CISSP 独学で資格取得までの道のり (勉強編②)
おつかれさまです。
前回のエントリでは、CISSPのオススメ参考書および問題集を紹介しました。
無事、合格&認定できて良かったです。。。
今回は『CISSPの対策本ではないものの、勉強する上でとても為になった本』を紹介します。勉強してる皆さんもいずれかの本を参考に知識を深めていったのではないでしょうか。
その前に…CISSPホルダーはお客様からどう見られるか
私は認定してもらった勢いで、会社名刺にも"CISSP"の文字を刻んでもらったのですが、先日お客様と挨拶する時にとある言葉を頂きました。
ぱんだまつり「オネチーッス、ぱんだまつりです」
お客様「(名刺チラッ) あ、CISSPをお持ちなんですね。今担当している案件ではCISSPを持ってる方が多いのでお手柔らかにお願いします。」
…とプレッシャーを感じるスタートの場が結構あります。
「CISSPの観点として」「責任者として」「CIAは分かるが私達の環境を考慮すると○○だとどうでしょうか」などなど、正確かつ明瞭な意見を求められます。
覚悟しましょう(笑)
為になった技術書
CBK3: Security Engineering
→暗号学
まず、学生時代含め"暗号学"に触れる機会が殆ど無かったため、わかりやすい参考書を探していました。でも、どれを見ても数式が並べられて難しい概念が記述されているものばかり…。そんな方にオススメなのが『暗号技術入門 第3版』です。"数学ガール"で有名な結城さんが【分かりやすく/極力数式も用いらず/歴史を交えて】暗号学を紐解いてくれます。なぜこの暗号化方式が選ばれるのか?なぜワンタイムパスワードが優れているのか?この本を読めばスラスラ理解できます。CISSP CBK3(ドメイン)でかなり助
CBK7: Security Operations
続いて、マルウェアを筆頭にネットワークセキュリティ全般の知識を確認できる名書です。大学の講義に近い形ですが、分かりやすく必要となるネットワークセキュリティの概念について確認できます。マルウェアの動き、検知する仕組み、DGA(ドメインジェネレーションアルゴリズム)など、CISSPの範囲を飛び越えた知識も得ることができます。個人的にCISSPの勉強といわず、ネットワークセキュリティの勉強として強く推せる参考書です。また、この本に興味を持った方は、オマケですが続編の『実践サイバーセキュリティモニタリング』もオススメです。学習したマルウェアに関する知識をフル活用して、攻撃を観測して解析する技術を演習形式で勉強することができます。章末問題のような確認問題もあるので復習もばっちりです(笑)
※回し者ではアリマセン。
・Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術
CBK7: Security Operations
脆弱性診断やペネトレーションテストを勉強する上で参考になります。CISSPの問題集を解いていると気づきますが、ブラックボックステストやホワイトボックステストの違いは?ペネトレーションテストを行う上での倫理的な問題は?テスト実行者はどこまで対象ネットワークの情報を知っている必要があるか?その辺の疑問をまとめて払拭できます。こちらも、体系的に学ぶことができます。気づいたらBurpSuiteやOWASP ZAPをインストールして、各種勉強会に足を運ぶことになるでしょう!
※回し者ではアリマセン
Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術
- 作者: 上野宣
- 出版社/メーカー: 翔泳社
- 発売日: 2016/08/01
- メディア: Kindle版
- この商品を含むブログを見る
最後に、これらの参考書は『セキュリティ初心者』の方にオススメする入門書です。今回紹介した参考書のレベルですらない!もっと!motto!基礎から固めたいんだ!という方はこちらから読むことをオススメします。(これより優しく基礎を書いている参考書はありますが、そこまでレベルを下げるのであれば受験は次年度に持ち越したほうが良いと思います)
- 作者: 竹下隆史,村山公保,荒井透,苅田幸雄
- 出版社/メーカー: オーム社
- 発売日: 2012/02/25
- メディア: 単行本(ソフトカバー)
- 購入: 4人 クリック: 34回
- この商品を含むブログ (37件) を見る
最後に大事なことを言います
CISSP試験には出題範囲だけでなく、得点配分も明確に決められています。
Domains |
Weight |
1. Security and Risk Management |
16% |
2. Asset Security |
10% |
3. Security Engineering |
12% |
4. Communication and Network Security |
12% |
5. Identity and Access Management |
13% |
6. Security Assessment and Testing |
11% |
7. Security Operations |
16% |
8. Software Development Security |
10% |
Total |
100% |
→CISSP Domains | Information Security Certification from (ISC)²
責任の所在やリスクマネージメントを問われるCBK1、セキュリティ運用に関わるCBK7の得点配分が大きいですね。これも是非参考にしてみてください。(ウェイトが少ないからと言っておろそかにすると自爆するのでご注意を)
今回も勉強する上で参考になる本を紹介いたしました。私が合格するまでに参考になった情報は今後も限りあるだけ吐き出して行こうと思います!
以上、宜しくお願い致します。