(2021/05/17 追記)
その後受験し合格した CISSP 試験も踏まえ、 SSCP 試験の攻略情報をまとめた記事を書きました。
あわせて是非ご覧ください。
(追記ここまで)
今日も今日とて、しなもんです。
おかげさまで前回の記事、「何気ない投稿も組み合わせると……!? SNS を使った特定の手口「メッセージ編」」は大変ご好評をいただくことができました。
ここまで多くの方にご覧いただくことができたのは、有名で実力あるリサーチャーの方々が取り上げてくださったことが大きいと考えています。
本当に感謝しています。
皆様もぜひ有益な情報を発信されているリサーチャーの方をフォローしましょう。
え? お前ももっと役に立つことをしゃべれ? ごもっとも……
(しなもんぶろぐを取り上げてくださった有名リサーチャーの方々の例)
初心者向けな感じでも重要な点を抑えててよかった #OSINT #OPSEC
— @Sh1ttyKids (@Sh1ttyKids) 2020年5月6日
公開した写真から住所がバレる!? SNS を使った特定の手口「写真編」https://t.co/KUyVib9x5b
何気ない投稿も組み合わせると……!? SNS を使った特定の手口「メッセージ編」https://t.co/xM1OnFENov
そういえば、ハンドルネームでTwitterやっている人の本名がChange\.orgでバレてしまう問題もありますね。
— Autumn Good (@autumn_good_35) 2020年5月7日
何気ない投稿も組み合わせると……!? SNS を使った特定の手口「メッセージ編」 - 午前7時のしなもんぶろぐ https://t.co/EE6YkJWiKi
何気ない投稿も組み合わせると……!? SNS を使った特定の手口「メッセージ編」 - 午前7時のしなもんぶろぐ https://t.co/0wHFfBvWut
— にゃん☆たく (@taku888infinity) 2020年5月6日
ネトストのハンドブック的な内容。(良い意味で)
※まぁセキュリティで仕事してる人ってネトスト気質普通にあるよね
なお、上の記事でしなもんぶろぐを初めてご覧になった方には誤解していただきたくないのですが、しなもんはネットストーカーではありません*1。
ネットストーキング手法に関心を持つ単なる善良な一般人かつ野良セキュリティリサーチャー*2ですのであしからず☆
SSCP になりました
さて、しなもんは先日、米国に本部を置く国際団体 (ISC)2 (アイエスシースクエアと読みます) によって、"SSCP" (Systems Security Certified Practitioner) という資格の認定を受けました。
しなもんがこれまでに取得した海外系の資格としては、同じく米国を拠点とする "CompTIA" の "Security+" "CySA+" があります。
CompTIA は IT 技術全般を扱いますが、(ISC)2 は情報セキュリティに特化した団体です。
いくつかの資格を認定していますが、中でも CISSP という資格が世界的に有名です。
今回しなもんが取得した SSCP は、(ISC)2 の資格としてはエントリーレベルの、現場で実際に手を動かす人向けの資格となります*3。
試験に合格したうえで、1年以上の実務に従事し、申請することでなれます。
しかし、以前から国際セキュリティ資格の最右翼として有名だった CISSP に比べ、SSCP はあまり知名度が高くなく、取得者も (少なくとも日本国内では) あまり多くありません……
教材があまり出回っておらず、合格体験記を参考にしようとして検索してもほとんど見つからない状態です。
そこでこれから受験される方のためになればと思い体験談を書かせていただきます。
受験の背景
・もともと 2020年春には IPA の実施する情報処理技術者試験を受けるつもりで準備していた*4のですが、新型コロナウイルスの影響で取りやめになってしまいました。
そこで代わりに受験できるものをと考えて選んだのが SSCP 試験でした。
・これまで情報処理安全確保支援士・Security+・CySA+の各試験に合格しており、基礎知識はそこそこあると判断しました。
SSCP 専用の対策、特にこれまで受験した試験では掘り下げられなかった分野を中心に勉強すれば、短期間で仕上げることができるはずだと考えました。
・実際に勉強した期間は 1~2ヶ月でした。
使用した教材と勉強法
とにかく情報が少ないうえ、日本語の教材がなさすぎるのに苦労しました。
公式ガイドブック
市販されているおそらく唯一の SSCP 向け日本語教材です*5。
2012年出版で、実はこの後に SSCP 試験は改訂されているため、本の内容があまり現在の試験に準拠できていません。
特にクラウドや仮想化などの話題が全然出てこない点に注意が必要です。
とはいえ、「セキュリティの運用と管理」など、前半のドメインは大きく内容が変わっておらず*6、(ISC)2 的な考え方を学ぶうえで有用です。
うまく言えないのですが、SSCP 試験は IPA 系の試験とは出題範囲や個々の話題の扱われ方にかなり違いがあるような気がしていて、それを実感するうえでも一度は目を通しておくといいと思います。
しなもんも一通り目を通しました。
後半、特にネットワークや暗号など技術系のドメインについては、IPA の試験でも (ISC)2 の試験でも内容に大差がないので、国内試験の経験者ならば無理して全部読まなくてもいい気がします。
Official Practice Tests
(ISC)2 SSCP Systems Security Certified Practitioner Official Practice Tests
- 作者:Chapple, Mike,Seidl, David
- 発売日: 2019/01/14
- メディア: ペーパーバック
いわゆる公式問題集です。
残念ながら、今のところ、ネット上で見かける怪しい問題集を除けば日本語の問題集は市販されていないようです。
しなもんは特別英語が得意ではないのですが、仕方なく本書を使って勉強しました。
7つのドメインごとの問題 65~75問程度と、125問セットの Practice Test が 2回分収録されています。
しなもんはそのまま本を使ったのですが、実は購入者は登録すれば Web 上で同じ問題を解ける (当時しなもんはそのことを知りませんでした……) ので、活用するといいと思います*7。
オンラインなら翻訳エンジンの助けを借りることができますし、誤答管理などの便利機能も使えます。
しなもんは一通り解いてみて、間違えた問題には印をつけておき、2周目では印付きの問題だけを復習しました。
試験日まであまり余裕がなかったため、全問を繰り返さず間違えた問題に絞って対策するようにしていました。
ドメインガイドブック
(ISC)2 Japan によると「SSCP 7ドメインにおける知識やスキルを体系的に示しています。」とのことです。
出題者である (ISC)2 がまとめたものなので、おそらく試験への準拠という点で最も正確な資料です。日本語ですし。
上のリンクから無料・登録等不要でダウンロードできます。
しなもんは最終確認用程度にしか使わなかったのですが、今思えばもっと早くから使っておけばよかったです。
記載されている用語を調べたり、「求められるスキルの例:〇〇を説明できる。」とあれば、それを実際に説明して理解度をはかったりできます。
その他公式の教材
(ISC)2 Japan が「チャレンジセミナー」や「1Dayセミナー」を企画している場合があります。
開催されていて都合がつくようであれば、参加してみるとよいのではないでしょうか。
申し込み
(本節以降の内容は SSCP 限定ではないので、他の方による CISSP 等の他試験種の体験談も参考にするといいです)
試験はピアソンVUE のテストセンターで行います。
ピアソンVUE: 登録・試験の予約
https://www.pearsonvue.co.jp/test-taker.aspx
それ自体は CompTIA などと同じなのですが、違うのは、それらに比べ受験可能なテストセンター・受験可能日が猛烈に少ないことです……。
なんと現在、受験可能な国内のテストセンターは東京に 2ヶ所 (日比谷と新宿)、大阪に 1ヶ所しかありません。
しかも毎日受験できるわけではありません。受験することを決めたら、とりあえずまずピアソンVUE に登録して日程を確認しましょう。
申し込みは英語で行います。と言ってもたいして難しい英語ではないので困難ではないと思います。
間違えてポルトガル語で申し込んだりしないようにだけ気をつけてください^^;
ちなみに日本語で受験する場合、ボタンを押せば英語の原文が見られます。よほど英語ペラペラの方以外は日本語での受験をお勧めします。
申し込み確定後の連絡も英語で来ます。受験にあたっての注意点は、英語が苦手な方も一度は (もちろん翻訳エンジンを用いてでよいので) 目を通しておいた方がいいです。
受験
しなもんは土曜日に新宿のテストセンターで受験しました。
新宿のテストセンターが入っているビルは土日は正面入り口が閉じられているため^^;脇の入り口でテストセンターをコールして開けてもらう必要があります。
対応してくださった職員の方の多くは日本人ではなさそうな感じに見えました*8が、日本語でのコミュニケーションには何の問題もありませんでした。
受付では 2枚の身分証明書 (1枚は写真入り、もう 1枚は保険証やクレジットカードで OK) の提示、写真撮影、ペンタブレットへの署名、手のひらの静脈の登録をします。
受験に際しては私物をすべてロッカーに置き*9、手ぶらで試験ルームに赴きます。
眼鏡のスキャン (カンニングツールでないことの確認) とポケットの中身まで全部点検される*10ことには驚きましたね……
入室してしまえば普通の CBT 形式です。
SSCP 試験は 180分で、おそらく申し出れば休憩をとることができたはずなのですが (静脈を登録したのはこのためのはず)、しなもんの場合は特にとる機会がなく、100分程度で解答終了しました。
CISSP 試験はこの 2倍の時間があるため、多くの方が休憩をはさむそうです。
問題については、具体的にお話しすることができないのですが、わかりにくいというか「これ全部正解じゃないの?」「どれもちょっとずつ違う気がするなあ……」という問題が多かった印象です。
問題集のようにスパッと答えが出ない問題が多いです。消去法で 2肢に絞って、どちらかといえばこっち、というような……
ガイドブックなどで考え方をしっかり身につけ、そうした問題にうまく解答するのも大事ですし、すぐ答えがわかる知識系の問題で確実に得点することも重要です。
合格ラインは 70% だそうです。ちょっとしたミスだけですぐ不合格になることはないので落ち着いて答えましょう。
翻訳は、まああんまり上手ではないんですが、致命的な誤訳はなかったように思いました。
日本語訳がニュアンスを表現できなくなっている箇所がたまにありましたので、怪しい問題は英語を確認するといいでしょう。でも、英語の時点で微妙な問題もあります……
試験終了すると受付でスコアシート (という名前ですがスコアは載っていません) をもらえます (まれにその場で出てこないこともあるそうです)。
合格の場合は大したこと書いてないのですが、不合格の場合はドメインごとの出来不出来が載っているそうです。つまりドメインごとの採点をしているということなので、捨てドメインを作らずまんべんなく勉強しなくてはいけないですね。
努力?の甲斐ありしなもんは無事合格することができました。
エンドースメント&監査
合格した場合はそのうち (ISC)2 からメールが届きます。これをもって本合格ということになります。
さて、この時点では単に「試験に合格しただけ」で、まだ SSCP になれたわけではありません。
SSCP になるにはエンドースメント (推薦) が必要になります。
一連の手続きを開始するにあたり、次の 2種類の人に相談しましょう。
1. エンドースしてくれる (ISC)2 会員
エンドーサーといいます。CISSP などの資格の認定を受けた (ISC)2 会員によって、「この人は〇〇 (資格) にふさわしい人ですよ~」とあなたを推薦してもらう必要があるのです。
実は会員の知り合いがいない人は (ISC)2 自身をエンドーサーにできるらしいのですが、何かと面倒が増えると思われますので、職場などに (ISC)2 会員がいればその方に頼むのが無難です。
候補の方が複数いる場合には、できれば英語の得意な方 (手続きは全部英語です) がよいでしょう。
2. 上司 (Supervisor)
エンドースメントの申請において、上司の名前・メールアドレス・電話番号を記載する必要があります。
これは後述する監査の際に必要になります。
勝手に書くとトラブルの元ですし、多くの方は前触れなく届く英語のメールを怪しむと思うので、必ず承諾を得て記載するようにしましょう。
ちなみに職級の指定はないのですぐ上の上司でもその上の方でも特に問題はないと思われます。また、エンドーサーとは別なので (ISC)2 会員である必要はありません (無理に分ける必要もないと思いますので、上司が会員なら両方お願いするとよいでしょう)。
以上 2者の承諾を得て連絡先をゲットしたら、いよいよ申請です。メールの案内に従ってオンライン申請してください。
数日待てば、いよいよ SSCP に……なれないことがあります。
申請者の中からランダムで、監査の対象になることがあります。しなもんはこの対象にバッチリ選ばれてしまいました。
監査に当たった場合にはメールでその旨連絡が来ます。そして、最初のステップとして申請者自らが以下の書類を (ISC)2に送付します*11。
・Candidate Consent & Release Form
同意書のようなものです。指定された web ページからダウンロードして、内容をよく確認のうえ、署名する必要があります*12。
・上司の連絡先
申請段階で必須なので普通は入力済のはずですが、誤りなどあれば送付します。この連絡先宛に後ほど確認依頼があります。
・学位などの証明書の写し
申請にあたって学位などを用いた場合*13 は送付する必要があります。
しなもんは今回関係ありませんでした。
さて、これらを送付して少しすると、(ISC)2 に伝えた上司の連絡先へ確認依頼が届きます。
エンドーサーではなく、あくまで上司 (Supervisor) です。
上司の方に必要事項を記入してもらい、(ISC)2 へ送付してもらいます。
以上の手続きに不備がなければ、初年年会費を納付すると、晴れて SSCP として認定されることになります。
詳細は省きますが、自分の不手際と無理解のためとはいえ、しなもんはこの手続きに際して盛大に右往左往する羽目になりました……。
皆さんはぜひこれらの事情を承知して、賢く立ち回ってください。
まとめ:SSCP になることはゴールじゃない
以上、しなもんが SSCP になるまでの体験談でした。
無事 SSCP の認定を受けても、それがゴールではありません。
CISSP などの上位資格の存在もありますが、それ以上に、(ISC)2 の倫理規約の次の文言が主な理由です。
Advance and protect the profession.
専門知識を高め、維持する。
そのために、 (ISC)2 の資格保持者は一定期間ごとに CPE と呼ばれる学習ポイントを獲得し続けなければなりません。
SSCP としてのしなもんの道のりはまだ始まったばかりです。
本気でセキュリティの世界で勝負したいという皆さん、一緒にチャレンジしてみませんか。
*1:本当です!
*2:本当です!!!
*3:一方 CISSP は経営者に説明を行ったりセキュリティシステムを設計したりする、マネジメント層寄りの資格です。
*4:試験種は内緒です♪
*5:ネットで販売?されている怪しい問題集を除けば
*6:どの内容がどのドメインに属するかは変更されている場合があります
*7:ただ、2020年6月に Web アプリが別のものに移行するらしいので、本に記載されている URL などがこれからそのまま使えるかどうかは保証できません。
*8:個人の印象であって、事実ではないかもしれません
*9:ティッシュと目薬は持ち込めるそうです。監督の方の確認はあるでしょうが
*10:自分で広げて何も入っていないことを見せる形式で、直接触られるわけではないのでご安心ください。
*11:宛先はメールに記載されています。郵送も可能ですが、まあメールで送るのが無難でしょう……
*12:私は自筆署名したものをスキャンして PDF にし、メールで送りました。
*13:資格によって、所定の学位や資格があると必要な実務経験が一部免除になる場合があります。