国はそうでもないですね。香港独走。シンガポール・北朝鮮・インド・日本あたりが追随。
・基本的に英語圏と英語に強い国では取得者が多い傾向にあるなかフィリピンはたった36人。環境が整ってないんでしょうね。
なんといっても驚きは北朝鮮がアジア3位！国策として情報セキュリティに取り組むのは理解できますが、CISSP取得もその一環として奨励されているんでしょうか？不思議です。

SELF-ASSESSMENT

isc2のサイトに"オンラインアセスメント"なるものがあった。
ONLINE SELF-ASSESSMENT
模試のような代物と考えていいのか？特に説明もないしな〜。
「登録したよ！」という方、もしくは中身について情報をお持ちの方がいたら情報提供いただけると助かります。
（何題出題される？時間制限は？解説・解答は？などなど知りたいです。）
$50なので人柱になってみる事も検討中。

CISSP試験の合否が届いた！

先週の日曜に受けたCISSP試験の結果がもう届きました。（実質5~6日で結果発表ってことですね。）
で、結果は
「不合格」
うそ〜〜〜〜！
今だから言えるんですが、確かに準備不足かな？と思いつつも1月の試験に出願したはものの、
試験終わった直後は「もらった。絶対に合格した。」と思ってました。
不合格者にはスコアも送られてくるのですが、それを見る限り「紙一重で不合格」。
神様のいじわる。
俺の6万8千円返せ〜〜〜〜！
以上、極めて「負け犬の遠吠え」なエントリーになってしまいましたが不合格のご報告とさせていただきます。
Kikuさん、CISSP関連でブログにコメントいただいた皆様、いつもありがとうございます。
そして「CISSP落ちちゃったよ、6万8千円ドブに捨てた。。。」という報告に「私の永久脱毛にかけたお金にくらべたら
そんなの全然大した事ないじゃない。」という意味の分からない激励をしてくれた彼女にもこの場をかりて感謝したいと思います。
バツ1となってしまった私ですが、今後ともよろしくお願いいたします。
再受験の話ですが、「あきらめません、合格するまでは」をモットーに次回（3月）に出願する予定です。
■追記
勢いで受験料を「ドブに捨てた」という表現をしましたが、「何も得るものが無かった」という意味ではまったくありません。
CISSPを口実に仕事では触れられない分野のセキュリティの勉強ができたし、新しいことに挑戦するのは楽しかったです。
英語力も多少アップしたはず。（再受験すればさらに6時間英語と格闘です。）
忘れちゃいけない、ブログのネタにもなりました。
結果が失敗だからといって、その過程全てが間違っていたわけではないと思っています。

試験終了

CISSP試験終了です。
6時間根詰めたのでとにかく疲れましたが、無事終わってよかったです。
同じく本日受験された皆さん、あと4~6週間、一緒に悶々としましょう笑

カンファメーションレターが届かない

isc2 japanサイトの情報をコンパクトにまとめると試験申し込みの手順はこんな感じ。

「受講・受験希望メール」を(ISC)2InstituteJapanまで送る。
メールで試験情報(席の空き状況等）の案内が届く。
申込書をダウンロードの上、必要事項を記入する。
申込書を郵送にて(ISC)2InstituteJapanまで送る。
申込書の郵送後、2日以内に振込み。
「受付完了メール」が(ISC)2InstituteJapanから届く。
カンファメーションレター(受験票・受講票)がメールで届く。
セミナー受講/試験受験

いまだに郵送？:
どんなものでも大抵Webから申し込める時代ですが、CISSPの試験申込は『手書き+郵送』です。是非改善して頂きたいポイントです。
注意点：
受付完了メールは(ISC)2InstituteJapanから、カンファメーションレター(受験票)はISC2のアメリカにあるHQから届きます。
実は今回「カンファメーションレター(受験票)が届かない」というハプニングがありました。
・気づいたのが昨日の夜で既に日本のオフィスは「誰も電話にでんわ」状態。
・受付完了メールには「カンファメーションレターがない場合、100%受験不可」と書いてある。
・焦ってISC2の本部にメール。「カンファメーションレター再送してください。」
・返事がないので電話。
　　「カンファメーションレター届いてないんです。」
　　「1/11にhogehoge@gamail.comに確かに送りました。」
　　「（gamailってどこだよ!） 僕のメールアドレスはgmailなんですが・・・」
　　「じゃあ送りなおしますね。」
・そのやり取りの数時間後にカンファメーションレターを受け取る。
ポイントはその数週間前に(ISC)2InstituteJapanから「受付完了メール」は届いているという点です。
(ISC)2InstituteJapanの方は正しいメールアドレスに送ってくれたのですから、申込書にはきちんとhogehoge@gmail.comと書いてあったはずです。
対策：
今後の受験を考えている方は私を反面教師に以下の点にご注意ください。
・メールアドレスはくっきり・はっきり記入する。正しく読み取ってもらえるよう祈る。
・試験前々日になって焦らないように、前もって行動する。
(ISC)2InstituteJapanはカンファメーションレターについて都合2回リマインドしてくれています。
私のような粗忽者でない限り、もっと早いタイミングで「カンファメーションレターが届いていない」ことに気づくはずです。
早めに主催者に申し出て再送してもらいましょう。日本のオフィスの営業時間内であれば、彼らが対応してくれるでしょう。
懸念事項：
カンファメーションレターの入手については受験者が注意すればいいことですが、今回の私のように間違ったアドレスにメールされる危険は今後もあるはずです。
カンファメーションレターの中には個人情報（名前と完全な住所）が含まれており、おそらく(ISC)2Institute USのヒューマンエラーで、第三者に誤って送信されたのは「極めて遺憾」です。
・申し込みフォームの電子化
・（手作業で紙から起こすのであれば）ダブルチェックの実施
等の受験者のプライバシーを保護する対策が進行していることを祈ります。

明日はいよいよ

いよいよCISSP試験前日です。
先に宣言します。
「結果はともあれ、ブログには試験の合否だけを書きます。」
おかげさまでこのサイトにCISSPをキーワードに検索して訪問される方は右肩上がりで伸びています。
そのうちの1パーセントくらいはきっと私の合否を気にかけてくださっている（はず）。
落ちたときだけ黙秘ってもの考えましたが、それもかっこ悪いので。
合否の報告だけはさせていただきます。
（その他試験についての情報は迂闊に公開できないので。）
それでは、行って来ます。
明らかに準備不足ですが、不合格でも3月に繋げられる何かを得て帰ってこようと思います。
リアルな知り合いに試験会場で会いたくないなぁー。試験官だったらどうしよう。ナムナム

CISSP試験登録申込書のワナ

(　゜д゜)
　
(つд⊂)ゴシゴシ
　
(；゜д゜)
　
(つд⊂)ゴシゴシ
　　_, ._
（；゜ Д゜） …？!
CISSP試験の申込書の一番最後に以下のような記述がありました！

申込者は、「(ISC)²倫理規約」を熟読した上で、その条項のいずれについても過去に違反がなかったこと、また今後もこれを遵守することをここに確約します。
申込者は、提供元が(ISC)2であるか他の情報源であるかにかかわらず、試験に関連するすべての情報を機密情報として取り扱います。

一応原文も引用しておきます。

I have read the (ISC) Code of Ethics and hereby confirm that I have not violated any of its provisions in the past, and that I will comply with it in the future.
I will treat all information related to the examination as confidential, whether provided to me by (ISC)2 or received from other sources

受験者は試験に関する情報を機密として扱わないといけないということですね！
「CISSP関連のWebサイトはいいの？」とか「"試験に関連するすべての情報"って？」とか「CISSP本が出版されてるけどあれはOKなのか？」とか色々と疑問はつきないのですが、藪をつついて蛇を出したくないのでとりあえず今は考えないことにします。
既存のコンテンツを削除する気はありまえんが、今後の更新はひとまずお休みします。
（リンク集のアップデートだけは細々続けるつもりです。）

CISSP情報源は結構更新してます。

CISSP情報目当てでこのブログに漂着された方へ：
最近、エントリを作るようなネタが無いのですが、以前作ったリンク集（CISSP　情報源）は小ネタを定期的に更新しています。
そちらをご覧ください。
見づらいサイトですいません。そのうち整理したいと思っています。

『暗号と認証 基礎から身につくネットワーク技術シリーズ (2)』

CISSPの受験対策というよりも、エンジニアとして最低限の知識がないとヤバイという事に改めて気づき、暗号に関する本を買ってみました。
選んだのはコレ↓
『暗号と認証 基礎から身につくネットワーク技術シリーズ (2)』

以下公式サイトより紹介文：
「ネットワーク技術シリーズ」第2弾。ネットワーク・セキュリティの技術を学んでいくうえで絶対に欠かせない暗号と認証の技術，およびこれらを組み合わせた実際のプロトコルであるIPsecについて、基本的な技術解説から，実際のシステムでの応用・活用までを一から解説します。
感想：
日経ネットワークは『複雑な内容を簡単に説明する』のが非常に巧みな雑誌だと思います。
優秀な編集者とライターそしておそらくはノウハウがそれを可能にしているのだと思います。
そんな日経ネットワークの連載記事がまとめられたのが本書。
以下良かった点を列挙してみました。
説明が簡潔な事。
コラム的な囲み記事の多さ。
　　（主に豆知識的な情報です。）
図表の多さ
（文字が多いとアタマが痛くなる私にとっては重要なポイントです。）
暗号とそれを採用しているアプリケーションを対に記述してある
（実装例を紹介することで暗号の役割がイメージしやすくなっています。）
現状採用されている技術に説明が集中している。　実践的。
古い暗号方式等は一切説明がありません。今さら「カエサル暗号についてどうしても知りたい」という方を除けばこのスタイルで問題ないと思います。
こういうところは時事ネタに強い雑誌ならではでしょうか。
本が小さくて薄いので電車の中で気楽に読める。
結果、本自体が面白く、暗号の本に抵抗のあった私も読了できました。ミラクルです。
こんな方にお勧め：
「共通鍵と公開鍵って何が違うの？」という方、「IPSecって何」という基本から勉強したい方、
時間がないけれども暗号について一通りの知識は仕入れておきたいという現場のエンジニア、マネージャー。
暗号についてまとまった知識があるが、他人にそれを説明するのが難しいと感じる方。
明日の商談で自社製品の暗号方式について突っ込まれそうな営業さん。
余談：
暗号とか認証は苦手です。この本を手にとって本屋のレジに持っていったことを褒めてもらいたいくらいです。
ただ私と同じように暗号・認証の初歩的なところを勉強したいという方は潜在的にいそうな気がしていて、たまたま読んだこの本がお勧めなのでブログで紹介させていただきました。