サイト内の現在位置

CCSP合格体験記:クラウドセキュリティのベンダーニュートラルな資格

NECセキュリティブログ

2024年4月12日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの鈴木雅也です。
今回のブログでは、筆者が先日合格したCCSP(Certified Cloud Security Professional) new window1というISC2 new window2が提供するクラウドセキュリティの資格について紹介します。

図 1 CCSP合格証書(一部情報はマスク)

注意点

本ブログは、私がセミナーと試験を受けた2024年当時の情報をもとに執筆しています。
ISC2では認定試験のルールを定期的に改定しているため、本ブログと最新の状況とでは内容に差異が生じる可能性がある点をご了承ください。

  • 本ブログ公開日時点では2022年8月の試験配分の変更 new window3が最新の状況。

CCSPとは

CCSPはISC2が提供する認定資格の一つで、クラウドサービスを安全に利用するために必要な知識を体系化した資格です。
ISC2が提供する他の資格として有名なものにCISSP(Certified Information Systems Security Professional) new window4があります。
この2つの資格が対象とするドメインを表1にまとめています。
見比べてみるとCISSPではクラウドに限らず情報セキュリティ全般を対象としていますが、CCSPでは基本的にクラウドに関するセキュリティが中心となっています。

表 1 CCSPとCISSPのドメイン比較 new window5 new window6
ドメイン CCSP CBK 6ドメイン概要 CISSP CBK8ドメイン概要
1 クラウドの概念、アーキテクチャ、設計 セキュリティとリスクマネジメント
2 クラウドデータセキュリティ 資産のセキュリティ
3 クラウドプラットフォーム&インフラセキュリティ セキュリティアーキテクチャとエンジニアリング
4 クラウドアプリケーションセキュリティ 通信とネットワークのセキュリティ
5 クラウドオペレーション アイデンティティおよびアクセス管理
6 クラウドガバナンス - 法律、リスク、コンプライアンス セキュリティの評価とテスト
7 セキュリティの運用
8 ソフトウェア開発セキュリティ

ISC2はCISSPとCCSPの組み合わせを「サイバーセキュリティ認定資格のパワーコンビ」と説明 new window7しています。世界的にもクラウド化、及びクラウドセキュリティの対策は必須になってきているため、CISSPとCCSP双方の知識を体系的に習得することは重要であると筆者は考えます。

受験のきっかけ

筆者はCCSPの取得以前に、CISSPとAWS認定セキュリティ - 専門知識(AWS Certified Security - Specialty) new window8を取得していましたが、前者は情報セキュリティ全般を俯瞰したもの、後者はAWSのセキュリティに特化したものであるため、汎用的なクラウドセキュリティの知識に関しては習得できていませんでした。
そのため、クラウドセキュリティについてベンターニュートラルに扱っているCCSPに以前から興味をもっており、いずれは当該の資格を取得したいと考えていました。
そのような中、2023年度に社内の取り組みでCCSPのインハウスオフィシャルセミナーが開催されると聞き、セミナーの受講と試験の受験を決めました。

認定試験

出題範囲と配分

出題範囲とドメイン毎の配分は表2の通りです。多少の偏りはあるものの、どのドメインも概ね満遍なく出題されます。勉強の際は特定のドメインに注力するのではなく、全ドメインを網羅するように進めると良いと考えます。
また、受験の時期によっては配分が変更されている可能性があるため、最新の情報を確認するようご注意ください。

表 2ドメイン毎の試験配分new window3
ドメイン 配分
ドメイン1:クラウドの概念、アーキテクチャ、設計 17%
ドメイン2:クラウドデータセキュリティ 20%
ドメイン3:クラウドプラットフォーム、およびインフラストラクチャセキュリティ 17%
ドメイン4:クラウドアプリケーションセキュリティ 17%
ドメイン5:クラウドセキュリティオペレーション 16%
ドメイン6:法律、リスク、およびコンプライアンス 13%
合計 100%

試験概要

試験概要は以下の通りnew window9です。

  • 受験方法:Computer Based Testing(CBT)
  • 出題形式:150問(日本語・英語併記)、四者択一
    ※内50問はプレテスト(採点対象外)項目
  • 試験時間:4時間
  • 合格基準:700点以上(1000満点中)
  • 受験費用:599米ドル
    ※筆者はインハウスオフィシャルセミナーの際に発行された受験用のバウチャーを使用
  • 試験申込:ピアソンVUE

試験会場

筆者が試験を申し込んだ際は、以下の2つから会場を選ぶ必要がありました。

  • Pearson Professional Centers – Shinjuku Japan (新宿)
  • Pearson Professional Centers – Osaka (大阪)

以前は帝国ホテルタワーに併設されている「Pearson Professional Centers – Tokyo (東京)」でも試験を受けることができたようなのですが、こちらは2023年11月末でクローズしてしまいましたnew window10
過去にCISSPなど他の試験で「Pearson Professional Centers – Tokyo (東京)」を使用された方は特にご注意ください。
余談ですが、新宿・大阪の次に近い試験会場は韓国でした。

上述の通り日本国内で受験できる会場は限られています。また、時間帯によっては予約枠が既に埋まっている場合もありますので、余裕を持って計画的に試験を予約することを推奨します。

試験対策と試験当日

試験対策

試験対策はインハウスオフィシャルセミナーと公式問題集を活用しました。

  • インハウスオフィシャルセミナー
    セミナーは5日間で開催され、専用のテキストと模擬試験用の冊子が教材として配布されました。
    セミナーの中では講師の先生が実経験をもとにした解説や、模擬試験問題の演習があり、分厚い教材にも関わらず5日間の中で効率的に学ぶことができました。
    加えてインハウスのセミナーということで、同じ社内でも受講しているメンバーがいたため、試験対策について話し合い切磋琢磨することで、モチベーションを高い状態に維持し続けることができました。
  • 公式問題集((ISC)2 CCSP Certified Cloud Security Professional Official Practice Tests, 3rd Edition) new window11
    ISC2から発行されている公式の問題集です。問題は850問が収録されており、筆者が購入した時点では英語の書籍のみでした。
    また、この問題集を購入するとSYBEX new window12 というWeb上のテストバンクも利用できるようになります。テストバンクには問題集と同じ問題が収録されており、Webブラウザ上で演習ができる他、正解や未回答の問題が何問あるか等、進捗を管理することができます。
    筆者の場合、問題集1周目は70%の正答率でしたが、最終的に84%まで上げた状態で試験に臨みました。

試験当日

NDAがあるため試験で出題された問題の詳細は記載できませんが、筆者は以下の様に解き進めました。

  • おおよその時間配分を決める(240分150問なので、1問あたり1.6分平均)
  • 問題文で悩むことがあれば英語の原文も確認して、題意の理解に努める
  • 四択の選択肢から消去法で回答を絞る

CISSPの試験を受けた際と同様、選択肢を1つに絞るのが難しいケースが多々ありました。その際は、与えられた選択肢のうち最もCCSPの考え方に即していると考えられるものを回答するようにしていました。それでも絞り切れない問題に遭遇した場合はプレテスト項目に該当しているのだろうと思うようにし、深く悩みすぎて無駄に試験時間を消費したり、後続の回答に悪影響が出たりしないよう、ポジティブな気持ちで進めるようにしました。
最終的には90分ほど時間を余らせて試験を完了しました。

その後、受付へ戻った際に試験結果の印刷用紙を受け取り、合格できたことを確認しました。
体感上では65%~75%くらいの正答率で、最悪の場合は不合格の可能性もあると思っていたため、合格の文字を見て安心することができました。
試験結果に正答率は記載されていなかったため、筆者が合格基準をどの程度上回っていたかは不明です。

認定手続き

試験終了の数時間後にはメールで合格通知を受け取りました。
同時にISC2のApply for Certificationのページ new window13から認定手続きができるようになっていました。筆者は既にCISSPを保有していたためCCSPの認定要件が免除 new window14され、ISC2にエンドースを依頼するだけの申請手続きで済みました。
申請から数日後、CCSPの認定完了のメール(図 2)を受け取り、合格証書(図 1)が発行されました。

図 2 CCSP認定完了のメール

CCSPを取得して

CCSPで学んだ内容はクラウドセキュリティにおいて汎用的な知識であるため、AWSやMicrosoft Azure等、実際のクラウドを使用する際にも同じ考え方を適用することができ応用力の高い資格であると実感しました。
また同じISC2の資格であるCISSPの考え方は日々のセキュリティ業務を行う中で役に立っていましたが、それをクラウドに対しても拡張することができました。
今後も発展していくと考えられるクラウドとセキュリティという分野について、両方の観点で学ぶことのできる良い機会だったと思います。

最後に

本ブログでは、CCSPの概要から認定までについて紹介いたしました。
セミナーや資格取得の勉強を通してCCSP合格を目指すことで、クラウドセキュリティに関する知識を体系的に習得できると考えます。クラウドや情報セキュリティに興味があり、更なるステップアップを目指したい方は、CCSPにチャレンジしてみてはいかがでしょうか。

参考文献

執筆者プロフィール

鈴木 雅也(すずき まさや)
セキュリティ技術センター リスクハンティング・システムグループ

IT基盤の構築・運用、脆弱性診断などの経験を経てNECへ転職。
現在はペネトレーションテストや脆弱性診断、社内CTFの運営、脆弱性に関する社内教育サービス運営に従事。
SANS SEC560 メダル保持。
CISSP/CCSP/情報処理安全確保支援士(RISS)/OSCP/GIAC GPEN, GCFE, Advisory Board/AWS SCS保持。
趣味は体内へのアルコールインジェクション。

執筆者の他の記事を読む

アクセスランキング