CISA(公認情報システム監査人)の合格記〜3時間半の戦い〜
先日CISAを受験し、正式な合格通知も来たので合格までの道のり(受験記)を紹介する。
<結果サマリ>
Total Scaled Score : 521
- Information System Auditing Process : 465
- Governance and Management of IT : 524
- Information Systems Acquisition,Development, and Implementation : 403
- Information Systems Operations and Business Resilience : 554
- Protection of Information Assets : 603
トータルスコアが450点以上で合格なので、珍しく余裕がある点数であった。450点下回っているセクションもあったが、トータルで450点を超えれば良いみたいだ。
<勉強方法/勉強時間>
勉強始めた当初は、Udemyの英語の講座とKindleの英語の参考書で乗り切ろうと考えたが、自分の英語力の低さが顕著に現れ挫折。合格者のブログなどを参考におとなしく、ISACA公式の問題集で勉強した。(Udemyには、公式問題集の問題がほぼそのままの使われている講座もあったのたが、著作権的に完全なNGではないのであろうか・・・小銭稼ぎにしてはリスクが高いなと・・・)
ISACAのCISA公式問題集はお高いのだが、たまたまメルカリで安く購入できたのでラッキーであった。安いと言っても1万円は超えていたが・・・( ´△`)
”問題集がそのままでない”
との情報があったので、繰り返し解くと共に、解説もじっくり読み、わからない用語は調べて理解を深めるようにした。
また、3回は繰り返し、最終的には9割は正解できるようにした。
期間としては3ヶ月、時間はどのくらいだろう。。。結構勉強した気がする。
<試験申し込み>
コロナの影響で、自宅受験もできるようだが、ネットワークのトラブルとかあるとめんどくさそうなので見送った。フツーにテストセンター(PSI)で受験した。受験料高いし、何かあったら基本英語のやりとりになるので、そんな器用な対応はできないなとの判断のもと。
申し込み自体は簡単。英語であるものの、住所とかの基本的な情報の入力のみのため、すんなりできた。注意すべきことはない。強いて言うなら名前のスペルミスぐらい。
領収書はマイページから簡単にダウンロードできる。(MYISACA→Order History)
<いざ受験、難易度高くね?>
当日の手続きはフツーのテストセンターと一緒。免許証とかパスポートを持って行くのを忘れずに。試験時間は長いが、途中でトイレは何回でも行けるので、トイレの心配は不要。コーヒー飲んで行っても問題なし。
”ネットの情報通り、問題集と同じ問題は出題されなかった。”
ただし、似たような問題は結構出題されたのと、用語は問題集に出ていた物が大半だったので、問題集の効果は非常に大きかった。問題集をやっていなければ間違いなく落ちていたと思う。また、問題集の答えを覚えるだけの勉強でも落ちていたと考えている。
問題文をじっくりゆっくり読み2時間かけて全部解き、残りの1時間半で見直しをして、30分くらい時間が余った状態で試験を終了した。手応えはあったような、なかったような、ホワホワした感じだったので、結果が出る瞬間まで非常に緊張した。( ´△`)
<全体的な感想>
サクッと受かるかな?と思っていたが、いざ勉強し始めると内容はそれなりに深いし、量もあるので、想像以上に日々の勉強、当日の試験が大変であった。
- 難易度としても、”普通”と評価されていることが多いが、受験した感想としては、”結構高い”が妥当と考えている。
受験料が高いので、みんなそれなりに準備するのと、受験している層の特徴として『勉強してねー』と言いつつしっかり単位取っちゃうタイプの人が多い気がしている(根拠はゼロ)ので、鵜呑みにすると受験料がパーになるので要注意。
試験勉強を通じて、CISA的な考え方が身についたので、
教科書的には●●をチェックする補完的なコントロールが必要なのですが、今回はコストとの兼ね合いでやめましょう。
的な、うざったい感じで使ってみたいものだ。直近は残念ながら機会はなさそうだが、、、
一方、テクニカルな観点での知識は身につかないので、現場視点ではあまり役には立たない。
大企業の情報システム部門の人か、仕事でシステム監査をしなければならない人以外は無理に取る必要はないと考えている。
ってなわけで個人的にはあまりオススメしない資格である。勉強していて楽しい内容でもないし。
CISAを名乗るには別途申請(有料)が必要なので、申請が終わったらまたこのブログで紹介予定。
問題集は高いし、年会費も高いし、受験料も高いし、申請にもお金がかかるし、更新料も高いしで、コスパが非常に悪い資格。趣味で手を出すものではないなと改めて思った今日この頃。
WHY DO SO MANY PEOPLE FAIL THE CISA EXAM? (English Edition)
- 作者:Hollender, Nir
- 発売日: 2015/08/04
- メディア: Kindle版
【コラム】AWS認定勉強メモ〜その2〜
前回の続きです。同じのもちょこちょこ出てきます。
AWS Data Pipeline
最後のアクティビティが失敗 or 成功したら停止。手動再実行可能。自動再試行は3〜10回で設定可能。
IAM(Not Principal)
Principal Listに例外指定可能
VPCのIPアドレス
IAM Policy
明示的な拒否が最優先。デフォルトはすべて拒否。
Dynamo DB
整合性読み込みOption。条件付き書き込み。(同時書き込みをNGにできる)
Transfer Acceleration
大陸間のデータ転送。最適化されたNetwork Passでデータ転送可能。
AWS Batch
使ったリソースの分だけ費用が発生。力技が必要な時に便利。
Kinesis Data Firehose
直接S3とかRedshiftのデータを格納可能。
Kinesis Data Stream
処理は速いけど、カスタマイズが必要。(上記との違い)
SCP(Service Control Policy)
組織が管理できる。WinSCPのSCPとは全く違うので注意。
AWS KMS
- CMK:カスタマーキー。マスタキーの論理表現。カスター管理はその名の通り自分で管理。AWS管理は、AWSサービスが管理。AWS所有は、AWSが利用。
- データーキー:データを暗号化するためのキー。暗号化したらできる限り早急にメモリから削除する。CMKで暗号化されたキーは別途保存しておく。復号化する時に使う。マスターキーを安全に管理できるのが良い。
VPCフローログ
VPCのネットワークインターフェース間のIPトラフィックをキャプチャ。CloudWatch Logs、S3に発行可能。Athenaより直接クエリが打てる。標準SQLを使用して、S3でデータ分析が可能。
プレイスメントの種類と違い
- クラスタープレイスメント:単一のAZにインスタンスを配置。
- パーティションプレイスメント:パーティションごとにインスタンスを配置。単一のハードウェア障害に良い。
- スプレッドプレイスメント:独自のNW、電源が異なるラックに配置。
Disk Queue Depth:未処理のIOアクセス数
S3とOAI:OAIはCloudFrontとワンセット
VPC CIDRが拡張可能になった。最大四つまで
ADConnector:オンプレのADと接続可能なソリューション
ReadShift WLM(WorkLoadManagement)
クエリに対してリソース指定が可能。
Peering:ネットワークアドレスが一致、重複している場合は不可。
CloudFormationのDeletion Policy
- Delete:基本削除。RDSは設定次第ではSnapshotがデフォルト。
- Retain:保持する。
- Snapshot;EC2、RDSなどの一部のサービスが指定可能
Memchachedのメリット
マルチスレッドアーキテクチャ。CPUを増やせば早くなる。
Public virtual interfaceは、Public endpoint(S3)に接続可能
Egress Only インターネットゲートウェイ:インターネットへの送信のみ可能
移行系のソリューション
- AWS Server Migration Service:オンプレからAWSの移行で使う
- AWS Connector for vCenter:VMware vCenterからEC2に移行する時に
- AWS Import/Export:大量データのアップロード。VM Importとは違うから注意。
- AWS Database Migration Service:データのマッピングや移行方式をタスクとして設定。
CloudFrontを使用しない。→事前署名付きURLを利用しなさい。
AWS appsync:データ同期のサービス
CHAP:Challenge Handshake Authentication Protocolは、PlayBack攻撃から守る
Amazon Rekognition:画像認識
AWS Glue クローラーを動作させ、データカタログを作る
インスタンスストアのバックアップ
AMIツールを利用して、AMIボリュームを作成すれば可能。インスタンスストア単体でのSnapshotは取得できないので注意。
DynamoDBの料金
オンデマンドは使った分だけ。プロビジョニングはあらかじめ予約。
Amazon Cognito
ユーザーの作成、管理、IDフェデレーションが楽。
SAML2.0を利用してのフェデレーション
Idp Service Provider → SAML2.0が利用できない → IDブローカーを構築する
Amazon Mechanical Turk:クラウドソーシングサービス
署名付きCookie
複数の制限されたファイルへのアクセス。現在のURLを変更したくない時に有効。
Get HLS Streaming Session URL:ライブ配信可能
AWS System Manager
今日はいったんこのぐらいで、、、まだまだ続く
要点整理から攻略する『AWS認定 セキュリティ-専門知識』 (Compass Booksシリーズ)
- 作者:NRIネットコム株式会社,佐々木 拓郎,上野 史瑛,小林 恭平
- 発売日: 2020/07/29
- メディア: Kindle版
【コラム】AWS認定勉強メモ〜その1〜
部屋を整理していたら、AWS認定試験勉強時のメモが出てきたので、復習がてらひたすら書き込んでみる。
”気になる→調べる→メモのこす”ってサイクルだったので順不同、間違った解釈だったらすみません。結構な量があったので、何回かに分けて掲載予定。
Route53
ヘルスチェックの間隔は10秒 OR 30秒。ヘルスチェッカーが正常性を確認。18%がOKしたらOK。
[ヘルスチェックの種類]
SWF(Simple Workflow Service)
- ワークフロースターター:トリガーのこと
- ディサイダー:SWFを受け取ったタスクを元に次のタスクを実行。ユーザー自身がプログラミングをして設定。
- ワーカー:自分でプログラミング
- Lambda:Lambda関数をサクッと呼べる
STS(Security Token Service)
- assumeRole:API(IAMRoleの権限を引き受け可能)
- getFederationToken:temporary Security Credentials を取得するアクション。デフォルトの有効期限が長い。〜36時間まで
EBS replication
同一AZなら自動。他のAZはSnapshotをとっておくしかない。
RRS(低冗長化ストレージ)
VM Impot
作成されるのはAMI
Login With Amazon
アマゾンのログイン機能を拝借できる。
Elastic BeanStalk
環境の再構築。勝手に構成変更するとエラーになる
Public Data Set
ビジネスで利用できるオープンデータ。(天気、人口統計とか)
シャーディング(horizontal partitioning)
複数のDBに振り分けてアクセス
AWSのWAF
Cloudfront、ELBに付属
IDS(Intrusion Detection System)とIPS(Intrusion Prevention System)
侵入検知と防止
AWS Datapipeline
データの変換と移動の自動化
Task Runner
タスクをポーリングし、タスクを実行する。EC2やオンプレのサーバにインストール可能。
AWS Shield
DDoS攻撃からの保護。ELB、Route53、CloudFrontで利用可能
- Standard:追加費用なし
- Advanced:コスト保護機能あり。お金はかかるよ
HLSプロトコル
動画配信用。AppleのHTTPベースのストリーミングプロトコル
Elastic Tracnscoder
任意の動画ファイルを他の形式に変換できる
Kinesis
プロデューサー → シャード → コンシューマー(EC2、S3、DynamoDB)。BLOBが送信可能。SQSよりサイズが大きいものが扱えるのが良いところ。
Procy Protocol Support
X-forwarded-forに対応。HTTPヘッダに送信元のIPアドレスを格納。ロードバランサのIPじゃないやつを。
VPN Gateway、Customer Gateway
arn:aws service:region:account-id:resource
アランとパーティでサービスを受けたらリケジョにアカンとリソースかけられた。謎の呪文。すいへーリベー的な。
署名付きURL
Cloud Frontを経由する場合は、それ用のURL発行が必要。
Amazon Cognito
ユーザーのアイデンティティやデータ同期に関する機能。サクッとユーザー登録機能が作れる。ログイン機能とか?
Cloud Formation
スタックの作成、更新、削除
AWS SSO
社内のADをSSOに接続可能。
オンプレAD → AD Connector → AWS SSO → BOX、Slack、Office365 等々
Tomcat Clustring
セッションのレプリケーション。複数のサーバを統合して一つとして扱う。AWSはmulticastが使えないから工夫が必要。
Glaicer
Snapshotの直接格納はNG
Dyanamo DB
スループットが10,000超えたら連絡
RDSのインスタンス変更
Apply immediately?
Code Deploy
インスタンスにAgent導入が必要。取得元はS3かgithub。
VPN
- Customer Gateway(CISCO,Juniperとか)
- Static:インターネットにルーティング可能なIPアドレス
- Dynamic:BGPに対応。Customer Gatewayの自律システム番号(AS)
Duplicated Hostの制限
Auto Scalingがサポート外。RDSがサポート外。
IAMロールの名前の長さは最大64文字まで
PIOPS(プロビジョンドIOPS)
一定のIOPS値を保証する。使わない方が速い時もある。データ容量とIOPSは比例?的な関係??
Cognito
- Basic:IDとパスワード
- Custom:SMSとのMFA、CAPTCHAが利用できる
ARNlike:大文字、小文字の区別なし
内部ELB
AZ毎に一つのサブネットしか選択不可。
いったん今日はここまで、、、、