［資格レポ］Certified in Cybersecurity (CC)受験記

　セキュリティのセの字も知らない2020年、グリフィス大で初めてセキュリティの門を叩いたはいいものの、いきなり訳のわからないコマンドを叩かされて基礎知識の無さに泣き、その直後にはコロナの嵐の横殴りを受けて帰国、仕事を色々と変えながら、薄く細く長く中途半端にセキュリティの勉強をしてきた。中途半端にというのは、色々と納得できないままにバラバラな知識を仕入れてしまい、「何を言ってるのか知識のシナプスが繋がらない」状況の中で、闇雲に色々と手を出してきたことを指しているが、プログラミングに触れたこともあまりなく、学校に籍は置き続けたものの、財政的無理が祟って延び延びになっていた実情も包含している。

　様々な高級セミナーも受けた。問題は、その知識を毎日使い回す環境で生活や仕事が回っておらず、時間とお金をかけても、かけた側から放流してしまう状況が続き、さながら流しそうめんを見送るような月日が流れていた。

　ただ、一番欠けるであろう日本における人的つながりだけは得たいと考え、様々なイベントには参加していた。日本語でしっかり学びたいと思い、すでに書いたセキュ塾（役には立たなかった）に1年在籍、修了したものの、結局あまり身に付かなかった。それもそのはず、学校でも社会でもその技術を使う場所がないのだから、定着しようはずもない。その上、担当講師はいわば日雇い状態で、常勤ではなかったことから、「こういう奴を育てようぜ」と言う育成ペルソナが全くなく、毎日その時間と指定内容をこなすばかり。一方の学生も素人なので、その先に何を目指すべきなのかもわからないという状態で目をキョロキョロするばかりだった。なので、せめて業界の関係を作っていきたいと、セキュリティイベントのボランティアだったり、コミケだったり、学会だったり、セキュリティ業界を支える人たちとオフラインで繋がる努力をしていた。それなりに知り合いはできたが、中年を過ぎて始めた趣味では、なかなか話も深まらない。特に、スポーツと違って、外国語もセキュリティも知識と運用頻度の世界なので、基礎知識がないことには話自体が進まない。それでも、名刺一箱ぐらいは色々な人に会ってきた。セミナーで教わることもあったし、それなりにご活躍の業界の有名人の方とも多く知遇を得てきた。

　しかし、単に人を知ったところで確かに技術や知識が伸びるわけではない。なので、自分の目に見えるような確実着実な道を模索することを考えるようになった。系統立てて勉強する機会のないものとしては、何かマイルストーンを探さなくてはいけない、という仮説の下にだ。

　その過程で、とりあえず基礎的な資格からマイルストーンを積み重ねようと思い直し、いくつか物色している中で、たまたまISC2が「CC100万人無料キャンペーン」をやっていたので、本当に本当の入門資格であるCC、つまりCertified in Cybersecurityを受講＋受験してみることにした。関連職歴がないので、趣味でも何か突き詰めるキッカケを掴みたいと思ったのだ。いや、もちろんこの試験は基礎資格なので、本当にキッカケでしかないのだが、とにかく無料だ。やらない手はない。ランクはスーパーエントリーなのだが、情報セキュリティの世界や用語について学ぶきっかけには必ずなるので、電車賃以外の損はない。正直、業界経験豊富な方々から見たら屁のような資格なのだが、これまでの中途半端に一区切りつけるため、受験した。その結果、入門者には本当にお薦めに感じたので、ここで書くことにした次第だ。

　さて、この試験については、他の方も手記を残しているので、それをこちらに挙げておく。

　・　(ISC)² Certified in Cybersecurity (CC) [日本語] を受験した話　（日本語受験の模様）
　・　Certified in Cybersecurity の人柱なったった　（英語受験の模様）

　IT界隈の方の間では、どうもブログとかQiitaなどで蓄積されたのか、こういう記事に関するフォーマットが決まっているようで、皆さん同様の構成で書かれているのだが、ここではそれは無視して、野良学習者の立場から、感想中心に書いていこうと思う。

　【主催】本資格の主催は上にも書いた「ISC2（アイエスシースクエア）」。ここは、これまでにも多くの資格試験を主催している米国の国際組織だ。何年も業界修行をされた方やテストに目標を絞った多くの学習者が受験する上位資格CISSPを始めとする資格の認定を行っている業界団体で、何百と言われるIT関連資格の中の10個ほどを主宰、更に合格者の組織化を行なっている。

　【その他の団体】このような団体にはCompTIA（基礎から応用まで幅広い）やSANS（応用レベル多し、関連コースもクソ高く、「SANSの川の渡し賃は高い」というか、1コースで100万って何？）、EC-Council（ホワイトハッカー資格CEHで有名）、ISACA（システム監査系資格CISAが有名）など、よくわからない位の数があるのだが（あ、日本にも色々資格はあるが、日本を出たら誰も認めてくれないので、ここでは一律無視する）、その中でもちょっとスカした立ち位置にいて、多分様々なデザインも気合が入っていて、素人目にはなんだかハイソな雰囲気を醸し出している。

　【僕】同様の記事によくある「受験者（である僕）のスペック」は自己紹介ページに譲り、この試験のイメージや受け方、難度について暫く書いてみる。あ、ちなみにIT業務経験はない。ブロックチェーン業界にいたことはあるが、別にコードを書いていたわけではないので、ついぞ2年前位まで「プログラミングって美味しいの？」状態だったことは特筆しておきたい。その後少し触れる機会があり、少し齧った結果、なんとなく腰が引けた。アルゴリズム、ややこしい・・・

　では、前置きが長くなってしまったので、ここからはとっとと試験の話をしよう。

　【準備】まず準備だが、これは上記のリンクなどから入れるセルフトレーニングコースで行う。日本語版が2023年に入ってから使えるようになったので、そちらをよく読むと良い。練習問題もあるので、頑張ればなんとか走り切れるはずだ。

　【出願】コースの勉強が終わると、出願を促される。これはPearsonVUEのページに行って行うが、ISCのページからリンクが出ているので、それに従えば良い。まず会場を選び、空いている時間を選ぶ。そして、支払いは、今回の場合はISCのサイトにあるバウチャー番号を入れれば無料になる。来年は知らないが、準備にそんなに時間のかかるものでもないので、2023年内にこのブログを読んで受ける分には問題はないだろう。ISC2のCandidateとして登録し、無料コードで申し込むだけだ。変なページに入ると、おそらくこのキャンペーン終了後に適用されるノーマルな費用での出願方法が出ている（199ドル）ので、そちらにハマらないように気をつけたい。

　【受験】試験は予約したPearsonVUEのテストセンターで受験する。20分くらい前には到着して、身分証2種類の確認、写真撮影、ポケットの中まで確認、マスクの裏にも何もないことを確認、と、いろいろなチェックを経て、ロッカーに荷物を預けて試験室に入る。試験によって利用できるセンターは違うので、前と同じセンターで、ということが可能とは限らない。上級資格は掌紋認証までするので、その設備のないセンターでは受けられないようになっている。部屋はどこもあまり変わりなく、仕切り付きのPCブース（隣とは隔絶まではされていないので、試験がなければ話もできるような空間）で、画面と向き合う。これは慣れてしまえばいいのだが、実際あまり気持ちのいいものではない。最初はすごく抵抗があった。

　【どんなノリ？】試験自体は、要は上記のCISSPという上級試験をゆるくしたもので、範囲（ドメインと呼ばれる）も、聞かれる内容もともに浅い。それについては、先ほど挙げた先達のブログが書いてくれている。なるほど、確かに比較的シンプルな設問が多かったように感じた。具体的な問題は本当にすっかり覚えていないし、覚えていても書いちゃいけない掟になっているので書かないが、上級資格と比較すると、割と直球でくる感じを受けた。

　CISSPは直球が少ないというか、日本語としてさっぱりわからないものが多かったのだが、今回はまあまあわかった。わからないものは、英語で確かめて見当をつけたが、実際日本語でやるなら日本語監修をしっかりすべきだと考える。これは逆にISC2に要求したい良心でもある。言葉を商売道具にしているものとしては、こういういい加減なことをすること自体が試験倫理的におかしいと感じる。そもそもが欧米社会が愛してやまない公平性（equality）に欠けるではないか。

　また、問題について、イメージを例えていうなら、「Aとは何か」というストレートなタイプがCCなら、CISSPは「まず状況説明があり、その状況で『もっとも良い選択肢は何か』という極めて回りくどい質問のなかでAを選ばせる」印象のものだ。一言付け加えておくとすれば、公式問題集など当てにならないくらい変な訳文が問題に頻繁に出てきて、ディスプレイを前に悩みまくることになる。選択肢すらも不可思議な日本語になっていて、英語を見て、「そうきますか？」というものが多い。おそらくだが、そもそも日本語もそのくらい理解が難しいので、日常の経験による「はいはいあれね」があって、やっと成り立っている試験であるような感じを受ける。なので、業務未経験の僕にはCISSPはきつい。ただ、英語で受けた奴を見ると、3ヶ月の準備で受かった業界外の奴もいるので、一概にはなんとも言えない部分もある。が、僕の頭は涙、じゃなくて並だ。なのでそこまで要領良くこなせない。ただ、未経験で3ヶ月の勉強で受かってしまうと、逆にそれだけでは仕事が見つからない虚しい状況に陥るので、入門資格を地味に攻めてステージを上げていく方が、趣味でやってる身分にはあっている。

　さて、肝心の問題文だが、CCでも、「は？」という問題は確かにあったものの、まだわかりやすいレベルで済んでいるような気がした。要は、文の構成がシンプルなら、変な訳も出てきにくいということだ。英語の原文の構成が複雑なところに機械翻訳をかけているような感じなので、読めば読むほどわからなくなるのが上級資格の問題になっている。問題集の日本語は綺麗すぎて、あまり使えない。ISCの問題は、公式トレーニング（文字とビデオ）を通して知識をつければなんとか・・・では決してなく、なぜかその先を問う問題もたくさんあるので、イメージできる力が非常に必要に感じる。僕は国語力はある方だと思うが、それでも脳が不快感を覚える問題がたくさんあったので、注意が必要だ。それが経験だ、と言われればそこまでなのだが。あえていうなら、知識の運用力を試されているとでもいうべきか、否、受かっている人もいっぱいいるので、やはりヒューリスティックな部分が大事なのだろうか。

　*ちなみに、これは考え過ぎかもしれないが、サイバーセキュリティというのは、サイバー空間につながっている部分と言う狭義の解釈を僕はしているので、どちらかというと別の団体の資格の方が、本来のサイバーな意味には合っていると感じていて、ISC系は輪郭がゆるすぎる気もしている。塀の高さとか、警備員とか、消火設備とか、ポリシーとか、SOCとか、どう考えても「情報セキュリティ」の範疇じゃないのかなと思う。そういう意味では、この資格もサイバーセキュリティと言いながら情報セキュリティの試験な気もする。もちろん、満遍なくセキュリティについての世界標準というか、共通言語を身につけると言う意味では、優れた資格であることに違いはないので、この世界で生きていくなら、避けては通れない部分なのかなと思う。

　【勉強の仕方】さて、勉強に際して、特にCCの対策については、ネット上の自学自習用のコースに模擬問題があるので、それを受けるしかない。だが、印象ではその問題集よりも広めの内容が出てきていたように思う。なので、意外と満遍ない勉強が必要になる。もちろん、その「広めの問題」は、いわゆるパイロット問題（点数に入らない問題）であった可能性もある。明らかに「やったかこんなの？」という問題もいくつもあって発狂しかけたので、想像するに、そういう問題が結構あったのだろう。カメラで見れば、おそらく僕はその時10秒くらい固まっていたはずだ。

　【欧米系試験に存在する問題】ともかく、欧米のIT資格の資料の日本語はおかしなものが多く、他の資格の参考書も機械翻訳のようなものが多いばかりか、中国語の教材などになると、スッパリ居直ったかのように、セキュリティのコア用語である「CIA」を堂々と「中央情報局」とか訳してくる。どの講座も似たような部分があるので、ITの世界はまだまだ英語の力が必要に感じる。ちなみに、僕の知る範囲でしかないが、CompTIAは日本人の出題委員を擁しており、問題の開発にはそうした委員が加わるので、別の試験よりもマシなはずだ。そもそも翻訳のミスで受かれないなんて、試験としてどうなのかと思うのだが。

　【時間は十分か】今回は設問が簡単だったのかも知れないが、100問・120分でデザインされていた試験は30分で終わってしまった。カチカチマウスで四択を解くだけ、それも後戻りできないので、とっとと終わってしまったのだ。その辺は、自分でも不安になるくらいだった。

　【テスト終了】テストが終わると、画面が青くなる。そこで、終了を確認するメッセージに返答すると、最初のログイン画面に戻るので、席を立って部屋を出る。その後は、テストセンターによっても差があるのだが、その場で結果をくれるのが順序になる。しかし、その係員の対応は、それぞれにレベルが違い、結果を見ないように気をつける者、全く意に介せずに、プリントアウトされた紙をべろっと捲って全部見てから渡す者がいる。後者は明らかに倫理違反だと思うのだが、いかがなものか。ちゃんと指導しろよPearsonVUE。

　【合格通知】もらった紙を見たら、合格だった。1000点のうち700点を取ればいいという話なので、25問を引いた75問のうちの7割となると50点くらいになる。なので半分合っていればいいということになるのだろうか、それとも諸々含めて7割なのか。CISSPともども点数は出ないので、なんとも言えない。また、僕的には、色々なことをノロノロやってきて、それなりの空白の時間を無駄に過ごして来ているので、受かっても感動はなかった。逆に、落ちたら屈辱を感じてセキュリティの勉強をストップしていたかも知れないので、その意味では、いい区切りになったように感じている。

　【合格後の手続き】その後、電車に乗っていたら、ISC2からメールが入り、承認プロセスに入れという。ISC2の送ってきたリンク先へ飛び、そこで必要事項にチェックを入れて、送信。ここまででひと段落といった感じになる。上級資格であれば、そこに推薦人のような人物の名前や仕事経験の書き込みなどが必要になるのだが、CCは入門資格なので、そんなものはいらない。いくつか正直者系（犯罪歴がないかとか）のチェックを入れるだけでOKだった。

　【ISC2の会員になる】その後、ISC2から再度メールが入り、ガイドに沿って50ドルの初年度会費を納め、ISC2の正会員になり、その後は更に毎年の研鑽が要求されるようになっている。ここからは、CISSPや他の資格を取得するために、また、CPEと呼ばれる継続教育ポイントを取得するために、実践や学習を繰り返す日々へと突入することになる。CISSPは年会費も倍以上・CPE要求も倍以上なので、まあ、ISCのメンバーになり、様々な素材に触れたいだけなら、この資格をサクッと取る方がお得かもしれない。

　【その後のこと】なお、他にもこのレベルの試験は色々あるが、実機操作を伴うものもあり、試験の主催者によってやることは少々変わってくる。ISACAやEC-Council、CompTIAなどにも初級資格（CCTやSecurity+など）があり、今度はそっちにチャレンジしようと思っているところだ。なんだか資格マニアのような書き方になってしまったが、情報砂漠から始めるセキュリティの勉強とは、こうならざるを得ないのではあるまいか。それもとても地味な世界なので、なんともまた何十年ぶりに外国語の勉強に取り掛かっているような気持ちになってくる。またあの山をいくつも越えないといけないのか、とか、話す相手がいないじゃん（業界外から中年になって入り込み、学校もリモートとかだと、用語や概念を使って話せる相手なんかできやしない）、とか、気の滅入るネタのあふれる世界へ突っ込んでいくのだ。

　なんでも始めるのは若いうちの方がいい。もちろん、僕にとっては、今日が人生の中で最も若いのだが。