午前7時のしなもんぶろぐ

駆け出しのセキュリティエンジニア、しなもんのぶろぐ。

グローバル!? CompTIA Security+, CySA+ の対策法、しなもんが教えちゃいます!

こんにちは!

しなもんです!

 

唐突ですが、しなもんはちょっと珍しいセキュリティ系の資格を2つ取得しています。

 

それがCompTIA Security+CySA+ です。

f:id:am7cinnamon:20200218234250j:plain

CySA+ の認定証とカード (合格後シカゴから送られてきます)

 

本日はこちらの認定資格とその対策法をご紹介します!

 

 

おことわり

  1. ここから先、特定の団体や企業の製品・サービスをいくつかご紹介しますが、しなもんはこれらの団体・企業に属しておらず、利害関係もありません (ノベルティをもらったことがある程度です)。
  2. ご紹介する対策は CompTIA 系の他の試験 (Network+、Cloud+ など。一部の上級資格は除きます。) にも有効と思われますが、しなもんは受験していないので本当のところはわかりません。本記事はあくまで Security+CySA+ だけを扱います。
  3. しなもんが受験したバージョンは Security+(SY0-401)、CySA+(CS0-001) です。試験はおよそ数年に一度バージョンアップし内容や出題形式が変わるようです。最新版への対応を保証はできません。

 

CompTIA 認定資格ってなに?

CompTIA は、公式サイトによれば、

CompTIAは、EDIが様々な規格で利用され情報が飛び交う中、ISOやIEEEに対し標準化を提言するため、各社が集まる場として1982年に設立されました。その後も規格標準化の提言を中心に、リサーチ、CompTIA認定資格の認定など、IT業界と中央機関や教育機関との橋渡し役として、活動しております。

とのことです。

 

研究活動なども行っているそうですが、IT 系の資格試験の実施が有名です。

 

もともとアメリカで生まれた団体なので、認定資格も日本国内より海外での知名度が高いようです。

 

国内での知名度は正直イマイチですが、広報活動が活発なので、数年後には業界人なら誰でも知っているような存在になる……かもしれません。^^;

 

CompTIA 認定資格の特徴は、まず広い分野をカバーしていることです。

 

初歩的な知識のほか、ネットワーク、セキュリティ、サーバ、Linux*1クラウド、プロジェクトマネジメントなど多岐にわたります。

そのため自分の好きな分野を選んで受験することができます。

 

また、多くの試験の難易度があまり高くない*2ことも特色です。

 

 これは「合格してもあまり自慢できない」という意味ではデメリットのようですが、「試験勉強を通じて基礎知識を効率よく身に着けられる」「ほどほどの努力で達成感が得られる」というメリットもあります。

 

 特にセキュリティ関連分野では、ハイレベルな資格*3 の数に対して、中難易度の資格試験は多いとは言えません。CompTIA 認定試験は初心者などが勉強して受験するにはちょうどいい難易度です。

 

一方 CompTIA 認定試験最大のデメリットは受験料が高いことです。

 

一例として Security+ の場合、なんと定価で税込¥43,732- もします。

 

ただ海外系の試験としては突出して高いわけではありませんし、学生の方の場合は半額以下で受験できます。

 

個人で負担するにはちょっと高額ですが、個人的には受験する価値はあるかと思います。

 

Security+ ってなに?

CompTIA の数ある資格の中でも中心的な存在と考えられているのが「Security+」です。

www.comptia.jp

Security+ は、その名の通り情報セキュリティの基本をひととおり扱う試験です。

 

CompTIA 公式ページには「最低2年間の業務経験」「IT Fundamentals+ → A+ → Network+ → Security+」などと書かれていていかにも難しそうですが、IT 系が初めて、セキュリティ初めての方がいきなりこれから受けても問題ないです (多少勉強に時間がかかりますが)。

 

 確かに一部ネットワークの知識を要するのですが、Secuirty+ 向けの勉強として学べば十分です。

 

 高度な知識・技術を証明するタイプの試験ではないので、どちらかというと実務経験者より初心者が基礎知識を体系的に学ぶのに向いているといえるでしょう。

 

 有効期間は 3年間です。特定の上位試験への合格、再受験での合格などの条件を満たすと延長できます。

 

CySA+ ってなに?

Security+ のワンランク上の資格が CySA+ (Cyber Security Analyst+) です。

www.comptia.jp

(同格の試験に Pentest+ があるのですが、こちらはペネトレーションテストに対象を絞った試験なので、Security+ からのステップアップには多くの場合 CySA+ の方が向いています。)

 

 特定の立場 (監査人、ペネトレーションテスターなど) を想定したものが多い海外のセキュリティ試験には珍しく,様々な分野を少しずつ Security+ から深化させる感じの試験です。

 

 例えばセキュリティ設計、CSIRT*4・SOC*5業務、脆弱性診断、セキュア開発、デジタルフォレンジック*6などを少しずつ詳しく学びます。

 

そのため上位試験の割には覚えることはそれほど多くないのですが、あくまで Security+ の範囲を理解できていることが前提なので、これだけを受験するのはおすすめしません。

 

 有効期間は 3年間です。Security+ の有効期間中に合格した場合、Security+ の有効期間がその日から 3年後に自動延長されます

その意味でも Security+ の後に受験するのがおすすめです (笑)

 

試験対策!!

Security+ もしくは CySA+ を受験しよう!と決めたら何をしたらいいのでしょうか。

 

対策法は基本的に両試験で共通です!

 

受験時期を決める

CompTIA 認定試験はすべてコンピュータ上で実施します。特定の日に会場に行って他の受験者と一緒に受験するものではありません。

 

そのため、受験時期や時間帯はある程度好きに選ぶことができます*7

 

余裕を持ちつつ、中だるみもしないような期間を設定するといいでしょう。

 

もちろん現在の実力や勉強に使える時間次第ですが、1~3か月後が目安です。

 

そして、その期間内で万全の対策をします。

 

テキストを読む

問題が解けるなら無理に読む必要はないのですが、個人的には専用のテキストを読んでおくことを強くおすすめします。

 

IPA の情報セキュリティマネジメント試験や情報処理安全確保支援士試験とは傾向や範囲が違う部分があり*8、それら向けの勉強だけではカバーしきれないからです。

 

テキストは TAC のものがおすすめです。ほとんどすべての問題は本テキストに載っていることから出ます

Security+ テキスト SY0‐501対応 (実務で役立つIT資格CompTIAシリーズ)

Security+ テキスト SY0‐501対応 (実務で役立つIT資格CompTIAシリーズ)

  • 作者: 
  • 出版社/メーカー: TAC出版
  • 発売日: 2018/10/26
  • メディア: 大型本
 
CySA+ テキスト CS0-001対応 (実務で役立つIT資格CompTIAシリーズ)

CySA+ テキスト CS0-001対応 (実務で役立つIT資格CompTIAシリーズ)

  • 作者: 
  • 出版社/メーカー: TAC出版
  • 発売日: 2018/03/10
  • メディア: 大型本
 

情報量の割にやたらと高いのですが、変にケチって受験料をムダにするよりはるかにましです。

 

また、このテキストは簡潔によくまとまっており、試験対策以外でもセキュリティを概観するにはよいテキストです。

 

特に「図」(ネットワーク構成図、セキュリティ装置配置図など) にはよ~く目を通しておくといいでしょう。

 

問題を解く

本試験の合格点は 750/900 点 (Security+, CySA+ の場合です。試験によって異なります)と、かなりの正解率を求められます。ほとんどミスすることができません。

 

そこで本番同様の問題にあたって解きなれておく必要があります。

 

また問題演習には、ダラダラとテキストを読んでいるだけではあやふやだった部分が明確になったり、どこが出やすいのかを把握できるという効果もあります。

 

テキストを読み終えてから、などといわず同時並行でもいいのでどんどん解いていくべきです

 

問題集を解きましょう、といいたいところですが、本試験にはもっといい方法があります。

 

TAC の Web 模擬試験

web.tac-school.co.jp

(TAC でも、通信講座は使ったことがありませんので評価できません。おすすめしているのは Web 模試です。)

 

この Web 模試のすごいところは、

 

★的中率が高い

なぜかわかりませんが、(少なくとも Security+CySA+ では) 模試と同じような問題が本試験でよく出ます

 

言い回しなどはもちろん違うのですが、模試の問題を解いて覚えていれば解ける感じの問題が多いのです。

 

そのため Web 模試をやりこんでいれば、ボーダーの高い本試験でも落ち着いて高得点を出せるのです。

 

★CBT に慣れることができる

本試験は CBT、つまりコンピュータ上で選択肢を選ぶなどの形式で行われます。

 

Web 模試はパソコン上で行う*9ので、紙の問題集より本番に近い形で練習できます

 

ただし、Web 模試と本試験のインターフェース自体はそれほど似ていません。

 

★パフォーマンスベースド問題の対策ができる

パフォーマンスベースド問題またはシミュレーション問題とは、より実務に即した形式で、図を穴埋めしたり設定表を完成させたりする問題です。

 

一問一答式と比べ答えるところが多い分、配点も大きいと推測されます。

 

Web 模試にはこれの対策問題もついています。(内容自体は) これも模試とよく似た問題が出ます

 

ただインターフェースはあまり似ていない (本試験では大きな図がババンと出てきたりするところ、Web 模試ではそうではない) のでそこは注意です。

 

 例によってかなり高額なのですが、本気で合格したい方はぜひどうぞ。

 

何度もチャレンジして正答率 100% を目指しましょう。

 

申し込みから実際に解けるようになるまで数日かかる (ID とパスワードが郵送されるのを待つ必要がある) ことと、受講期間に制限があることに注意してください。

 

問題集

問題演習としては圧倒的に Web 模試がおすすめですが、問題集も出ています。

Security+ 問題集 SY0‐501対応 (実務で役立つIT資格CompTIAシリーズ)

Security+ 問題集 SY0‐501対応 (実務で役立つIT資格CompTIAシリーズ)

  • 作者: 
  • 出版社/メーカー: TAC出版
  • 発売日: 2018/10/26
  • メディア: 単行本(ソフトカバー)
 
CySA+ 問題集 CS0-001対応 (実務で役立つIT資格CompTIAシリーズ)

CySA+ 問題集 CS0-001対応 (実務で役立つIT資格CompTIAシリーズ)

  • 作者: 
  • 出版社/メーカー: TAC出版
  • 発売日: 2018/03/10
  • メディア: 単行本(ソフトカバー)
 

 そこそこ値が張るうえにあまり情報量がないため特に推奨はしませんが、Web 模試だけでは不安な方は合わせて取り組むといいかもしれません。

 

そんなに時間のかかるものでもないので、書店で見かけたら立ち読みで済ますのも一つの手かと思います (私はそうしました。本屋さんごめんなさい) 。

 

 情報を収集する

ブログや Qiita に合格体験記を載せている方がいらっしゃいます。

 

勉強より先にやるべきことかもしれませんが、合格者の体験談は非常に参考になるのでいくつか読んでおくといいと思います。

 

Security+ 合格体験記」などと検索すると見つかります。

 

(最初に書かなかったのは、最初にそれを書くと本記事の存在価値がなくなってしまうため><)

 

CompTIA 認定試験はあまり教材などが出回っておらず、どの方も似たり寄ったりの対策をしてきたことがお分かりいただけると思います。

 

 まとめ

  • CompTIA 認定試験はグローバルな IT 資格
  • Security+ はセキュリティの基礎知識をつけるのに最適
  • CySA+Security+ の上位資格
  • 受験時期は都合のいい時期を自分で選べる
  • テキストと Web 模試を活用するのが定番

 

 皆さんの合格をお祈りしています!!

 

*1:有名なフリーの OS です。サーバによく使われています。

*2:CASP+ のようにかなりハイレベルの試験もあります。また、Pentest+ のように、まだ日本語教材が出回っていない試験は、後述する対策法が使えないため、実質的な難易度は数段上になります。

*3:情報処理安全確保支援士、CISSP、SSCP、CISA、CISM、GIAC、CEH……

*4:Computer Security Incident Response Team、コンピュータセキュリティインシデント対応チーム

*5:Security Opreration Senter、ログを監視・分析してインシデントを検知する組織

*6:法廷へ提出する証拠をコンピュータから取り出し分析・保存する技術。

*7:試験のバージョンアップ前には受験できなくなる時期があります。またすべての日・時間帯に受験できるわけではありません。それでも情報処理技術者試験などと比べれば段違いで融通が利きます。

*8:例を挙げると、RADIUS や Kerberos のような特定の方式、ウェルノウンポート番号、物理セキュリティなどは IPA 系の試験ではほとんど扱われません。

*9:見にくいですが、スマホなどでもできます。これを利用して通勤・通学中に勉強するのもいいかもしれません。