ISACAのCISM(Certified Information Security Manager)試験に合格(2020/07/07)した際に利用した教材と勉強法です。CISMの詳細についてはこちらを参照。
背景
これまで取得したセキュリティの資格は、CEHとCSSLP。CEHの勉強法はこちら、CSSLPの勉強法はこちら。英語力は TOEIC 800後半くらい。
役に立った学習教材
試験勉強にあたって利用した学習教材です。
CISM Review Questions, Answers & Explanations Database
ISACA公式のオンラインの問題集データーベースですが、これが素晴らしかったです。海外の試験対策サイトでもこれ一択と言っていいほど強く推奨されています。12ヶ月のサブスクリプションで1000問あります。オンラインベースのため、勉強場所を選びません。
具体的にはWebベースの問題集の中で得意なドメイン、不得意なドメイン、試験を受験できる状態にあるかなどを視覚的に表示してくれます。受講者にとって最適な問題、前回間違えた問題、よく間違えた問題、弱いドメインなどを選択して強化することもできます。
また、正しい選択肢だけではなく間違えた選択肢に対してもなぜ誤りかについて詳細な解説があり、この問題集だけでも理解が深まります。
ただし上記のWebベースの問題集は英語しかありませんので、どうしても日本語でという方は書籍版の方を利用することになります。また、12ヶ月のサブスクリプションですので、失効した場合は参照することはできません。試験の準備にそこまで時間を要することはないと思いますが。
当然ですが、本番の試験では同じ問題は出ないと思ったほうがよく、答えを覚えても意味はありません。問題や解説を読んで深く理解するように心がけると本番で対応できると思います。
★★★★★(星5がMax)
CISM レビューマニュアル 第15版
公式の教科書です。勉強は英語でするつもりでしたが、試験は日本語で受験予定でしたので教科書だけは日本語版を購入しました。上記の問題集の出来が良すぎて、正直いって教科書は見劣りします。細かい文字でびっしり書かれており読みやすいものではなく翻訳もたまによくわからないところがありますが、それでも日本語での学習教材は貴重です。試験前日にざっと見直しましたが、一通り勉強した後だと、それなりにまとまっているかと思いました。ISACAにて購入できます。
★★★★☆
その他の学習資料
公式問題集が素晴らしすぎますが、その他に私が試した学習資料です。
UdemyのThor PedersenのCISM Video Boot Camp
UdemyでThor Pedersenという人が提供しているVideo Boot Campのコース。Domain1からDomain4の4コースとPractice Testをやりました。公式以外のリソースからインプットをしておきたかったのと、初見の問題集でどれくらい取れるかを確認したかったからです。講座も良いと思いますが、講座に付属する資料も詳細です。CISMの教材としては技術的な要素が多い印象ですが、悪くはないと思います。
★★★★☆
その他
試験や学習によって得られるものなど。
試験を申し込むまで
前述CISM Review Questions, Answers & Explanations Databaseには、進捗や正解率によって変動するREADYSCOREというスコアがあり、これが80%以下だと受験してもパスできないだろうという目安になります。答えを覚えないようにして1日50問-100問を解き続け、90%からなかなか落ちなくなったところで受験の申込みをしました。
試験について
試験は4時間で150問です。知識よりも理解の深さやセキュリティに対する全般的な態度が問われるテストだと思いました。NIST SP 800などをもっと読んでおいたら良かったと思ったりしました。
注意点ですが、日本語で受験した場合、英語の原文は表示されません。訳された日本語の意味がこなれておらず、可能なら英語を参照したい問題も何問かありました。英語の得意な人は英語で受けても良いかもしれません。私は日本語の方が速く読めますし、問題を正確に理解できると思いましたので、その点は割り切って日本語で受験しました。
1時間半で一通り解き、1時間半で見直し、これ以上やってもスコアは変わらないと思ったところで終了しました。画面で合否結果が速報で出ますが、紙ベースでの結果は出ません。正確な結果は詳細なスコアとともに10日ほど経ってからEmailで通知されます。
CISMの学習で得られるもの
これまで自分に不足していた、ビジネスがあってのセキュリティ、組織としてのガバナンス、といった考え方が身についたと思います。CISOが何を考え、何を実施し、何に責任があるのかという点についての理解が深まりました。逆に言うと、それらが理解できていないと試験をパスすることは難しいと思いました。
エンジニア出身ですと問題をテクニカルに解決しようという考え方になりがちだと思うのですが、テクニカルな解決法も単なる手段の一つであり、組織もしくはガバナンスで管理していくという考え方がよく理解できました。