2024年4月23日にCCSP試験を受験し合格したのでその記録です。
筆者の背景・受験の理由
高専から大学院まで9年間の情報系学生を経て、現在は脆弱性診断・ペネトレーションテストや研修講師対応に従事する4年目社員です。クラウド上に構築されたシステムを見かける機会も増えたので、クラウドセキュリティに関する体系的な知識を求めて研修受講・試験受験しました。
(セキュリティ評価なんてシステムがクラウド上に構築されていたらクラウドの知識が必要になり、AIを使ったシステムであればAIの知識が必要になるわけで、先端技術の勉強からは一生逃げられない…。)
CCSPとは
CCSPはクラウドセキュリティに関する資格です。CBT方式で150問を240分で解き、合格点は700/1000です。なお、150問のうち50問はプレテスト(採点対象外)となっています。
勉強方法
2024年1月に5日間のCCSPの研修を受講しました。研修ではCCSPとしての考え方や講師の先生の面白い経験談を聞くことができます。テキストや模擬問題集・応用シナリオ台本が研修前に送付されますが、余裕があればテキストに目を通し問題集を軽く1周するとポイントが分かり研修の吸収率が上がります。
研修受講後は『(ISC)2 CCSP Certified Cloud Security Professional Official Practice Tests, 3rd Edition』の問題集を解いていました。ISC2のメンバーはExclusive-Benefitsの「Additional Benefits and Discounts」からdiscount codeを入手することで50%OFFの$15(2,300円程度)で購入できます。
購入後はVitalSourceで電子書籍として閲覧できますが、Wiley Efficient LearningのTest Bankと連携することで一問一答形式で練習することができます。アクティベーションコード取得用のURLから氏名・メールアドレス・所有確認用の質問に回答するとアクティベーションコードが発行されます。その後、アクティベーションコード入力用のURLでコード入力およびアカウントの作成を行い、ログイン画面からログインするとTest Bankにアクセスすることができます。
Test Bankも英語表記ですがブラウザから翻訳をかけて日本語で勉強することができます。ただし、試験本番で出てくる日本語と異なる翻訳になっていることも考えられるので、適宜英語表記も確認しておくことをおすすめします。例えばChain of Custodyは保管過程の連鎖、管理の連鎖、証拠保全など複数の訳され方を持つので、Chain of Custodyとして覚えた上で試験本番でも英文で確認できると安心です。
ちなみに、私は問題集の850問中75%が正答の状態で受験しました。この問題集の正答率を上げれば合格できると思います。
予約
4月19日(金)に不意にやる気が出たので4月23日(火) 8:00で予約しました。1月末に研修を受講して4月末に受験するのは遅いように思えますが、これは案件が重なったり9.2万円の再受験費用にビビっていたためです。ゴールデンウィークはさすがに予約が取れない気がしたので、業務の合間を縫いゴールデンウィーク前の平日に滑り込み受験しました。とはいえ、朝8時開始の枠しか空いておらず、朝5時に起き7時30分には現地に着く必要があり、とても眠かったです。
計画的な受験または近くのホテルを確保することをおすすめします。
当日の流れ
持ち物
身分証としてはパスポートと運転免許証を使用しました。念のためマイナンバーカードやら保険証やら社員証やらクレジットカードなど、大量に持っていくと安心です。糖分補給としてはドライクランベリーとラムネを持って行き、水分補給は現地のウォーターサーバーを使いました。
時間配分
ざっくり1問1分計算で考えていました。およそ50問解くと飽きてくるので、適宜休憩をはさみました。前の設問には戻れない一方、考える時間は十分あるのでゆっくりやると良いです。
| 時間(分) | 行動 |
|---|---|
| 0~60 | 50問目まで回答 |
| 60~70 | 椅子で軽く休憩 |
| 70~120 | 100問目まで回答 |
| 120~130 | 受付まで退室する休憩で気分転換 |
| 130~180 | 150問目まで回答 |
試験内容
問題集を解いていれば戸惑うことは少ないと思います。CISSPと同様ではありますが、英文の確認や専門家としての回答を意識すると良い気がします。答え方のパターンとして、選択肢の半分は論外、残り2つで迷うもののCCSPとして答えるならこっちだろうな…というパターンで答えることが多かったです。また、明らかに難易度が跳ね上がった問題もいくつか出てきましたが、それについてはおそらくプレテストであろうと思い逆に気楽に取り組む精神も大事です。
感想
クラウドセキュリティに関する知識を確認することができましたが、実務寄りの知識は範囲外なので先にそちらを修得した方がイメージしやすいと感じました。そのため、AWS資格(CLF,SAA,SCS)でEC2やセキュリティグループ等具体的なサービスに関して知識を修得した後、CISSPで経営層寄りの情報セキュリティに関する知識を修得し、間を補完する意味でCCSPを取得するという流れが一番良いのではないかと思いました。
今後
試験には合格したものの業務経験足りずAssociateなので、とりあえず仕事頑張ります。