社内でのベースライン強化、という事でこのクソ忙しい時期に短期間でCompTIA Security+を取得しました。
CompTIA Security+資格について
認定資格の種類と概要-CompTIA Security+ : CompTIA JAPAN (コンプティア 日本支局)
CompTIA Security+は、ワールドワイドで提供されているベンダーニュートラルの認定資格です。
この認定資格試験では、以下の分野におけるスキルを評価できるよう設計がされています。■ ネットワークセキュリティ
■ コンプライアンスと運用セキュリティ
■ 脅威と脆弱性
■ アプリケーション、データ、ホスティングセキュリティ
■ アクセスコントロール、認証マネジメント
■ 暗号化CompTIA Security+認定資格試験では、セキュリティの大原則となる、セキュアなネットワークの維持とリスク管理について出題されています。また、アクセスコントロール、情報の管理、暗号化といったセキュリティには欠かすことのできない分野や、さらには、ネットワーク攻撃や脆弱性に対応するための適切な緩和と抑止方法などの分野からも出題されています。
また、CompTIA Security+からは、クラウドコンピューティング、BYOD、 SCADAなどセキュリティへの懸念が高まる分野についても出題されています。
あまり多くないセキュリティの資格のうち、CISSP|(ISC)2 Japanなどからすると大分初級の資格といえそうです。
受講コメント
報告テンプレ
受 験 日 : 2017/02/22
合 否 : 合格
受験科目 : SY0-401
受験言語 : 日本語
取 得 点 : 815
合 格 点 : 750(900点満点)
問 題 数 : 66
出題形式 : 基本4択。パフォーマンスベース問題(シミュレーション問題)あり。
試験時間 : 90分(+アンケート15分,許諾説明30分)
勉強期間 : 通勤時にスマホで2週間、夜集中して2日
受験目的 : 社内指示
勉強形態 : Web模擬試験のみ
実務経験 : チームメンバー
勉強前のレベル : IT関係者
何度目の挑戦か : 1回目
【 セクション毎の正解率 】
- 1.2与えられたシナリオに基づいて、セキュアなネットワーク管理ポリシーを適用することができる
- 2.2システム統合や第三者とのデータ統合に関するセキュリティを実施することができる
- 4.5静的環境においてセキュリティリスクを軽減するための代替方法を比較対照することができる
その他大まかに10項目で間違えているらしいですが、この説明を見ても一体どの問題の事だったのかさっぱりわからない。
【 使用教材 】
- TAC Biz School CompTIA Security+ (SY0-401) Web模擬試験
- Security+ 問題集 SY0‐401対応 (実務で役立つIT資格CompTIAシリーズ) | TAC IT講座 問題集
一押し >>> TAC Biz School Web模擬試験(以下Web模擬試験)
【 勉強方法 】
基本的にWeb模擬試験を間違えなくなるまでやっただけ。
この教材は「模擬試験 第1回」「模擬試験 第2回」「パフォーマンスベースドテスト対策」など分かれていますが、実際出される問題は共通。全部で180問しか無いようなのですぐに同じ問題が回ってきます。集中すれば3~4日で全て覚えられるでしょう。
それでも選択肢に「ナニソレ?」という単語があれば解説を読み、そこにも謎の言葉があればWebで調べました。そうした中から出題された問題も数問あります。
【 試験の感想 】
開始早々4問(中には各6~14問ほどの選択肢有り)のシミュレーション問題が出ます。が、ほぼWeb模擬試験から出ているので焦らずできました。Web模擬試験のよりも数段画面は立派なので困る事は無さそう。
CompTIAは採点対象外の問題が混ざっているそうですが、特にひっかかる事もなくゆっくり50分程度で完了。試験会場の問題かもしれませんが、クリックしてもちゃんとラジオボタンが選択されない事がままありました。最初はしっかり選択出来ているか確認したほうが良いでしょう。
あとがき
事前には聞いていましたが、Web模擬試験の出題率はかなりのもの。7割くらいは出ていると思うので、キーワードとして答えるだけならWeb模擬試験をやれば合格ラインまで行けるのではないでしょうか。
シミュレーションのファイアウォールの設定に関しては一度Linuxのiptablesで勉強しておくとイメージがつかめます。そうでないとルーティングやACLの「上からマッチングされる」という考え方がわからず、「暗黙の拒否(DENY)って?」となるかも。
Web模擬試験も網羅し楽勝かな?と思っていたら公式のCompTIA Security+(SY0-301) 類似問題が難解すぎてちょっと焦る。
Question 5
CACの別名として知られているのは、次のうちどれですか。A Token
B RFID
C MAC
D PIV
なんてググっても出てこないような単語の設問があるし、日本語は難解。このレベルの設問が続くならまずいなと。ただ受けてみると実際に近いのはWeb模擬試験の方でした。同じTACが出す問題集テキストも立ち読みしましたが、解説が詳しいだけで中身としてはWeb問題集とほぼ一緒。読まなくても結果に変動は無さそう。
日本語の翻訳もほぼ問題ありませんが、英語の原文も参照可能。原文を読む必要があったのは以下の設問。
年間予想損失額(ALE)の問題で、
$5000のサーバが1年間に10回トラブルが起き、再起動等のリカバリが必要だった。その予想損失額は機器価格の10%である。この場合の年間予想損失額はいくらか
というもの。Web模擬試験では「$5000の10%(=$500)が年10回起きたからALEは$5000」と明快な答えになっています。しかし試験中の日本語では「10回のトラブルの結果、10%の損失が出た」とも読めるし「10回のトラブルは都度10%の損失を出した」とも読める。英文を見る限りWeb模擬試験と同じに見えましたが果たして。
試験コストは34,560円、Web模擬試験は6,200円。中々お高いですが、両方をセットでかうなど幾らか安く受験出来る方法もあるようです。