CCSKを1日の勉強で一発合格したので、勉強方法の紹介

この記事は約12分で読めます。
スポンサーリンク

クラウドセキュリティの資格であるCCSK(Certificate of Cloud Security Knowledge)を1日の勉強で取得(試験に合格)することができたので、勉強方法を含めて情報共有します。

CCSKについて

CSA(Cloud Security Alliance)が運営しているセキュリティ資格です。ITセキュリティは非常に幅が広い分野ですが、この資格は主にクラウドに軸を置いた内容となっています。

詳細はCSAのオフィシャルサイトを確認してください。

CCSK – csajapan
www.cloudsecurityalliance.jp

CCSKを受験した動機

業務でもプライベートでもクラウドに関連する作業が増えてきたからです。このブログでも「仮想通貨」とか「Kubernetes」とか「AWS」とか、何らかの観点でクラウドに関連するトピックが増えてきました。

色んな観点でクラウドに携わっている身として、クラウドのセキュリティに特化した勉強をするのも意味があるかと思い、せっかく勉強するなら資格も取っちゃえと、いつものパターンです。

クラウドセキュリティの資格について、軽くネットで調べてみると、以下の2つの資格が目に留まりました。

  • CCSP (Certified Cloud Security Professional)
  • CCSK (Certified of Cloud Security Knowledge)

CCSPはCISSPと同様のISC2が取り扱っている資格です。CCSKはCKAが取り扱っている資格です。

パッと調べて見た限りだとCCSPの方がCCSKより難しそうでして、私はそこまで時間をかけてクラウドセキュリティを勉強するつもりもなかったので、安直にCCSKの取得を目指してみることにしました。

資格の概要 (2022年11月20日現在)

公式サイトより抜粋

  • 資格名:CCSK
  • 出題形式:60問
  • 試験時間:90分
  • 合格ライン:80%
  • 費用:$395
  • 失効する?:しない
  • 試験方式:オンラインで選択式(実技はない)
  • その他、備考:本を開いておく事ができます

一般的なIT資格の試験と違って「本を開く事ができます」と書かれているのが特徴的です。これは「Open Book」のある意味誤訳かと。CSAのコミュニティでの回答としても「試験中にドキュメントを参照して良い」との記載があるので、PDFなどで資料を参照しても問題ないと認識しています。

これだけ聞くと

「じゃあ勉強しないでも検索しまくったらイケそうじゃん!」

って思うかもしれません。私も安直に考えていました。でも、90分はあっという間です。この辺は重要なポイントなので後述します。

合格ラインは80%、つまり60問のうち48問は正解する必要があります。逆に言うと12問しか間違える事ができません。IT資格の中では合格ラインが厳しい設定だと思います。

個人的に魅力を感じたのは、資格の有効期限がないということです。色んな資格を取得していると、更新にお金がかかったり再受験が必要になったり、いろんな負担が増えるのです。この資格は失効しないと公式が謳っているので資格オタクの人も気軽にチャレンジできるのではないでしょうか。(バージョンが変わった時に再受験を勧めていますが、そこまで頑張るつもりはない)

費用は$395です。円安の昨今、このコストは痛い。CCIEとかCISSPに比べると安いのですが、それらと比べるとマイナー資格ですから。CCSK取得しても転職に有利になるとか、現行の業務での優位性を保てるとか、そんなの殆どないですから。そんな資格に約6万円もかける意味があるの?と感じました。

個人的には$200くらいが妥当じゃない?って思いました。

(まぁ受験したんですけどね)

ちなみに$395で2回まで受験できるらしいです。1回Failしても、その後に即座に受験することもできるらしい。そう公式に書いています。私は1回目で合格したので真偽の程はわかんないです。

受験はネットでできます。私の場合は普通のブラウザでした。CKAとかTerraform資格とかと違ってプロクターもいないので、かなりリラックスして行う事ができました。

資格の難易度

私は過去にも何度か資格について記事を書いておりまして、毎回言ってるのが

資格の難易度は、その人のバックグラウンド(経験)によってまちまち

ってことです。

なので、いつも「私がこれまで取得した資格」と比較して解説しています。これだと同じ資格を取得した事がある方の目安になると思うので。

で、今回受験したCCSKはこんな感じ。

CCIE R&S (ラボ)
CISSP
VCIX-NV
CCIE R&S (筆記)
CCIE SP (筆記)
VCP-DCV
CCNP Route
Certified Kubernetes Administrator
VCP-NV
CCNP-Switch
AWS Solution Architect
Terraform Associate
CCSK
ITIL Foundation
VCP-DCM
CJP
CCNA
Python基礎試験

ITIL FoundationとTerraform Associateの中間くらいに感じました。

まず、ITIL Foundationよりは圧倒的に範囲が広い。でも、Terraform Associateみたいに「めっちゃテクニカル」なわけでもない。だからこんな感じかなと。

CISSPを持っている人ならば、CISSPの1/12くらいに思っていたらいいかと思います。

(それでも想像以上に苦労したんですけどね)

CCSKの勉強時間

タイトルにも書きましたが「1日」でした。

実はこのブログを執筆している本日に受験して合格しました。で、勉強したのは昨日の土曜日の1日間です。

受験を思い立ったのは昨日の朝10:00でした。息子が朝から勉強しているのをYogiboに寝転びながら見ていて・・・

「自分の子供が勉強しているのに、私がぐーたらしてるのもなんだかなー」

「そういえばクラウドセキュリティの勉強しようと思ってたわ。なんやっけ、あの資格・・・CCSKか」

「これ、試験中も資料検索できるなら簡単そうやん。1日の勉強で合格したらブログのネタにもなるやん。最近はブロックチェーンの記事しか書いてなかったから、久々に資格関係アップデートするのもええかもな」

ってノリで始めました。

勉強方法の説明の前に

この後に勉強方法の紹介に移るのですが、、、前述の通り「CCSKの合格までどれだけかかるか」は本当に人それぞれです。

特にITセキュリティ業界に携わった事があるか?基本的なセキュリティ用語(Data at Rest、Governanceとか)に慣れているか?クラウド触ったことあるか?などで大きく変わってきます。

私はCISSPを保有しているので、ITセキュリティについては少しは知識がありました。また、クラウドについてもAWSとかAzureとかGCPを使う事があるので、それなりに知識がありました。

なので、殆どのトピックに目新しいものはなかったので、1日で取得できたってのはあると思います。

さて、本題の勉強方法

では、本題に入っていきます。

まず、試験を攻略するために最も重要なポイントは、他の資格と変わりません。

出題範囲を知る事です。

幸いにも、出題範囲や出題形式などは事細かく公式サイトに書いています。

Certificate of Cloud Security Knowledge (CCSK) | CSA
The CCSK is an open-book, online exam, completed in 90 minutes with 60 multiple-choice questions selected randomly from the CCSK question pool.
cloudsecurityalliance.org

上記が全てです。こちらにアクセスすると、以下の3点のドキュメントを取得する事が可能。(無料で!太っ腹ですね!)

  • CSA Security Guidance v4 (87%)
  • ENISA Recommendations (7%)
  • CSA Cloud Control Matrix (6%)

右の%は、CSAがオフィシャルに言ってる「試験の出題される率」です。つまり、「CSA Security Guidance」を完全にマスターしたら87%ですから、合格できることになります。

他にも、色んなサイトで取り上げられている資料もあったのですが、私は上記の3点以外は使いませんでした。だって、公式が「この3つから全て出るのである」って言ってるんだから、この3点を熟読するのが近道に決まっている!

私は勉強時間の90%ほどを「CSA Security Guidance」に費やしました。

このドキュメントは英語版で152ページあります。あ、私は英語版で勉強して英語で受験しました。

以下の章立てになってます。

  1. Cloud Computing Concepts and Architectures
  2. Governance and Enterprise Risk Management
  3. Legal Issues, Contracts and Electronic Discovery
  4. Compliance and Audit Management
  5. Information Governance
  6. Management Plane and Business Continuity
  7. Infrastructure Security
  8. Virtualization and Containers
  9. Incident Response
  10. Application Security
  11. Data Security and Encryption
  12. Identity, Entitlement and Access Management
  13. Security as a Service
  14. Related Technologies

・・・典型的な広く浅くパターンです。14ドメインもあるので、人によっては気が遠くなるかもしれませんが、基本的に3つのカテゴリに分類できます。

カテゴリ1:クラウドの概要

「1」がそれにあたります。

仮想化とか、クラウドの一般的な用語などが解説されています。IaaS/PaaS/SaaSの違いとかです。

クラウドセキュリティなので、この章を理解していないと話になりません。合格するには内容を完全に理解することをお勧めします。

AWS系の資格など、クラウド関連を勉強した事がある人にはベーシックなトピックが殆どだと思います。一方で、NISTが定義するクラウドの5つの特徴など、仕事に役立ちそうな情報も入っていました。

「めっちゃ面白いやん!自分がやってきた事を再勉強してるみたいで楽しい!」

10時から初めて11時くらいに終わりました。

カテゴリ2:ノンテクニカル関連

「2」から「5」くらいまでが技術とは直接関係ない内容です。例えば「コンプライアンス」とか「クラウド利用時に知っておいた方が良い各国の法律、レギュレーション」とかです。

かなり長いです・・・すぐに眠くなりましたが、隣で息子が勉強を頑張っているので、父親も頑張りました

法規とかガバナンスと聞くと難しそうですが、めっちゃ深くまで知る必要はありません。CISSPの1/5くらいの深さだと思っていただければいいかと。PCI-DSSとかHIPAAとかはあいかわらず出てきます。PIIの話とか、クラウドだとデータを保存する地理的な場所とかの話も出てきます。

このカテゴリ、私みたいなエンジニアにとってはつまらないのですが、ここの勉強をサボると試験に落ちます。少なくとも「どの辺にどんな情報が記載されているか」は覚えておく必要があります。

ドメイン5が終わったら、66ページをクリアしたことになります。

11時からはじめて、お昼を食べながら勉強していると15時くらいになりました。

カテゴリ3:テクニカル関係

「6」以降は主に技術が絡むトピックが多いです。BCとかIRとかも所々出てくるのですが、「2」から「5」のトピックよりは楽しく勉強する事ができました。

クラウドでのデータの取り扱いはどうしたらいいの?Custodianって誰?保存したデータについて、利用者とクラウド事業者の責任分界点は?

などのデータ関係の内容とか

Identityをどうやって連携するべき?リスクは?

など、認証認可絡みの内容など、かなり幅広いです。

この辺はクラウドを触った事があるか、ないかによって、費やす時間が大幅に変わってくると思います。認証周りを理解している人ならSAMLってキーワードを聞いただけで通信フローが想像できると思うのですが、経験がないと「IdPとは?」などのベーシックから勉強することになるので。

最後の「13」と「14」はおまけみたいなもので、ひたすら覚えることになります。既に知っている内容だったら楽勝です。

15時から始めて、気づくと22時になっていました。

残りの2つのドキュメントに目を通す

つまり、以下の2つの資料です

  • ENISA Recommendations (7%)
  • CSA Cloud Control Matrix (6%)

これについては「そもそもどんな内容が記載されているのか」・「どこに何が書いているのか」というチェックを中心に流し読みしました。特にENISAのはページ数も多いので、問題の解答を瞬時に探せるように「どんなキーワードで検索したら早く回答に辿り着けそうか」というシミュレーションをしたりしていました。

22時から開始して23時くらいに終わりました。

つまり、全体で約13時間の勉強となりました。

試験受けた

次の日、つまり今日です。

試験受けました。

結果、85%で合格しました。

あぶねぇ!!

5%しか余裕がなかった。つまり、あと4問間違っていたら不合格だったってことです!

(やはり1日の勉強では限界がある・・・もっと慎重にいかねば・・)

受験後の所感を。

90分は短い

「試験中に資料読み直せるんだから、楽勝でしょーー!」

って余裕かましていたのですが、、、甘かったです

60問を90分なので、実質1問を1分30秒でクリアしないといけません。モノによっては「True False、こんなの絶対にTrueやろ」みたいな瞬殺問題もあるのですが、殆どの問題は

「問題文が長くて、答えの候補も長い・・・問題読むだけで1分くらいかかるやん」

ってものばかりでした。つまり、勉強せずに猪突猛進したら、間違いなく時間切れで不合格になります

私はというと、、与えられた90分をフルに使うことになりました。90分経過した後に自動的に試験終了になって、震えながら画面を見てホッとしたパターンです。

10 | 11月 | 2014 | CSAジャパンブログページ
cloudsecurityalliance.jp
過去ブログ:%E3%80%80第2回csa勉強会「クラウドセキュ/

上記は公式サイトの過去ブログです。2014年の記事なので、かなり古いのですが、当時だと合格率が約60%だったらしい。

試験中に資料を参照できても合格率60%・・・察してください。

しっかり勉強しましょう!

それぞれのドメインからまんべんなく問題が出た

「所詮クラウドセキュリティだから技術的な質問が多いんちゃうか」

と予想していたのですが、、

ガバナンスとかコンプライアンスとか、ノンテクニカルな内容もばっちり出ました。で、その手の問題は問題文も長くて、解答にかなり時間がかかった。解答も1つに絞れない問題が多く、時間だけが過ぎていって焦りまくった・・・

興味がないドメインもしっかり勉強しましょう!

総括:とにかく、舐めてたら落ちます

まとめると

  • とりあえず公式が言ってる3つの資料だけで大丈夫(公式が言ってる)
  • でも、しっかり勉強していないと落ちる
  • 範囲はかなり広い、真面目に勉強するとそれなりに大変
  • 検索能力を上げておこう

こんな感じですね。

試験が終わった瞬間は、マジで30%くらいの確率で落ちたと思いました。絶望で週末が終わらなくて良かったです。

コメント

タイトルとURLをコピーしました