クラウドセキュリティエンジニアブログ

ニューリジェンセキュリティのクラウドセキュリティエンジニアチームが AWSなどのクラウドセキュリティについて気になることや調べたことを書くブログ

クラウドセキュリティ資格CCSPに7日間の勉強で爆速合格した話

yujioshima AWS

こんにちは、クラウドセキュリティアーキテクトの大島悠司です。
先日、(ISC)2のCCSP(Certified Cloud Security Professional)に、研修5日間+自習2日間の合計7日間の勉強期間で合格してきたので、その体験談をご紹介します。

CCSP(Certified Cloud Security Professional)とは

「CCSPドメインガイドブック」によると、以下のように説明されています。

  • (ISC)2が認定を行うベンダーフリー・カントリーフリーのクラウドセキュリティ資格
  • クラウド上のデータ、アプリケーション、インフラストラクチャの設計、管理、セキュリティを確保する高度な技術的スキルと知識を持っていることを証明

セキュリティ従事者であればCISSPが馴染み深いと思いますが、CCSPはクラウドセキュリティに特化した資格になっています。

CCSPとCISSPの取得者数は、執筆時点で以下の通りです。

資格 日本 全世界
CCSP 178 12,280
CISSP 3,699 156,054

www.isc2.org

日本ではまだまだ希少なことが分かります。

以下にCCSPの詳細がまとまっているのでご参照ください。

japan.isc2.org

筆者について

クラウドセキュリティアーキテクトとして、サービス開発、基盤運用、研究開発などに従事しています。
セキュリティアナリスト、基盤運用、インシデントレスポンスなどの経験があり、情報セキュリティ全般の知見はあります。
受験時点で保持している関連資格は以下の通り。

クラウド

  • AWS認定資格 × 12
  • Azure認定資格 × 6
  • GCP認定資格 × 4

セキュリティ

  • CISSP
  • GCIH
  • GCFA
  • GREM
  • CISA
  • CISM
  • CAIS-Assistant
  • 情報処理安全確保支援士
  • 情報セキュリティマネジメント試験

なぜ取得するのか

普段からクラウドセキュリティに関する業務を行っており、クラウドも毎日触っています。
一方で、原理原則であったり、業界全体の動向という点を網羅的に抑えているわけではありません。
あらゆるお客様にクラウドセキュリティソリューションをお届けするにあたり、抽象的な概念を深く抑えておき、誰に対しても解説できるレベルになる必要性を感じて、CCSPを取得するに至りました。
CISSPの取得時にも実感しましたが、(ISC)2の試験は単なる丸暗記で太刀打ちできるものでなく、様々な場面において最適な答えを出す考え方が求められます。
CISSPの考え方は業務においても非常に役立っており、CCSPはクラウドセキュリティに関する思考力を身に着けるのに打ってつけだと思いました。

認定試験概要

  • 出題範囲

CCSP CBK 6 ドメイン ※後述

  • 問題数

150問 ※50問は調査用で採点対象外

  • 時間

4時間 ※途中休憩可能だが試験時間は停止無し

  • 問題形式

4択、ドラック&ドロップ ※1度回答すると戻れない

  • 合格点

700/1000点以上

CCSP CBK 6 ドメインとは

(ISC)2 CBK委員会が、各種認定試験の作成に先駆け、情報セキュリティ実務担当者及び専門家が理解すべき知識を国際規模で収集し、分野(ドメイン)別に体系的にまとめたものです。
CCSP CBKは以下の6ドメインから構成されます。

1. クラウドの概念、アーキテクチャ、設計
ISO/IECやNISTといった標準に照らし合わせて、クラウドを構成するコンポーネントを学びます。
クラウドの特徴、リファレンスアーキテクチャ、費用対効果など。

2. クラウドデータセキュリティ
データライフサイクルの各フェーズに対して、どのようなリスクがあり、どのような対策があるのかを学びます。
CIAトライアド、暗号技術、著作権管理、データマスキングなど。

3. クラウドプラットフォームとインフラストラクチャセキュリティ
クラウド環境のリスク・脅威・脆弱性の評価、認証認可、データセンター設計、BCDRなど。
物理環境から論理環境に対するリスクと対応策や、クラウドにおけるアクセス管理を学びます。

4. クラウドアプリケーションセキュリティ
ソフトウェアライフサイクルの各フェーズに対するリスクと対応策や、アプリケーションに対する様々な脅威を学びます。
SDLC、OWASP、脅威モデリング、DEVOPS、テストなど。

5. クラウドセキュリティオペレーション
クラウドにおける運用管理の考え方を学びます。
ITIL、CISベンチマーク、SCAP、ベンダー管理、SIEMなど。

6. クラウドガバナンス-法務、リスク、コンプライアンス
クラウドに影響を与える法的枠組みや、監査プロセスについて学びます。
GDPR、米国CLOUD法、CSA STAR、SOCレポート、各国の法律・規制・認証など。

CCSP CBK トレーニング (5日間)

今回私は、NRIセキュアで販売されている「CCSP CBKトレーニング」を利用させていただきました。
総代理店はNTT-ATであり、5日間みっちりとトレーニングを受けられます。
トレーニングを受けた理由は以下です。

  • 以前受けたCISSPトレーニングの質が良かったため
  • 日本語のしかりした資料が入手できるため
  • 問題集の丸暗記法でなく考え方を学びたかったため
  • NRIセキュアの取扱記念で割引価格だったため

開催1週間ほど前にテキストが届きましたが、700ページを超え、分かりやすい図も豊富で非常に読み応えがありました。

トレーニングは5日間で、6ドメインと演習問題の解説を行ってくれます。
テキストに書かれていることだけでなく、講師の方の経験なども踏まえた非常に分かりやすい解説が聴けて、今までの知識を体系的に整理することができました。

自習 (2日間)

トレーニングは1/16-18、1/23-24の5日でしたが、燃え尽き症候群と言いますか、終わった直後は1週間程度は勉強する気力が起きない状態でした。
そこで、有給を頂いて3日間の休暇を確保できたので、ここで一気に復習しようと計画しました。
トレーニングは後で見返せる録画も提供されるので、こちらも有効活用しました。

2/3(金)[有給]:研修1~2.5日目の録画を聞き流しながらテキストを熟読(約20時間) 2/4(土)   :研修2.5~5日目の録画を聞き流しながらテキストを熟読(約20時間)

テキストをだらだら読んでしまうと時間がかかってしまうので、録画を聴いている間は、その関連部分を集中して読み込むということを実施しました。
録画がメトロノームの役割を果たし、時間を意識しながら読み込むことができ、耳からの情報も合わさって、非常に効率的に復習できました。

結果、本当は3日かけてやるつもりだったのですが、テンポよく復習して2日で終えることができました。

試験予約

2日で復習が終わり、この時点で2/4(土)から日が変わって、2/5(日)の午前2時ごろでした。
せっかくなので、直近で試験予約してしまおうと思いました。

研修直後に一度確認しましたが、2月で半分ぐらい空きがあったので油断していました。
なんと、2月中で空いているのが2/5(日)と2/9(木)のみになっていました。

3月だと遠すぎですし、2/9(木)がちょうどいいかと思いましたが、この時は詰め込んだばかりのため、「今なら受かる!」という自信に満ち溢れている状態でした。
なので、「このビッグウェーブに乗るしかない!」と思い、えいやと2/5(日)に試験予約を入れました。
しかも8時開始なので、6時間後には受けていることになります。
30分前に試験会場に到着する決まりがあり、試験会場へ移動も含めると5時起きは必須でした。
2日間がっつり勉強し、多少頭を休めたかったので、3時間少々睡眠をとりました。

試験当日

5時に起きることができ、何とか起床試験?には合格しました。
家を出る前にテキストを軽く見直して、用語や細かな数値を復習しておきました。

試験会場は日比谷の帝国ホテルタワーです。
CISSPやPMPで受けに来たことがあり、もはやお馴染みの聖地?です。
30分前に到着し、もろもろの手続きを終わらせて試験開始です。

意外に眠気はなく、勉強した直後でもあるので、さくさく解くことができました。
集中力を保てたため、休憩も取らずに2時間程で全て解き終わりました。

結果は、受付でもらうレポートで確認でき、合格することができました。

学習や問題を解くうえでのコツ

  • 実務経験に引っ張られすぎない

実務経験があるゆえに間違った回答を選択してしまうこともあります。
例えば、クラウド上のデータセキュリティにおける鍵管理はどのようにするのがベストでしょうか。
クラウド事業者から鍵管理をするサービスが提供されており、それを使うことで利用者の運用負荷を下げられます。
しかしながら、CCSPでは利用者が自社で管理する方がベストという見解です。

ここで、自社で鍵管理ソリューションを用意するのが手間であれば、HSM(ハードウェアセキュリティモジュール)を使うという選択肢も考えられますが、そこはコストや運用、準備期間などの兼ね合いになります。

これはCCSPの試験なので、実務経験に引っ張られすぎずに、CCSPの考え方をしっかりと身に着け、問題文で何を優先的に考えるべきかを読み取ることが重要です。

  • フレームワークを意識する

CCSPで出てくる用語は何かしらのフレームワークにマッピングできます。
簡単なものだと、CIA(機密性/完全性/可用性)やデータライフサイクル、ソフトウェアライフサイクルといったものです。
回答に迷ったら、選択肢がどのフレームワークのどこに属するのかを考えてみるとよいです。
例えば、選択肢A~Cはデータライフサイクルのうち「作成」のことを示しているけど、選択肢Dは「共有」ことを示しているといった具合です。
この場合、選択肢Dが正解の可能性が高そうだと判断できます。

選択肢を何かしらのフレームワークにマッピングすることで仲間外れを見つけることができ、それが回答になる可能性があります。
このような判断ができようになるために、学習段階で用語の暗記だけでなく、その用語がどのフレームワークのどういう位置づけなのかを意識して学習することが重要です。

感想

  • 業界標準としてのクラウドセキュリティのノウハウを学ぶことができ、これまでの知識を体系的に整理することができました。
  • CISSPと同じくマネジメントの要素が強く、クラウドの実務経験が豊富でも圧倒的に有利にはなりません。(実務レベルでイメージしやすくはなりますが)
  • CISSPと重複するところが多いので、CISSPを事前に取得しているとCCSPの取得も楽になるのではないかと思います。
  • 比較的新しい試験のため世界的にもまだまだ希少価値が高く、今のうちに取得しておくことは今後クラウドが急速に発展していく中で存分に役に立つと思います。

今回、研修5日間+自習2日間の合計7日間の勉強期間で合格することができましたが、時間がある方は時間に余裕をもって勉強いただくことを推奨します。

CCSPで学んだことを今後の業務にも生かしていきたいと思います。
本記事が皆様のCCSP取得のきっかけになれば幸いです。