フォーム読み込み中
ChatGPTで知識を深める!CISSP試験の効率的な勉強法
ソリューションエンジニア
平野 翼
- FY20中途入社のソリューションエンジニア
- ネットワーク、セキュリティの商材を中心としてプリセールス活動
- 情報処理安全確保支援士、ネットワークスペシャリスト、PMPなど多数のIT資格所持
2025年8月4日掲載
こんにちは、ソリューションエンジニアの平野です。
ソフトバンクでセキュリティ業務を担当するエンジニアである筆者が、CISSP(Certified Information Systems Security Professional)資格認定に挑戦し、無事に合格することができました!
この記事では、筆者がChatGPTを活用しながらおこなった勉強法(スケジュール・勉強時間、勉強法など)について紹介していきます。
「CISSPを取得したいがどのように勉強したらよいのかわからない」、「時間がないので効率的に勉強したい」という方に向けて書いた記事ですので、参考にしていただければ幸いです。
- この記事はCISSP合格を目指す方にとって以下のポイントを中心に記載しています。
- CISSPを取得したいがどのように勉強したらよいのか分からない
- 時間が無いので効率的に勉強したい
CISSP(Certified Information Systems Security Professional)とは
CISSP(シーアイエスエスピー)は、ISC2(アイエスシースクエア、International Information System Security Certification Consortium)が認定する、情報セキュリティ分野において国際的に権威ある資格の一つです。
この資格は、情報セキュリティの専門知識・実務経験・倫理意識を備えたプロフェッショナルであることを証明するものとして、世界中で広く認知・評価されています。特に企業や官公庁などのセキュリティ担当者、ITガバナンスに関わる管理職、リスク管理やコンプライアンスの専門家などにとって重要な資格とされています。
CISSPに認定されるためには
- 認定試験において1,000点中700点以上のスコアで認定試験に合格していること
- 正しく記述されたエンドースメント(推薦状)を提出すること
- 無作為に行われる業務経験に関する監査に合格すること
エンドースメントとは
CISSP試験に無事合格したからといって、それだけで「CISSP認定者」になれるわけではありません。合格後には「エンドースメント(Endorsement)」という公式な認定プロセスが必要です。
エンドースメントとは、受験者がCISSPの受験要件を満たしていることを(ISC)² メンバーによって正式に認めてもらうプロセスのことです。
CISSPの場合、以下の要件を満たす必要があります:
- CISSP CBK 8ドメインのうち 2つ以上のドメインにまたがる、5年以上の実務経験
- 一定の条件を満たすと、1年の免除(4年に短縮)も可能
・大学卒業学位(コンピュータサイエンス、情報技術(IT)、またはそれらに関連する分野)取得者
・ISC2が認める資格の取得者
エンドースメントの流れ
1. 試験合格の通知を受け取る
合格後、(ISC)²からメールで連絡が届きます。私の場合は試験終了後即時に受領しました。
2. エンドースメント申請を行う
(ISC)²の公式ポータルでログインし、エンドースメント申請フォームに以下を記入します:
- 実務経験の内容(どのドメインにどのように関わっていたか)
- 所属企業や上司の連絡先
- 推薦者(Endorser):既に(ISC)²メンバーである人物(社内外問わず)
実務経験については2ドメイン分英語で記載する必要があります。私の場合は、まずは日本語で対象のドメインと職務内容をそれぞれのドメインで3行程度にまとめ、Google翻訳で英語に変換し、転記しました。
また、在籍証明書(在職証明書)の *英語* で提出する必要があるので、早めに入手しておきましょう。
3. エンドーサー(推薦者)による確認と承認
エンドーサー(推薦者)が、あなたの経験を確認し、(ISC)²に推薦します。
4. (ISC)²による審査と認定通知
通常、申請から最大6週間ほどでメールで結果が届きます。メールにあるリンクに従い、年会費(135ドル)を支払い承認されると、正式に「CISSP認定者」となり、デジタルバッジや証書が発行されます。
エンドーサー(推薦者)探し
試験合格後に、CISSPとして認定されるために、自分のプロフェッショナル経験を証明することのできる、現役のISC2認定資格保持者(CISSP、SSCP、CAPなど)の方からのエンドースメント(推薦状)を提出する必要があります。
私の場合は、職場の上長にエンドーサー(推薦者)になってもらいました。
エンドースメントプロセスをスムーズに進める上で、事前にエンドーサーになってもらえる方の名前およびISC会員番号を入手しておくとよいでしょう。
エンドーサ(推薦者)が周りにいない場合
ISC2にエンドーサーになってもらうこともできます。
Request Endorsementページにて、『Request ISC2 to endorse you. 』にチェックすることでISC2がエンドーサー(推薦者)となってくれます。
ただし、以下の書類が必要となります。
- Copy of Certificate/Diploma/letter from University or other to support my waiver claim (if applicable)
免除申請を証明する大学等の証明書やレターの写し(必要な場合) - Proof of employment for each Job/Position form
各職歴についての勤務証明書 - Contact Information for supervisor/reference of each position listed (name, phone, and email.)
各職歴についての上司/照会先の連絡先(名前・連絡可能な電話・電子メール)
勉強スケジュール
業務や家庭都合で全く勉強できない日がしばしばありましたが、1日1時間程度勉強するようにしていました。トータルだと120時間程度勉強しました。スケジュール感は以下のような感じでした。
2024年
- 11月 CISSP研修(5日間) 受講
- 12月 公式問題集(後述)の1周目の前半分完了
2025年
- 1月 公式問題集の1周目後半分完了
- 2月 公式問題集の2周目前半分完了
- 3月 公式問題集の2周目後半分完了
- 4月 公式問題集の3周目完了
- 5月 5月2日に受験し合格
勉強方法
1. CISSPセット研修 を受講する
有難いことに会社から受講の許可がでたので5日間の研修を受講しました。
講師の方がCISSPの考え方を丁寧に説明してくれました。技術的な細部ではなく、まず概念を重視する姿勢が印象的で、そのときに取ったメモを後から見返してみても、やはり学びが多かったと感じます。CISSPは個別の技術よりも、根底にある考え方や原則を大切にしていることが伝わってきました。
集合研修を受けることができない方でも、後述する公式問題集や生成AIを活用することで合格することは可能だと思います。
なお、私の場合は、集合研修で学習ガイドをもらったのですが、全く利用しませんでした。理由としては、辞書並みの厚さがあり、テキストを読んでも頭に入らなかったためです。他の人の体験談にもある通り、テキストは無理に利用せずとも合格できている方もいらっしゃるので、必要に応じてでよいかと思います。
代わりに、ISCが発行しているCISSP8ドメインガイドを利用し、各ドメインの要素で理解できていないものがないかチェックしていくと効率的かと思います。
2. 公式問題集で勉強する
公式問題集 ISC2 CISSP Certified Information Systems Security Professional Official Practice Tests(第 4 版) (Wiley版)を購入しました。 理由として、集合研修でももらえる市販の日本語版は「第 2 版」で内容が古く、Wiley版はWEBページで問題および回答を表示でき、ブラウザ翻訳可能であるためです。
問題を考える上で、問題で「何」が問われているのか、どのような根拠で回答を選んだのか、1問ずつ意識して取り組みました。
3. ChatGPTの活用
公式問題集の解説だけでは、他の選択肢がなぜ間違っているのかまで十分に理解できないことが続きました。そのため、ChatGPTを活用して各選択肢の正しい理由や根拠を確認、理解しました。
具体的なプロンプト例は以下のようにまずは「CISSPのインストラクター」の役割を与え、問題文と解答および根拠を回答しますようにしました。
【プロンプトの例】 あなたはCISSPのインストラクターです。 次の問題と解答を解明し、回答について根拠を示してほしい。 できる限り根拠リソースへのリンクを示してください。 情報を確認できる根拠がない場合は、推測を行わずにその旨を明記してください。 [問題] ※※※※※※※※※
[回答] a.------ b.----- c.---- d.---
また、ChatGPTで以下のような使い方も実施していました。
- わかりにくい用語(例.デューケアとデューデリジェンの違い)の確認
- ドメインごとの学習すべきポイントの確認
ChatGPTを活用することで、わからないポイントをピンポイントに学ぶことができ、効率的に学習することができました。これまでであれば該当する事柄を解説するドキュメントを探すことが工数としてありましたが、これがなくなったことでとても効率よく時間を使うことができました。ぜひ活用してみてください。
もちろん、ChatGPTは必ず正解を回答するわけではないので、必要に応じて正しい根拠資料を確認することも心がけましょう。
試験で意識したこと
1.CAT試験であることを理解する
試験時間は3時間で最大150問あるため、1問1分ちょっとしか時間をかけることができません。
また、採点対象外の問題(プレテスト)が25問ありますが見た目ではわかりません。
試験では、最初は比較的易しい問題から始まり、徐々に難易度が上がっていきます。そのため、序盤の問題は確実に正答することを意識し、問題によっては1分以上時間をかけて回答することもありました。
一方で、分からない問題に直面した際には、もしかすると採点対象外の問題かもしれないと自分に言い聞かせ、必要以上に気にせず、気持ちを切らさずに最後まで集中して解答し続けることを心がけました。
2.CISSPの原則に従って回答する
最優先事項は「人の安全」であり、次に重要なのは「事業を継続」させること、「費用対効果が高いか」(守るべき資産価値以上のコストを要する対策は間違い)を回答が満たしているかを意識しました。このようにCISSPでは「マネジメント視点での思考」が大切です。
CISSPにおけるマネジメント視点での思考を見つけるための有用な補助教材に、How To Think Like A Manager for the CISSP Exam (English Edition) (マネージャーのように考える) (Amazon.co.jp) があります。マネジメント思考を体系的に学びたい場合は、こちらも読んでみてください。
3.問題を「正しく」理解する
何が問われていて、特定のフレームワーク・基準・規則(NISTや法令等)を参照しているのかを「正しく」問題を把握し、問われている「問題」に「適切」な回答を選択することを心がけていました。
例えば、権限について考えるときに「最小限の原則」があり、「知る必要性(Need to know)がない情報にアクセスさせないこと」、「職務の分離」が軸になります。その上で「ジョブローテーション」や「強制休暇」は何のために行うかをきちんと理解しておくことが必要になります。
まとめ
CISSPは試験の合格だけでなく、エンドースメントを通して、自身の5年以上の業務経験を証明する必要があるハイレベルな試験になります。
また、資格を通して、単なるセキュリティの知識にとどまらず、幅広く・体系的にセキュリティを設計・運用・マネジメントする力を身に着けることができますので、是非ご興味を持たれた方はチャレンジしていただければと思います。
おすすめの記事
条件に該当するページがございません
