ISACAのCISAという資格に合格したのでその記録です。
筆者の背景・受験の理由
私は普段診断系のセキュリティエンジニアとしての職に従事しており、顧客が診断を受けに来る動機の一つとして監査が存在するため、顧客へ適切な推奨策を出せるようになることを目的に勉強することにしました。
私自身は監査業務に携わるわけではないので本業に直接役立つものではないですが、概念としてはCISSPから横展開すると幅が広がるため役に立つと感じました。
CISAとは
よく聞くCISA(Cybersecurity and Infrastructure Security Agency)ではなく、CISA (Certified Information Systems Auditor)の方です。
詳しくは公式サイトを参照するのが早いですが、日本語では「公認情報システム監査人」と呼ばれ、その名の通り監査業務を実施するにあたり必要な知識について試験で出題されます。
CISA(公認情報システム監査人)との比較対象としてCISM(公認情報セキュリティマネージャー)がありますが、ざっくりCISA=監査部門、CISM=被監査部門という認識で問題ないと思います。
また、CISSPとの比較として、セキュリティ主軸の職に就いているのであればCISSPから始めると学習効率が上がり楽になります。自分の職に近い軸から横展開した方が楽です。国またぐときは法的要件確認しろとか、データセンター距離離せ、等共通の話題も多いですし。
トレーニングの感想
3日間のトレーニングを受講し、3日間で1~5のドメインの概要を学び、模擬問題を回しました。
久々にオフライン開催の研修だったため、膨大な学習内容に対して集中して学習を進めることができました。(オンライン研修は結局裏でリモートワークすることになり、最後の方にはバウチャーだけもらえればいいや、となりがち…。)
教材の感想
トレーニングに合わせて受け取った教材は下記3点です。
- CISA レビューマニュアル 第27版 (日本語)
- CISA レビューマニュアル 第28版 (日本語)
- CISA 試験サンプル問題&解答・解説集 第12版 (日本語)
メルカリや公式ストアを見るとイメージが湧くと思います。
レビューマニュアルに関してはとても分厚くすべてを読破するのは大変です。そのため、試験の合格を目指すのであれば問題集の1000問を回し、分からないことがあればレビューマニュアル(あるいはGoogle検索かChatGPTか)に立ち返る方法をおすすめします。
私はレビューマニュアルを参照することはありませんでしたが、体系的な知識を得るのであれば熟読すると良いと思います。
肝心の問題集ですが、試験対策としては役に立つものの、一部難があります。日本語訳が適切ではなかったり、「2019年ジョブ・プラクティスに基づき更新」とあるように情報が古かったり、前提条件が省略されているため明確に回答できない問題があったり、技術的・費用対効果の点で私が個人的に納得できない問題がありました。
とはいえ、試験の合格には問題集の1000問を2週すれば問題なく合格できると思います。
勉強方法
トレーニング終了後、ひたすら問題集で勉強をしました。最初の600問ほどは各問題を自分の言葉で解釈しノートに転記するという勉強をしていましたが、時間も足りなくなり最後の方は読むだけで済ませました。
スケジュールとして以下のような形でした。
- 12/11~12/13:トレーニングを受講。ドメイン1~5の概要と問題を100問程度。
- 12/14~1/31:問題集の前半600問を自分の言葉でまとめつつ、好きなインクを入れた万年筆でツバメノートに書き写す。楽しいが時間が足りないことに気付き始める。
- 2/1~2/16:仕事が忙しくなりながらも残り200問まで読む。
- 2/17:午前1時頃、なんとなく行ける気がして翌日の新橋テストセンターを申し込む。大急ぎで200問読む。
- 2/18:前日から合計して750問程度を読み、電車内でも頭に叩き込み、新橋のテストセンターを向かう。合格の文字をディスプレイで確認し、ほっと一息。
- 2/28:スコア付きの合格通知が来る。
試験結果
496点で合格となりました。配点は200~800のスケールドスコアで、450点以上で合格です。
各ドメインの結果は以下の通りです。解いている最中はわりと自信があったため思ったより点数が低く驚きましたが、これはスケールドスコアの影響だと思うことにします。他の人の結果を調べたところ450~550あたりが多いようにも見えました。
| Name | Score |
| Information Systems Auditing Process | 425 |
| Governance and Management of IT | 597 |
| Information Systems Acquisition, Development, and Implementation | 505 |
| Information Systems Operations and Business Resilience | 551 |
| Protection of Information Assets | 446 |
試験の感想
試験会場については都内であれば複数の試験センターが用意されており、平日であれば前日予約も可能なように見えました(金土日は厳しいかも)。予約可能枠については各日2枠(10:00,14:00)が多いようです。
私は新橋の航空会館2階のテストセンターで受験しました。PSIだけでなくPeason Vueも対応しているようで、少し混んでいたものの特に何事もなく受験することができました。
開始時刻は14:00で予約しましたが、早く向かう分には特に何も言われないので早めに向かうことをお勧めします。私は14:00開始で13:20に受付の列に並びました。(そういえば受験予約メールとリマインドメールで「30分前までに来て」と「10分前までに来て」と言ってること変わってるんですよね。)
身分証明書については私は運転免許証とマイナンバーカードを持参し、運転免許証を使うことにしました。ロッカーに荷物を預けた後は座席に着き、ひたすら問題を解いていました。
試験は150問4時間ですが、「30分で50問+少し休憩」を3セット行い、最後に30分ほどで見直しを行う計2時間で終了しました。
終了後はアンケートに回答すると「合格」の文字が表示され、もうあの問題集を見ずに済むことに安心しつつ帰路につきました。
認定申請
CISAとして認定されるには3つのステップが必要であり、CISA試験の合格はSTEP1となります。
STEP2では$50の申請費を支払います。バウチャーを持っている場合はmyisacaの右上のメニューから「Redeemable Products」を選択し、バウチャーを有効にします。その上で支払いページから支払いを行うと自動で$0相当の支払となります。バウチャーを適用するだけでなく申請費の購入が必要です。私はバウチャーの適用だけ行い申請を出したせいで問い合わせ対応することになりました。
STEP3では申請書を記入し、サポートページから申請を行います。申請書には本人記入に加え、証明者の署名が必要です。ただし、証明者の署名欄が記入できない状態になっていたため、上司に依頼して印刷→署名→スキャンという手順を踏みました。スキャンしたpdfでも申請は通ったのでおそらくこれで問題ないと思います。また、私は業務経験が足りないため修士号で2年分の業務経験として補填しました。*印が付いていないので卒業証明書は不要な気もしましたが、念のため大学院から英文の卒業証明書を取り寄せました。時間に余裕がない場合は先に取り寄せておくことをおすすめします。
サポートページから申請書一式を提出後、数営業日で申請が通りました。
- 3月24日:サポートページから申請。
- 3月26日:申請費支払依頼受領。支払い対応を行い返信。支払い確認受領。
- 3月28日:CISA認定。
今後の予定
来年度はCISMを勉強したいと思います。