個人的な話で大変恐縮ですが、最近しなもんの周りではセキュリティ資格 "SSCP" 取得に向けた機運が高まっています。すぐ身バレしそうですね

 

私は昨年 SSCP 試験を受験し、合格しています。

 

その時書いた合格体験記はこちら。

am7cinnamon.hatenablog.com

あれから 1年経ったのですが、SSCP 試験に関する日本語の情報は相変わらず全然出てこないのが現状です。

 

 

その間に CISSP 試験にも合格し*1*2、両者を比較することで SSCP 試験についても考えが深まりました。

そこでもう一度 SSCP 試験についておさらいし、合格のための道筋の立て方を本気で考えてみようと思います。

受験や合格後の手続きの様子については上の合格体験記をご覧ください。

(過去記事の焼き直しとか言わない)

 

• SSCP とは
• 利用できる教材
• 英語をどうするか
• トレーニングは受けた方がいいのか
• 準備期間はどの程度必要か
• SSCP はどんな人におすすめなのか
• 資格試験はゴールではない

SSCP とは

SSCP (Systems Security Certified Practitioner) は、米国に拠点を置く団体 (ISC)2 (アイエスシー・スクエアと読みます) が認定する情報セキュリティの国際資格です。

 

japan.isc2.org

情報セキュリティに関する世界一有名な資格とされる "CISSP" のエントリー版に相当します。

 

公式には、マネジメント寄りでセキュリティのプロフェッショナル向けの CISSP に対し、セキュリティを専業としない人や経験年数が短い人向けの資格であるとされています。

 

試験は CBT (Computer Based Testing) で、3時間以内に 4択 125問に解答します。

試験言語は申込時に指定できますが、まあ日本語が無難だと思います。よほど得意な方なら英語あるいはポルトガル語でも。

受験費用は 249ドルです。

 

試験範囲は次の 7つのドメインからなります。

1. アクセス制御

2. セキュリティ運用及び管理

3. リスクの特定、監視及び管理

4. インシデント対応及び復旧

5. 暗号

6. ネットワーク及び通信セキュリティ

7. システム及びアプリケーションセキュリティ

 

それぞれの詳しい内容については、「SSCP 7 ドメインガイドブック (PDF)」をご覧ください。

 

利用できる教材

・SSCP認定資格公式ガイドブック 

 市販されている教材としてはおそらく唯一の日本語のテキストです。

 

情報処理安全確保支援士試験などの国内試験ではあまり触れられない「ポリシー・スタンダード・プロシージャ他」「リスク分析」「セキュリティモデル」などのトピックが豊富に載っているのが特長です。

SSCP 試験対策のみならず、より上位の CISSP 試験対策の取っ掛かりとしても手ごろです。

 

ただ、2012年に出版されてから 10年近くアップデートされておらず、この間に SSCP 試験の方が大きく改訂されているため、これだけ読めば万全とはいかないのが残念なところです。

 

本書の章立ては次のとおりで、現行の SSCP 7ドメインとはかなり異なることがわかります。

 

1. セキュリティの運用と管理

2. リスク、対応、復旧

3. アクセス制御

4. 不正なコード

5. ネットワークと通信

6. 暗号

7. 分析とモニタリング

 

このうち、1～3章 (+7章) の内容は、ドメインの分け方こそまったく異なるものの、内容自体は現在でも通用するので、ぜひ熟読しましょう。

 

5章と 6章は今でもそのままドメインが残っているのですが、これらの内容は米国系試験特有というものではないので、国内試験などで慣れている方なら無理に本書で学ぶ必要はないと思います。

 

4章「不正なコード」の内容は現在の試験では大きく扱われないので、これもさらっと読む感じで大丈夫でしょう。

 

反面、現在のドメイン7「システムとアプリケーションセキュリティ」にはクラウド、仮想化、開発など本書で扱われていない内容がふんだんに含まれているので、これらは別途補う必要があります。

 

・(ISC)2 SSCP Systems Security Certified Practitioner Official Practice Tests

公式問題集です。

 

試験で実際にすべきことは問題を解いて一定数正解することなので、その練習としての問題演習は試験勉強においては必須といえます。

 

また問題演習には「わかったつもりになっていたものの実は理解できていないところ」を浮き彫りにする効果もあります。ぜひ積極的に取り組むべきです。

 

すでにある程度基礎知識のある方 (他の試験に合格済であるなど) の場合は、テキストを読むより先に問題集を一通り解いた方が見通しが良くなるかもしれません。

 

本書は現行試験のドメインに対応しているので、ドメインごとに一通り解いてみて、結果を分析すれば得意分野や苦手分野を特定することができます。

以後の学習は苦手なドメインに時間や手間を優先的に割り振れます。

 

本書は紙版もしくは電子版が用意されているのですが、購入のうえ登録を行うと Web 問題集が使えるようになるので、活用するといいでしょう。

 

難点は日本語の問題集は*3出回っていないということです。この点では CISSP 試験の方が恵まれています。

これを何とかする方法については後述します。

 

また、あまり詳しく言えませんが、おそらく本番で出てくる問題は問題集に掲載されている問題より「いやらしい」ので覚悟しておく必要があります。

 

「正解 2個あるように見えるけどあえて 1個だけ選ぶならこれかな……」といった選択肢たちと戦いつつ妥当な解を選び続けなければなりません。

CISSP 試験についてよくそのような表現がなされていますが、はっきり言って SSCP 試験も似たような感じです。

 

・SSCP 7 ドメインガイドブック

https://japan.isc2.org/files/SSCPdomainguide190328v2.pdf

 

(ISC)2 Japan 公式が提供しているガイドブック (PDF) です。

登録等不要で誰でもダウンロードできます。

 

7個のドメインに含まれる「主題となるキーワードと関連する用語」「求められるスキルの例」を列挙したものです。

 

公式ガイドブックさえ古すぎて準拠性が当てにならない現在、試験実施団体自身が発行している本ガイドブックは、各ドメインの内容を把握するための資料としては最適なものといえます。

 

また、用語集としてもよくできているので、ここに掲載されている用語を調べて理解すること自体が試験対策にもなります。

(「よくある誤解」とか「論点」とかそれだけでは何だかわからないものも一部含まれてますが)

 

・公式無料セミナー

www.isc2.org

(ISC)2 Japan が過去に実施した無料セミナーが公開されています。

 

上のページの動画リスト中「SSCP ○○セミナー」という名前のものがそれです。

 

SSCP は CISSP 同様「考え方」を問う側面の強い試験なので、なるべく知識を固めるだけでなく講師の方のお話を聞いて、その「考え方」が何なのかを少しでも掴んでおきたいところです。

 

・スマホアプリ

 

iPhone、Android とも SSCP 試験対策用のアプリがいくつか出ているようです。

 

実際に使用・検証したわけではありませんので安全性や問題の妥当性については保証できませんが、自己責任で使用されるのもありだとは思います。

 

公式ガイドブックや Official Practice Test (紙の本の場合) はそこそこ大きく、通勤電車などでは使いづらいという事情から、スマホ 1つで手軽に勉強する手段があれば助かるのは事実です。

 

ただ、日本語のものはまず出ていないので、利用にあたっては英語を読みこなせることが必須条件となります。

 

英語をどうするか

 

もちろん英語が得意な方は何の問題もありません。

それ以外の方は教材に日本語のものが少ないという課題に立ち向かう必要があります。

 

テキストは公式ガイドブックなどが使えるので、工夫が必要なのは主に問題集です。

 

次のような方法が考えられます。

 

1. 気合いで何とかする

 

もはや手法でも何でもないただの根性論ですが、私が SSCP 試験で採った方法がこれです。

というか当時それしか思いつかなかっただけの話ですが。

 

具体的には、英語の問題集をそのまま読んで解くというものです。

電子書籍なら辞書機能などが使えるので多少楽だと思います。

 

2. Web 問題集と機械翻訳の組み合わせ

 

私が CISSP 試験で採った方法がこれで、総合的には 1番おすすめです。

 

SSCP Official Practice Test を含む Sybex の問題集は、購入して登録すると、本に掲載されているのと同じ問題を Web 上で利用できるようになります。

具体的な登録方法などは本に記載されています。

 

もちろん英語なのですが、Web ベースであるということは、ブラウザの拡張機能などを使って気軽に機械翻訳できるということです。

 

私が実際によく利用していたのは Firefox アドオンの "Simple Translate" です。Chrome 上でも利用できます。

 

(Firefox 版)

addons.mozilla.org

(Chrome 版)

chrome.google.com

Simple Translate で気に入っているのは、「選択した部分だけを翻訳する」「表示中のページはそのままに、翻訳結果はポップアップとして表示する」点です。

 

 

機械翻訳は簡単ですが正しく訳せないことも多いので、その場合は原文を読んで理解する必要があります。そのため原文がそのまま残るタイプの方が使い勝手がいいのです。

 

この「日本語訳に疑問点があれば原文を確認する」というのは試験中に実際にやることそのもの*4なので、問題演習を通じて慣れておくといいと思います。

(さすがに本番の問題の訳は機械翻訳よりははるかにマシですが)

 

翻訳手段は Simple Translate でなくても構いませんが、個人的に原文を残さずページ全体を問答無用で翻訳してしまうタイプのものはおすすめしません。

一見便利そうですが、原文が残らないタイプは誤訳があると補正が大変です。

原文なしで解釈するには、たいてい英文をそのまま読んで理解する以上の英語力が必要になります。

 

誤訳の例 (実際の問題ではありません)

Q: Bcrypt コマンドに使用されている暗号化アルゴリズムはどれか。

A. カツオ

B. ふぐ

C. ふぐ

D. 考え

 

？？？？？？？*5

 

3. CISSP 試験用の問題集を使う

 

実は SSCP の Official Practice Test と CISSP の Official Practice Test (↓) の収録問題はかなり重複しています。

 

それでいて CISSP 用のものの方がかなりボリュームが多いので、SSCP 用の問題というのはほぼ CISSP 用の問題に含まれている状態に近いです。

 

実際に両方受験した感想としても、CISSP の範囲は SSCP の範囲を完全に含んでいる印象でした。

 

つまり CISSP 向けの勉強をしていれば SSCP にも問題なく対応できるはずだと考えられます。

 

そして、CISSP Official Practice Test の方は日本語訳が出版されています。

 

まとめると、この CISSP 日本語問題集をバッチリやりこめば、SSCP 試験の対策も十分できるはずだということです。

これなら英語にはまったく関わらずに済みます。

 

SSCP は前哨戦で本命は CISSP という方にとっては、この方法を採ればいちいち別個の対策をしなくてよいのでかえって楽かもしれません。

 

ただもちろん、 CISSP 試験の方が広範囲かつハイレベルである (とされる) ので、SSCP 試験の対策としては過剰な労力をかけることにはなってしまいます。

 

CISSP と SSCP ではドメインの分け方が異なるので、特定のドメインの学習を省略できるということもありません。

 

X. 英語で覚えた方がいい言葉

 

以上 3種類 (実質 2種類) の方法を紹介させていただきました。

 

ただ、これらの方法を使うにせよ使わないにせよ、紛らわしい言葉や微妙なニュアンスの違う言葉はなるべくセットで英語で覚えることをおすすめします。

 

例えば authentication/authorization などです。それぞれ認証／認可と訳されることが多いですが (少なくともドメインガイドブックではそうなっています)、試験本番でも絶対にそうかどうかはよくわかりませんので、念のため英語で覚えておいて本番でも原文を確認した方がよいと思います。

 

また、authentication/certification のように、日本語にすると同じ「認証」でも意味が異なることもあります。こうした場合も日本語に依存せず元の言葉を確かめた方が無難でしょう。

 

この程度なら英語の苦手な方でもなんとかなるはずです。

 

トレーニングは受けた方がいいのか

 

SSCP 試験ではあまりメジャーではないようですが、上位試験の CISSP では受験にあたってトレーニングの受講が広く行われています。

 

もし会社の経費などで受講できる機会があれば積極的に利用した方がいいです。

私が話を聞いた限りでは、トレーニングを受講した方で「役に立たなかった、無駄だった」と評した方はほとんどいません。

それだけの効果があるということでしょう。

 

一方で、トレーニングを受けなければ合格できないのかというと、そんなことはありません。

私自身 SSCP、CISSP とも独学で合格しています*6し、本記事もトレーニングなしでの受験を前提に執筆しています。

 

合否を分けるのはあくまでトレーニングを受けたかどうかではなく、要求される知識や考え方をしっかり身に着けているかどうかです。

トレーニングはその道筋を示してくれますが、それ以外の手段、例えば自力でテキストを読み、問題集を解くという方法でも、十分に合格ラインに乗ることは可能です。

 

会社がトレーニング代を出してくれないからと言って諦める必要はまったくありません。

 

準備期間はどの程度必要か

SSCP 試験は CBT で、会場が空いている限り受験時期は自分で決められます。

 

一見融通が利くんですが、自分でエイヤッと決めないとなんとなくズルズル先延ばしにしがちでもあります。

 

個人的には勉強を始める初期の段階で「この時期に受ける」と決めて会場も押さえておくことをおすすめします。

 

準備にどれだけの時間を要するかは各自で異なるので一概には言えないのですが、SSCP の場合長くても半年程度までかなと考えます。

 

出回っている教材がテキスト 1冊、問題集 1冊程度しかないことを考えると、あまり長期間取ってもやることがなくなりそうな気がします。

 

SSCP はどんな人におすすめなのか

 

SSCP 試験の想定受験者は大きく 2種類に分けられます。

 

1. CISSP に興味がない方

 

何となくそこまでやらなくてもいいかなという方や CISSP の 120CPE / 3年という CPE (継続教育ポイント) 取得義務を重荷に感じる方です。

 

(SSCP も CPE を稼ぐ必要はありますが CISSP の半分に過ぎずそこまで大変ではありません)

 

現状 SSCP の知名度や評価は CISSP とは雲泥の差なので SSCP だけ取得して役に立つ状況はあまり多くないと思いますが、環境的に当てはまるようならばありだと思います。

 

2. CISSP 試験の受験を考えている方

 

個人的にはこちらの方におすすめです。

 

「CISSP にはなりたいけど SSCP なんかどうでもいいよ」という方は多いですし知名度を考えればそれも仕方ないのですが、SSCP 試験は CISSP 試験受験者にとって都合のいい性質をいくつも備えています。

 

・試験の形式が CISSP 試験と基本的に同じ (問題数や試験時間を除く)

・正解を選びにくい微妙な選択肢の問題が数多く出てくる点も同じ

・前述のとおり CISSP 試験向けの対策でほぼカバーできる

・受験料が CISSP 試験の約 1/3 (CISSP の受験料を 2020/5/1 以降の 749 ドルとした場合)

 

つまり本番同様の環境で似た問題を体験できる模試代わりに使えるのです。

 

もちろん模試代わりにしても同じ CISSP 試験の方が優れているといえばそうなのですが、CISSP は受験料だけで 8万円前後、そう気楽に模試だと思って受験できるものではありません。

 

SSCP 試験は値段がずっと安いのでハードルが下がります。

(同一形式の試験でなぜここまで金額が違うのかはよくわかりませんが……)

 

それに SSCP と CISSP で基本的な考え方に大きな差があるわけではないはずなので、下位試験といえども合格できれば方向性が間違っていないことを確認できます。

 

CISSP になりたい方はぜひご検討ください。

 

資格試験はゴールではない

 

はっきり言って、IT 業界では資格などなくても仕事はできます。

 

資格の有無と実務能力が一致するとも限りませんし、勤務先の考え方次第ではあってもなくても評価が変わらないということもあり得ます。

 

それでも何らかの理由で取得を望むならば、それに費やす手間や時間は少ないに越したことはありません。

 

今回は、SSCP 試験について興味のある方がゼロから調べ直す必要がないようにと思い、現時点での知見を一通りまとめました。

 

実際に受験される場合 (または受験するかどうかを検討する場合) にはご自身の立場や環境を考慮して適宜工夫してください。