午前7時のしなもんぶろぐ

駆け出しのセキュリティエンジニア、しなもんのぶろぐ。

あまり参考にならない CASP+ 合格体験記

10/22、CompTIA が実施する認定試験である「CASP+」(CAS-004) に合格しました。

www.comptia.jp

正直パッとしない受験体験だったので人様に語るようなものではないのですが、今のところあまり合格報告のない試験であり、ちょっとしたことでも書き留めておけばこれから受ける方の参考になるかも、という魂胆から記録しておきます。

 

 

なぜ「あまり参考にならない」のか

真面目に勉強しなかったからです。

 

CASP+ の概要

試験実施団体の CompTIA は米国に本部を置く団体です。

様々な活動を行っているようですが、一番有名なのが IT 系認定試験と思われます。

www.comptia.jp

A+、Network+、Cloud+、Server+、Project+ など数多くの試験種がありますが、中でもサイバーセキュリティ系の一群には「Cybersecurity Pathway」と呼ばれるモデルが設定されています。

 

引用元:

https://www.comptia.jp/cert_about/certabout/

 

具体的には、

Security+ はサイバーセキュリティの基礎を、

CySA+ は実務家・アナリストとしての知識を、

Pentest+ はペネトレーションテスターとしての能力をそれぞれ問う試験になっています。

 

そしてそれらの上位試験である CASP+ は、セキュリティ全般にわたる広範な知識が要求されることになっています。

 

ただ、Security+ はいいとして CySA+ と Pentest+ に対して上位互換と言ってよいかには疑問が残ります。

特に CASP+ ではペネトレーションテストについてはあまり大きく扱われない (まったく出題されないわけではないが) ので、Pentest+ を経由せず CASP+ に直行しても特に問題はないかと思います。

(実際私も現時点で Pentest+ は取得していません。興味はあるんですが)

 

問題は最大 90 問、試験時間は 165分 (自分で切り上げることが可能) です。

問題のほとんどは複数の選択肢から正解をひとつ (もしくは複数) 選ぶクイズ形式ですが、最初に「パフォーマンスベース」という変則的な問題があります。

コンピュータ上での受験となりますが、インターフェースは可もなく不可もなく、進む・戻るのほか「見直しフラグを立てる」ことが可能です。つまり見直しや解答保留が可能です

 

合格ラインは非公表となっています。

Security+ などは 84% 程度がボーダーなので、このくらいを想定しておけばよいのではないかと思います。

ただ、実際自分がそれだけ点を取れていたかというと微妙なので、実はもっと低いのでは?という気もしないではないです。

試験終了後に私が受け取ったスコアレポートには、「以下の出題範囲の項目で、1つまたは複数の解答に不正解がありました」として、実に 19 個もの項目が列挙されていました (対象の項目は全部で 28 個)。これらの項目が一問一問に対応するわけではないと思われるので本当は何問不正解だったか不明ですが、結構間違えたのに合格できるものなんだなというのが率直な感想です。

 

そのほか、受験してみて次のような印象を持ちました。

 

・特定の立場を想定していない

自分の立場は問題によって CISO 補佐だったりアーキテクトだったり SOC アナリストだったりフォレンジックエンジニアだったりペンテスターだったりと様々です。

よって、「○○の立場ならどう考えるべきか?」という点に重点が置かれておらず、割とプレーンな知識で勝負できる感じです。

この点で (ISC)2 系列の試験とはけっこう趣が違います。

 

ただ、見方を変えるとどんな立場での問題にも対応できなければ点が取れないということでもあります。

特定の立場に限らず「セキュリティ何でも屋」であることを求められていると感じました。

 

・新しい話題が多い

最新版である CAS-004 では、例えば「クラウド移行に伴うリスク」とか「リモートワーク導入」とか、比較的最近の IT の流れに沿った設定の出題が多いと感じました。

 

2年前に受験した CISSP 試験はかなりトラディショナルな出題だった印象なので、もしかしたらこれが CASP+ と CISSP の違いかもしれません。

 

ただ、私が受験した頃から CISSP 試験はアップデートされているので、現在ではそこまでの差ではない可能性もあります。

 

また、少しですが IT ではなく「OT (Operational Technology)」の問題もあります。

 

・略語が多い

IT の分野では大量の略語が登場するものですが、CASP+ 試験ではこれらがそのまま、省略前の言葉を抜きにしてバンバン出てきます

 

そのため問題文や選択肢に登場する略語が何か知らなければ、解答に際してかなりの不利となります。

 

この辺りは勉強量がものをいうところで、後述するように私は相当横着したので、かなり苦しむことになりました。

 

・問題が結構難しい

パフォーマンスベース問題を含むとはいえ最大 90問なのですぐ終わると思ったのですが、意外と考え込む問題が多く、問題数の割には時間がかかりました。

少数ながら「なるほど!」と思う出題もあったのですが、内容について口にできないのが残念なところです。

 

私の状況

CASP+ を受験しようと思ったのは、すでに取得していた Security+ と CySA+ がそろそろ期限切れになってしまうためです。

同等以上の試験に合格すれば延長できるのですが、わざわざお金と手間をかけて同じ試験を受け直すのも面白くありませんので、上位試験である CASP+ を目指すことになります。

(なお、Pentest+ の合格では Security+ は更新できますが、同格扱いの CySA+ を更新することはできません)

 

言い換えると、今回最終的に CASP+ に不合格になるとすでに取得している資格が失効してしまうというちょっと危機的な状態でした。

 

CompTIA 系以外では CISSP、SSCP、情報処理安全確保支援士試験などに合格しています。

 

対策の方針

Security+ や CySA+ にはほとんど必勝法ともいえる鉄板の対策がありました。

  1. TAC のテキストを読む
  2. 同じく TAC が提供している Web 模試をやりこむ

しかし、残念なことに TAC から CASP+ 試験のテキストや Web 模試は出ていません。そこで他の方法を考える必要があります。

 

(余談ですが、Pentest+ も同じ状況です。そのため、同格とされている CySA+ と Pentest+ では実質的な難易度にかなり差があると思っています)

 

使えそうなものを下に列挙します。

 

・The Official CompTIA CASP+ Self-Paced Study Guide

jp-store.comptia.org

(リンク先は日本語の書籍版。電子版や英語版もあります)

 

いわゆる公式テキストです。

日本語で手に入る CASP+ の教材はおそらくこれが唯一なので、「日本語で勉強したい」+「テキストを読んで勉強したい」方はこれを使うことになります。

(英語が読めるなら他にも選択肢があります。Amazon などで調べてみてください)

 

しかし CompTIA Store でしか売られておらず、電子版でも 2万円越えという高額なのが難点です。

 

私は最初から素直にテキストを読もうという気がなかったので購入していません。そうでなくても中身のわからない本にここまで高額を支払うのにはなかなか勇気が要ります。

 

・CASP+ CompTIA Advanced Security Practitioner Practice Tests

www.amazon.co.jp

CompTIA Store でも問題集は売られていないので、問題集で勉強したい人はどうしても英語で取り組む必要があります

 

私は上のリンク先のを購入しました。

 

ただ、解説を読んでも納得できない問題がちょくちょくあったりして、勉強していてややストレスがたまりました。

体感ですが問題集より本番の問題の方が「知っていればパキッと答えが出せる」感じの問題が多かった気がします。(ISC)2 の試験とは対照的に

 

英語で問題なんか解けないと思う方も多いでしょうが、これに限らず Sybex の問題集は登録すると同じ内容の Web 問題集が使えるようになるのでそちらを使うことをおすすめします。

www.efficientlearning.com

Web ベースならば機械翻訳の助けを借りられるので、そのまま取り組むよりはるかに楽です。

私もこの Web 問題集にしか取り組まず、紙の問題集はまったく使いませんでした。

 

サボリの証拠

上の図が Web 問題集の画面です。どの範囲から問題を出すか選択後「Take the Quiz」を押すと問題が始まります。

 

一目でわかるように、半分もやっていません

なんとなく苦手そうな章から始め、得意な章に移行する前に受験してしまったというのが実情です。

 

このほかスマホアプリの問題集も出ているようですが、どれも使っていないので安全性や問題の品質はまったくわかりません。

 

・出題範囲

[PDF]

https://www.comptia.jp/pdf/CompTIA%20CASP+%20CAS-004%20Exam%20Objectives%20(6.0)_JA.pdf

CompTIA が公開している PDF 文書です。日本語で用意されています (英語版もあります)。

 

これはかなり充実したナレッジベースなので、是非完璧に押さえておくことをおすすめします。

一通り眺めて、知らない言葉については調べて覚えておくべきです。

 

私はそれさえ怠り、直前に流し読みをしただけだったのですが、受験中「これ出題範囲に載ってたやつだ!」と思う機会が何度もありました。

ちゃんと内容を理解してないので、結局解答の助けにはあまりならなかったのですが……

 

先述のとおり CASP+ は略語が説明なしでガンガン出てくるのですが、この出題範囲には略語リストも載っています。積極的に活用しましょう。

 

Free Retake について

CompTIA の認定試験のバウチャーには、Free Retake、つまり「不合格でももう1回タダで受験できる」権利が付いていることがあります。

 

いつでもやってるものなのかは保証できませんが、CompTIA Japan によれば「新しいFREE RETAKEバウチャーは、2022年2月15日より(予定)いつでもCompTIA Storeで購入いただけます。」とのことなので、今後はいつでも Free Retake できるようです。

www.comptia.jp

言うまでもないことですが、無料で再受験できることのありがたみははかりしれませんCompTIA の試験を受験するなら是非ともこの恩恵を享受するべきです。

 

単に落ちた時の保険になるのみならず、「万一落ちたとしても2回目がある」と思えば必要以上に緊張しなくて済むので、一発勝負が苦手な人にも向いています。

 

大事なことは、Free Retake はあくまで「Free Retake」と名前に付いているバウチャーに付属する権利であって、すべてのバウチャーが Free Retake ではないということです。

よって、CompTIA でバウチャーを購入する際には、必ず「Free Retake」と名前に入っているものを選んでください。これがないバウチャーは普通に一度落ちたら試合終了です。

値段は変わらないので、ノーマルバウチャーを購入するメリットは一切ないと思います。

 

もちろん私も Free Retake のバウチャーを入手し、Security+ などが失効する前に再受験できるようにスケジュールを組みました。

2回目の受験までは特に制限がない (3回目以降は期間を空ける必要があります) ので制度上は翌日にでも受験できますが、会場の予約や再度の受験勉強には数週間程度かかると見込んでいました。

 

そしていつしか「落ちてもどうせ再挑戦できるし、1回目で試験の雰囲気をつかんで、それをもとに対策して 2回目で合格すればいいんじゃないか」という怠惰な考えに憑りつかれた私は、対策が中途半端なまま 1回目の受験をすることになりました。

問題集の進捗が悲惨だったのはそのため

 

試験会場で

受験には 2種類の本人確認書類が必要です。「運転免許証orパスポート + 保険証orクレジットカード」の組み合わせが無難だと思います。

 

ほかにこれといって必要なものはありませんし、どのみち受験する部屋にはほとんど何も持ち込めないので、あまり荷物を持って行かないことをおすすめします。

最後にスコアシートを受け取るので、これを安全に持って帰れる程度の鞄などがあるといいでしょう。

 

出題の最初はパフォーマンスベース問題ですが、一見してよくわからなければ後回しにするといいでしょう。

私はもともと試験に慣れるのにやや時間がかかる性質で、最初の出来が一番良くないので、複雑なパフォーマンスベース問題は最後に残しました。

 

日本語訳については、明らかな誤訳 (「○○に××を実行する」の「××を」がまるまる抜けていた) はありましたが、適宜原文を確認すれば問題ないレベルでした。

英文を読むことから逃げるべきではないのは間違いないですが、本当に英文を確認すべき箇所は限られているので、日本語訳に疑義があったときだけ該当箇所を見れば十分でしょう。

この種の試験は、あまり英語が得意でない人ほど無理に全部読もうとして苦しんでいる印象です。もちろん英語をバリバリ読めた方が有利なのは確かですが、個人的には「原文でニュアンスを確認できる」効果より「逐一原文を確認しても得るものが少ない、ということをすぐ理解でき余計なことを考えなくて済む」効果の方が大きいような気がします。

 

先述のとおり悩む問題が多く、問題数の割に大変でした。

1週目は全問題の半分くらい「どうせこれはサーベイ問題だ (ということにしておこう)」と心の中で唱えながらの解答になりました。

2週目で再考してようやく自信を持てた問題が多かったです。

 

アンケートまで終了するとすぐに「合格しました」と出てくるので、(ISC)2 系のようにプリンタから紙が何枚出てくるかに気をつかう必要がありません。そこは親切だなと改めて思いました。

不合格なら「残念ですが……」的な文句が出てくるんでしょうか?

 

感想

  • グダグダだったがとりあえず Security+ と CySA+ が失効せずに済んで安心した
  • セキュリティ総合系の資格はこれで最後にしたい。同じような資格をたくさん持っていても仕方がないし、もっと具体的な技術にフォーカスしたい

 

変更履歴

2022/11/04 誤字修正