はじめに
セキュリティ界隈が盛り上がっているので、CISAとCISMを受験しました。
いずれも2回目で合格できたので、学習方法と不合格だった時の課題などを記載したいと思います。
これから受験する方は参考にしてください。
CISA、CISMについて
ISACAという米国の非営利組織が認定する資格で、日本語だと「公認情報システム監査人(CISA)」「公認情報セキュリティマネージャ(CISM)」と表記されます。
筆者はディベロッパーなので馴染みの無い用語でしたが「情報セキュリティ管理者」「情報システム監査人」というのは、ISO27001(ISMS)などで定義されているシステム監査の体制上の役割のことのようです。
CISAの受験
- 1回目
初めての受験時、高額な公式問題集など要らないだろうと考え、ヤフオクで買った「公式ではない問題集」で学習を開始しました。
1日あたり100問を出来るだけ時間を掛けないようにサラッと解き、復習として翌日にもう一度見直すという形で学習を進めました。
1000問を3周(復習を入れると6周)行い、およそ8割程度が解ける状態で受験。
| ドメイン | スコア |
|---|---|
| 1 | 403 |
| 2 | 331 |
| 3 | 573 |
| 4 | 450 |
| 5 | 581 |
結果は438点で不合格でした。特にドメイン1と2が低い。
受験料が高額なので精神的に結構きます。今思えばただの勉強不足だったのでしょうが、不合格を突き付けられると公式ではない問題集での学習に不安が出てきます。
- 2回目
結局は2度目の受験の前に公式問題集を購入。
公式問題集でスコアの低かったドメイン1/2/4を2周して2回目を受験しました。
| ドメイン | スコア |
|---|---|
| 1 | 599 |
| 2 | 388 |
| 3 | 573 |
| 4 | 564 |
| 5 | 581 |
結果は529点で合格。相変わらずドメイン2の理解が浅いようです。
CISMの受験
- 1回目
CISAの公式問題集と一緒にCISMのものも購入していたので、CISAの合格後にすぐ着手しました。
約2カ月掛けて公式問題集を4周(復習を入れて8周)し、9割前後解けるようになったので1回目を受験。
| ドメイン | スコア |
|---|---|
| 1 | 423 |
| 2 | 441 |
| 3 | 563 |
| 4 | 411 |
結果はまさかの不合格。
とは言え、CISAで不合格を経験していたのと、公式問題集での学習だったのでそこまでショックはありませんでした。
問題集も殆ど選択肢だけで答えが判る状態だったので、「答えだけ覚えて理解が浅い」状態だったのだと思います。
- 2回目
スコアの低かった3ドメインの解説を2周ほどを査読して理解を深めることに専念し、不合格から1か月後に2回目を受験。
| ドメイン | スコア |
|---|---|
| 1 | 526 |
| 2 | 611 |
| 3 | 478 |
| 4 | 545 |
結果は535点で合格でした。
所感
CISAの合格後にCISMを受験したにも関わらず、合格までに同等の時間を要したことを考えるとCISAよりCISMの方が難しかった印象です。
学習時間は正確には計っていませんが1~2時間を週5日、月30時間くらいのペースで行っていました。
CISA、CISMのいずれも2か月の学習で不合格、3か月で合格となっているので、合格までおよそ100時間の学習を行ったことになります。
ネット情報では「公式問題集が8割解ければ合格」と言うのを見かけますが、解けるだけでなく内容を理解していないと合格できないので注意が必要です。