タイトルのとおり、2ヶ月ちょっとでCISSP、CISM、CISAなどに合格できたので、その顛末をご紹介します(決して、自慢なんぞではありません)。以下、めっちゃ長文になりますが、よろしければ、是非おつきあいくださいませ。以下、アドバイスというより、あくまで個人の経験に関する情報の共有を主たる目的としております。
00.スペックなど
タイトルだけだと、「えっ」と思う方々もいるかもしれませんが、自分のスペックについて言うと、合格後に証明が必要となる実務経験やその他の専門知識はいずれも貧弱そのものです。
仕事でコードを書いたことはないですし、もっぱら、なんちゃって管理系の仕事を比較的短期間しているだけです。これらの試験は、いずれも実務経験が問われますが、その条件をなんとかクリアできるかどうか!?、という程度です。ちなみに英語が特別によくできるわけでもありません。
今回は、いずれも、できるだけ短い対策期間で試験合格という目的を達成するという、「よこしまな」考えありきで戦略を立て、そこそこ実行したので、この方法で、マネジメントとして求められるあらゆる能力が十分認証されたなんて、ゆめゆめ思っておりません。
以下、それぞれの試験の経緯などについて、その概要を申し上げます。受験動機については、あまり詳しく書いても意味はないので触れません。「合格できればいいなあ」程度です。
この記事を読んで、「こんなやつが、たったこのくらいの対策で受かるんだ」と感じていただき、ついつい慎重になりがちな人(この業界の方々は、すごく実力があるのに、必要以上にあれこれと考えすぎてしまう「謙虚な方々」が多いと思います)も含めて、一人でも多くの人がこれらの試験にチャレンジしようと「軽~く」思っていただければいいなあ、と思っております。ほんと、みんなもっとワルになったらいいのですよ・・・。
0.共通対策
全編を通して読んでいただければ、お分かりいただけると思いますが、どの試験も基本的な対策は「ほぼ同じ」で、共通しているのは、以下のとおりです。
・できるだけ、最少・最短の努力で結果を出す!!
・なので、時間軸は重要(試験日を先に決めてから対策開始!)
・試験対策は、主催者団体が監修する「公式問題集」が全て
・公式的な「参考書」や「講習会」の併用も(チャンスがあれば)悪くない
・記憶の定着をサポートする「暗記ツール」や「翻訳ツール」は、時間短縮の友
・自らの実力を正確に判断する「記録」で立ち位置確認もいいね
・あとは、これらの 「短期間での反復・改善作業」≒「アジャイル」あるのみ(これが、むっちゃ大事!?)
(時間のない方は、ここまでで読了でも構いません。この後は、これらの実例を示します)
1.CISSP(情報セキュリティ・プロフェッショナル認定資格)
1.-(1) 準備作業 ~公式問題集を入手して、試験日を先に決める~
いずれの試験も基本的には同じですが、 主催者団体が公表している「問題集」をひたすらこなすということになります。 多くの合格者が共通して指摘しています。基本ですよね。CISSPの場合は、ちょっとググれば、すぐに分かりますが、「CISSP公式問題集」を入手しましょう。これなくして、「敵」は分かりません。日本語版の問題集ですばらしいです(後に出てくる、CISMやCISAの問題集の翻訳レベルと比べたら、そりゃ、もう、段違いの出来)。
試験日を先に決めた方がいいですね(というか、必須)。 円換算されるドルベースの試験費用は、理不尽なほど高く感じますが、これも仕方ありません。さっさと「背水の陣」にすべきです。私は、対策し始めてから数日後に申し込みました(受験料を考えると、ちょっと清水・・・的ですが、ポチっとね)。申し込み時にすぐ気づきましたが、意外とかなり先の日程(2~3ヶ月後)まで埋まっています。悩んでいるとどんどん申し込まれてしまいますよ(悩むのは、問題集を解くときだけで十分)。円安で受験料がくそ高いとかは考えないこと(きっぱり)。
1.-(2) 対策 ~問題集と電子単語帳とエクセルと私~
この問題集を繰り返しましょう。最初は、用語すら分からない問題も多いと思いますが(たぶん、CISSPの試験でしか出てこない概念も多い気がする)、その場合は、その言葉の意味を知ることから始めるつもりでいいです(刀の使い方が分からなければ、闘えないしね)。
用語の学習は、「Anki」が強い味方になってくれます。これも、各種のブログを見れば、すぐに出てきますよね。機能自体は、単純な「電子単語帳」です。同じようなものがあれば、他のものでも何でもいいと思いますが、記憶はすぐに薄れてしまうので、PCでもスマホでも使えて、簡単に用語の確認を「繰り返す」ことができるこのソフトは独学者にとって心強い存在になること間違いしなしです。私の場合は、分からない用語があれば、ひたすらこのソフトに入力して、通勤時などの合間に繰り返して覚えていました。用語などをエクセルで管理してCSVファイルで流し込むのが管理しやすくていいかもね。
ちなみに、私は、単語帳などの参考書をテンポ良く(多少、怪しい定着度合いでも)何度も「繰り返して」少しずつ記憶の確度をあげていく学習を 「ぐるぐる勉強法」 と、勝手に名付けていたのですが、とっくの昔に 先人 がいたらしいです。そりゃそうだ。受験界じゃ当たり前ですよね。そのまんまだもんね。そこで言い方変えます。「アジャイル勉強法」で。
なお、それぞれのドメインの問題の正誤については、一問ごとにエクセルに記録しました。その際、これも各種のブログでも披露されていますが、問題ごとに「○(問題文の意味が分かって正解)」、「△(問題文の意味があやふやだけと正解)」、「▲(問題文の意味があやふやで不正解)」、「×(問題文の意味が分からず不正解)」のレベル分けをしておきました。一巡目の正解率は50%~70%程度で全体の平均で60%程度でした(かなりばらつきがありますね)。当然、後で「無駄なく」見直すために作るのですよ。
ちなみに用語の理解に当たっては、ググるのもいいですが、やはり、「主催者団体が考える定義」を押さえておくのがいいですね。そこで、私は「新版 CISSP CBK 公式ガイド」を入手して、「辞書」代わりに使っていました。
でも、注意です。いいですか、この本を最初から最後まで完璧に読んで理解しようなんて、「決して」思っちゃだめですよ。効率悪いです。真の目的は、あくまで、「最短で合格する」ことですからね。さらに、お値段が「それなり」にするので、フリマサイトなどで出品されている中古品を入手するのも悪くないです(私の場合は、入手したものをスキャナーにかけて検索可能なPDFにして辞書として使っていました。これも時間短縮のため)。
で、この日本語の問題集は、非常にいい出来なのですが、実は、最近は、さらに最新版の問題集が出ているのですよ。主催者団体が出す問題集は、「主催者団体として、受験者に知っておいてほしい、アップデートされたテーマや知識」が満載のはずです。当然のことながら、はずす手はないので、早速入手しました。
でも、感のいい皆さんならすぐに気がつきますよね。「それ、英語版だろ」って。そうです。英文を読むことが苦にならない方はいいですけど、非力な私は読解だけで疲れるし、時間もかかるので、「アジャイル」を旨として、当然、別の方法を採用しました。べたですが、「翻訳アプリ(DeepL)」を使う方法です。
細かい方法は、リンク先を確認していただきたいですが、キンドルで洋書をDeepLですらすら読んでいる方の方法がそのままばっちり使えます(公開者さま大変感謝です)。いくつかのソフトのインストールなどの作業がありますが、せいぜい10分程度でできるはずです。
これで、英語の問題文をそのまま読むより時間短縮できるはずです。仮に、1問当たりの解答までの時間を30秒縮められたら、この問題集だと、全部で1300問程度なので、1300×30秒=650分≒11時間弱の時間短縮になるわけです(諸々の準備の時間を考慮してもおつりが来る)。
日本語訳の品質は、googleよりも良好です(まあ、厳密なことを言えば、DeepLでも1割弱くらい変な日本語があったし、おそらく、DeepLの翻訳性能というより、表示画面からの自動判読の都合上)ごく数問だけ英文中の「not」がうまく訳されずに逆の意味になっていたものがあったけど、すぐに気づくし、許容圏内ですね。
できれば、すべての日本語訳をテキストにコピペしておきましょう。あとで復習するときに、そのファイルが「日本語版の問題集もどき」に早変わりします。
多くの方々はそうだと思いますけど、英語で思考して、そのまま、英語で答えられるようなレベルでなければ、頭の中で、英文→(翻訳)→日本文→(理解・思考)→(解答)という順に作業するので、時間がかかるのはどうしても否めないと思います。
一方、当たり前ですが、これら試験は英語の能力を問うものではないので(結局、日本語で考えるし)、楽な方法を採用すればいいだけです。何度も言いますが、最短・最少の努力で試験に合格する力を身につければいいと割り切って、自分で実現可能な省力化をどんどん採用すべきです。
ちなみに、このソフト、まともに使うには、有料版を契約する必要があります。ここでは、けち臭いこと言わずに、有料版を申し込みましょう。でも大丈夫。初期ユーザーであれば、利用開始後の最初の30日間は、試用期間内で無料で使い倒せます。ということは、・・・その期間内にしっかり対策するということですよ。そう、ここでも、「アジャイル」です。私は、試用期間内に対策して、ちゃんと「解約」しました。
で、肝心の中身ですが、2冊目の問題集は、そこそこの割合で1冊目の問題集の問題と内容が被ってます。それでも、復習にもなるし、無駄ではなかったと思います。新傾向の問題もありますしね。
Kindle for PCで洋書をDeepL翻訳を使ってスラスラ読む方法
1.-(3)対策期間のレベル ~8割くらいの定着でOK 時間のかけ過ぎはもったいない~
「時間短縮」を旨としているので、毎日、無理なく、でも着実に進めました。平日は、帰宅後の2時間。土日は4~5時間を対策時間に当てました。それ以外に通勤時間で「Anki」を使って用語などの復習ですね。
最初の1週間ですべてのドメインを軽く流して(正答率 60%程度)、次の週で2周目(正答率 80%程度)、その翌週には、模擬試験(正答率 70%程度)をやりました。そのあとは、それぞれ、問題集の2周目、3周目をこなし、どの問題もおおむね80%程度以上の正答率となりました。このレベルになってくると、答えを覚えてしまうので、(他の受験者のブログでも同じご意見が多いですが)解答を選ぶ際にその理由も同時に考えるように「意識」していました。
なお、3周目くらいのときには、例のエクセルファイルでチェックしておいた問題「△」、「▲」、「×」を中心に効率良くレビューしました(すでに理解した問題は繰り返さないってこと)。
なお、3周目くらいのときに、「次のターゲット」を目指して「あること」をしておきました。それは次章で。
他のブログを見ていると、9割、10割の正解になるまで問題集を回している方もいるようですが、本番では、問題集と同じ問題は出題されないのですから、そこまで能力を上げる労力・時間は「はっきり言って無駄」と思い、この程度で十分だと割り切ってました(実際、対策期間も限られてたしね)。そして、対策開始から30数日で試験日となりました。
対策時間は、トータルで正味120時間くらいでしょうか(補足すると、何ヶ月もかけて、トータルこの時間をかけるという意味ではなく、短期・集中的に対策して結果的にこの時間的な量に至るという意味ですよ)。実務経験が豊富で地頭のよい方だと、この半分以下の時間で十分でしょうね。逆に、これ以上の時間をかける必要はないと「断言」できます(もし、数か月以上の単位で時間をかけている方がいれば、本当にもったいないです)。繰り返しますが、目的は、合格レベルを「ちょっとでも」超えることであって、関連知識を隅から隅まで暗記し、学者のように理論を振りかざすことではないですから。
なお、手頃な費用で動画で学ぶこともできるようですね。たとえばUdemyでは気になるドメインとかで視聴してみたい誘惑はありましたが(割り引きしていることも多いみたいだし)、これも、効率化の観点からスキップしました。
1.-(4)試験当日 ~早めの到着がいいね~
当日は、試験会場に早めに行きました。開始予定時間の30分前に到着するのが普通のようですが、早めに出発して、開始予定時刻の50分くらい前に着くと、さすがに早かったみたいで、会場の扉を開けるなり、中にいた受付の方(日本語ネイティブじゃない人)から「○○分までお待ちください」と言われ、扉の前で手持ちぶさたに待つはめに。その後、晴れて受付が始まると、各種手続き(事前説明、持ち物預け、ID確認、写真撮影など)を一気に進みます。この時になると、何人もの受験者(CISSPだけじゃなくて、AWSとか?)がやって来て順番に待つはめになっていたので(結構無駄に長く待ちそう)、やっぱり、自分のペースを保つためにも早めの到着は何かと良いです。
いざ試験会場に案内されると、ここでも、また荷物検査(本当に何も持っていないか、ポケットの裏側まで確認され、後述のISACAの試験よりも厳しい)、油性ペンとプラスチックのシート(メモ用)に加えて、希望者には耳栓やティッシュペーパーももらえます。席についたら、受験規約を承諾してようやくスタートです。
試験内容は、NDAがあるのでノーコメントです。印象としては、単純に知識で解ける問題と、状況を踏まえて、最適な解を答える、幾分、思考を要する問題に分かれていたように思えます。また、他の方のブログを読むと、途中で休憩したり、水分補給したり、トイレに行ったりしているようですね。私も1回くらいは、休みを入れようと思って軽食(お菓子)と飲料を用意していたのですが、結局、手をつけられませんでした。
なぜって? ほとんど時間に余裕がなかったからですよ。 これは、実務経験薄、知識薄の弱輩受験者の悲哀ですね(1時間、2時間以上余らせて合格している方々は、本当の実力者だと思います)。
私は、経験や体に身についた知見から質問の意図を素早く判断するレベルには達していないので、とにかく、問題文の「主語」と「述語」と「何を聞かれているのか」を頭の中で反復・確認しながら、ケアレスミスを避けるために慎重に進めました(CISMやCISAのように、チェックしておいて、後から見直すとかできないからね)。
結局、試験時間の多くを使って250問をなんとか解き切りました。でも、判断に迷う問題が多かったせいもあり、正直、手応えは微妙。疲れがどっと出てきました。
終わると、ペンなどの貸与品を返却し、受付に戻りました。すると、「お疲れ様でした」との声ととともに、受付の方から容赦なく、プリンタで出力された試験結果の紙が裏返しで渡されました。受付周辺には、すでに他の試験の受験者が待機していたりして少し混雑していたので、小心者の私は、その紙をバッグにそのまま突っ込んで、会場を後にしました。まずは、トイレへ。
その後、会場近くでベンチを見つけて、緊張しながらカバンからさきほどの紙を取り出し、平静を装いながらも、深呼吸を一度してから裏返して見ると、
「おめでとうございます!あなたが、CISSP(Certified lnformation Systems Security Professional)認定資格試験に暫定的に合格されたことを、お知らせいたします」
の文字が。
何か、久しぶりの達成感(大学合格以来か)。急に足取りが軽くなって、腹が減ったことに気づき、帰りにステーキを食いました(井之頭五郎かよ)。
1.-(5)その他
受験申込時やブログなどから察するに、経験者の体感として、ここ最近、CISSPの日本人受験者の増加スピードが加速しているように思えます。昔は、大手のベンダーやSIerなどに所属する方々が多かったのかもしれませんが、最近では、それらに加えて、いわゆる公的セクターぽい方々も積極的に受験しているように思えます(外見からは判断できないけどね)。国も人材育成・確保に乗り出しているようだし。こんなことやこんなこともあるみたいだし。2023年前半には国内資格取得者が4000人をゆうに超えるのではないでしょうか。
そういえば、国も情報処理安全確保支援士、CISSP等の関連資格の位置づけを明確にしていますね。
2.CISM(公認情報セキュリティマネージャー)・CISA(公認情報システム監査人)
2.-(1) 準備作業 ~公式問題集を「もっと早く」入手して、試験日を先に決める~
CISSPの合格に気を良くした私は、ターゲットを次に移します。CISSPの受験者の方が他にも取得している資格はいろいろあるようですが、同じ海外の資格だと、CISMとCISAが多そうだったので、この二つを選びました。CISSPよりも難易度が低いとの評価もあるみたいですけどね。どうなんでしょうね。
まずは、CISMです。さきほど、前章でCISSPの対策中に「「次のターゲット」を目指して「あること」をしておきました。」と書きましたが、それは、何かというと、公式問題集をゲットしていたのですね。CISMもCISAもISACAが主催する試験ですが、いずれも紙ベースの日本語の公式問題集(CISMであれば、CISM試験サンプル問題&解答・解説集第10版印刷版)を独自のウェブサイトから購入するのが基本になるからです。
この問題集、紙なので、当然、アメリカから郵送になります。ということは、それなりに時間がかかります。CISSPの対策後にも切れ目なく対策を続けるには、CISSPの合否が分かる前に問題集を手に入れておくことが必須だと思っていたのでした(教材がないだけで対策できないのは、それこそ「時間の無駄」≠「アジャイル」です)。
ところが、この問題集が、まー高い! ISACAの会員になると少し安くなりますが、さすがにCISSPの合否が分からない状況でそこまで金を投じる気にもならず、「標準価格」でCISMの問題集だけを購入したのでした(後から考えれば、この時、CISMとCISAの両方の問題集を会員価格で購入しておくべきでした・・・、かなり高額な郵送費(50ドル程度)も節約できるチャンスでもありましたが、それは小市民の性・・・)。
https://store.isaca.org/s/store#/store/browse/detail/a2S4w000005FR63EAG
期待したとおり、CISSPの試験日前にCISMの問題集が到着しました。そして、CISSPの試験日の翌日から、まずは、CISMの対策を開始しました。当然、今回も問題集のみです。
でも、その前に改めて戦略を考えました。CISMとCISAは、それぞれ、微妙にドメインの範囲が異なりますが、一方で類似のテーマも含まれています。もちろん、マネージャーと監査人という「立場」の違いがあり、そのことが答えの導出に大きな影響を与えるのですが、とは言え、背景事情はかなり親しいものがあります。そこで、大胆にもこう考えました。
「CISMとCISAを同時に対策したら、相乗効果で短期間で両方とも合格できるんじゃね!?」
これこそ「アジャイル」の真骨頂だと、CISSPの合格で多少浮ついていた私に邪念がわきました。CISMは4ドメイン、CISAは5ドメインです。CISSPの対策時(8ドメイン)と同じような進捗で進め、CISSP対策で得られた「短期記憶」も考慮すれば、4週間ちょっとで攻略できるのではないかと。
そうと決めれば、目標に向かって前進あるのみです。早速、ISACAの会員となった上で、CISAの問題集CISA試験サンプル問題&解答解説集(第12版)日本語版も申し込みました。と同時に、CISMとCISAの受験申込も一気に済ませました。詳しい手順は省きますが、いずれも先に受験料の支払いをして、「受験資格」を得た後に、「マイページ」からから日程を予約する流れだったと思います。
CISMとCISAの受験申込ページ(それぞれ「Resister Now」から)
https://www.isaca.org/credentialing/cism
https://www.isaca.org/credentialing/cisa
CISM・CISAともに、ISACAが指定したテストセンターを使うので、完全に受験希望者の予約が重なります。しかも、そのテストセンターは、全く関係のない他の試験(語学系など)の受験者も利用するので、CISSPと同様に日和っている場合ではありません。ほとんど日程の選択肢がない中で、なんとか、近接した日で両方の試験の予約をすることができました。試験は約1ヶ月後。
そこで、問題集を始めるわけですが、その前にちょっとひと手間を。購入した公式問題集を全てスキャンしてPDF化してしまうことです。CISSPのときは、すでに電子書籍だったので必要ありませんでしたが、こちらは紙なので、まず端末からスムーズに閲覧することを目指しました。
さらに、CISSPの問題集と違って、問題文と解答が連続して表示されており、問題文を見ると自然と解答・解説も目に入ってくるので、さすがに思考に影響を与えると思い、いわゆるPDFの編集ソフトを使って、解答・解説部分を「隠す」ようにしました。2冊の問題集の全ての問題を処理するのは時間がかかりましたが、その後の作業効率のためには役に立ったと思います。
なお、前述したように、CISMもCISAも公式のマニュアル(参考書)がありますが、いずれも購入していません。他の方のブログでもマニュアルなしで合格ができた方が複数いらっしゃるようでしたし、短期間で攻略するのに、これ以上、戦線を拡大するのは時間との関係で難しいと思ったからです。
2.-(2) 対策 ~問題集と電子単語帳とエクセルと「レビュー・試験対策コース」と私~
対策は、基本的にCISSPのときと同じです。まずは、すでに入手していたCISMの公式問題集からPDFを見ながら1ドメインずつ問題を解きました。CISSPの対策時には、分からない用語が多数ありましたが、そのときに粘り強く調べていたせいか、今回は、分からない用語はあまりなかったように思います。この点でもCISSPからの連続した対策の効率性を感じました。
電子単語帳である、「Anki」は今回も活躍しました。ただし、CISSP対策時には、主に専門用語を覚えることに活用しましたが、今回は、間違えた問題をそのままコピペして復習用に活用しました。通勤時に復習するので効率的です。おすすめです。
そうこうする内に時間差でCISAの公式問題集も届いたので、同じようにドメインごとに学習しました。ちょうどだいたい、2週間ずつですね。
あと、ちょうど運が良かったのは、CISMもCISAもISACAの東京支部が受験者向けの講義をしてくれていたことです。対策の過程でたまたま知ったのですが、これが私が求める効率的な対策をさらに加速してくれたと言っても過言ではなかったです。CISMは、「CISMレビューコース」、CISAは、「CISA試験対策コース」という名前で四半期ごとに開催しているようです。
私の場合は、ちょうど、問題集の各ドメインを一通り軽くなぞったぐらいのタイミングで、このコースを受講するタイミングになったので、本当にベストなタイミングでした。それぞれ、2日で8000円、1日で5000円しましたが、私みたいに我流な対策をしがちな独学者にとって、正しい方向性を示してくれる道しるべになるようなコースでした。かつては、集合形式だったようですが、現在は、オンライン講義で実施されていました。
これらは、問題集や受験料の高さに比べれば、情報の質で比較しても、正直安いものです(おそらくボランティアと思われる講師の皆様、ありがとうございました)。今後も定期的に開催されると思われますので、初学者でタイミングが合いそうなら受講することをおすすめします(ただし、講義内容や講師の見解は、ISACAの公式見解ではなく、あくまで個人的な見解とのこと。そうは言っても、専門家の話を聞いて損になることはないですよね)。
このコースで一番の収穫は、どのドメインが本当に重要なのか、を確信できた点です。 CISMにしろ、CISAにしろ、情報セキュリティに関する事業体のガバナンスを重視します。 そのため、事業体における目的・目標、戦略、標準、手順等といった構造を理解することは必須です(マニュアルを買っておけば、すぐに分かっていたのかもしれませんが)。当然ながら、最も重要なドメインは、「ガバナンス」に関するところです。CISMだとドメイン1、CISAだとドメイン2ですね。
合格者の他のブログでは、 各ドメインのうち、出題シェアが大きいドメインから学習すべきとのご意見もあるようですが、私はこの考えに直ちには同意できません。 なぜなら、先ほどの話のとおり、CISMもCISAも事業体における情報セキュリティの規律を維持するための適切な組織構造が経営者によるガバナンスを中心に組み立てられている(と理解できる)からです。したがって、この構造が最も理解できる順番で対策を進めるべきだと思うのです(ガバナンスのドメイン以降は、いろいろなやり方でいいと思います)。
ちなみに、CISMもCISAもドメインの入れ替えも近年実施しており、その点でもドメイン別の単純な出題率のシェアの順番に学ぶのは効率的な方法に思えません。もちろん、すでに豊富な実務経験などで大枠を理解している方々にとっては、それほど気にするようなことでもないかもしれませんが。
2.-(3)対策期間のレベル ~完璧でなくても気にしない~
対策にかけた時間は、CISSPのときと同じく、平日は、帰宅後の2時間。土日は、4~5時間くらいです。もちろん、それ以外に通勤時間に「Anki」を使って用語などの復習ですね。CISMもCISAも、1周目は、とにかく流して(正答率 60%程度)、2周目は、背景の理屈に気をつけながらやりました(正答率 80%程度)。かけた時間は、CISMもCISAもだいたい2週間ずつです。
繰り返しですが、重要なことは、完璧を目指しすぎないことです。背景が理解できず、さらに解説を読んでも納得できない問題もあります(深追い無用)。特にCISSPの場合と違って、CISMの公式問題集は、日本語訳がお世辞にも熟れているとは言えないですし、何を聞いているのか、判然としにくい問題もいくつもありました。
この点、先に書いた「コース」を受講した際の講師の方々は、問題集の翻訳も協力したみたいで、問題文の意図などを多少補足する説明もしてくれていました(本部との契約の関係で、原文に可能な限り忠実に訳すように言われていたのですかね)。
2.-(4)試験当日 ~寒い・うるさいけど、時間は十分~
試験会場は、いずれも開始時間の15分前を目途に集合するように指示されていたので、CISSPのときほどではないですが、ちょっとだけ早めに行きました。雑居ビルの一角を使ったさほど大きくないスペースで受験するのですが、会場に着くと、すでに10人以上の人が受付に並んでいます。CISSPのときに比べると、若い世代の受験者が多そうで、特に外国語系の受験者が多くいるように見受けられました。
持ち物は、全てロッカーに置いて、受付の方の指示に従って、端末の前に着席し、受験規約に同意した上で、簡単なガイダンスの画面を見ながら、テストの形式を理解した後にスタートです。
試験内容については、CISSPと同じくNDAがあるので、ノーコメントです(問題数が多くていちいち覚えていませんし)。ちなみに問題文の日本語の質は、公式問題集のそれと比較しても悪くありません(というより、むしろ良い)。公式問題集もこの程度の質を維持してほしかったな、と思いつつ(訳者のみなさん、すいません)、CISSPのときと同じように、「主語」、「述語」、「問われていること」を反芻しながら慎重に解答していきました。
システム上、助かったのは、「チェックボタン」があったことですね。ちょっと判断に困る問題があれば、チェックして次に進むことができます。私の場合は、残り2つの選択肢で迷うことが多く、その都度、チェックを入れておきました。CISMもCISAもいずれも、半数くらいの問題にチェックが入ったと思います。問題の質について、あえて主観的な付言をすると、CISAの方がオーソドックスな問題だったように思えます。
また、部屋の雰囲気は特に悪いわけではなかったのですが、エアコンがやたら効いていて、あえて冷房しているのかと思うほど、足下が冷えました。それと、立地条件のせいか、外の物音が結構入ってきて、集中を妨げたタイミングが少しありましたし、それ以外にも部屋の受験者が頻繁に入れ替わるなどして(これは仕方ない)、一種独特の感じでした。
結局、問題を一通りこなすのに、3時間あまりかかりました。その後は、残りの時間を確認し、チェックした問題を一問ずつ再検討です。この段階で私の頭の中では、自らの正答率を次のように予想していました。
チェックなしの問題→9割、チェックありの問題→5割(低めに見積もり)。解答数はそれぞれ半分ずつ。試験の性質上、実際のところ、全ての問題の配点が均一ではない可能性が高いですが、仮にそうだとすると、(75問×9割+75問×5割)/150問=7割 だと。
何の確証もないですが、7割の正答率なら、なんとかなるんじゃね? と感じるとともに、緊張がややほぐれて、落ち着いて見直しができた気がしました。それでも、与えられた時間を可能な限り使って、1点でもミスしないように確認しましたが、ほとんど修正することはありませんでした(結果的に、このあたりがぎりぎりの合格ラインになったかも)。
全問解いて、試験を終了させると、簡単なアンケートが続き、最後にモニタに採点結果が表示されます。
2回の試験とも、「合格」
の文字を見たときは、本当に安堵しました。そして、結果論でしょうけど、短期集中で効率を目指した自らの対策が間違っていなかったと、改めて認識できたのでした。受付の方を呼んで、チェックが済めば退席です。
後日談になりますが、10日程度でISACA本部からメールで試験結果が点数付きで届きます。総合得点については、お世辞にも高得点とは言えませんが、目標どおり、合格ラインをそれなりに達成した程度です。でも、これで十分です。
2.-(5)その他
以上、CISMもCISAも同時に対策を始め、結果、ほぼ同時に合格することができました。時間的にも対策の分量としても効率のいい結果だったと思います。一見すると、多額の受験料を払って短期間で対策とするというリスクの大きい手法だったように思われるかもしれませんが、私自身は同類の試験を短期間の対策で攻略できた、むしろリスクの少ない方法だったと思います(結果論というご指摘があれば、素直に認めます)。
3.+α
番外編になりますが、CISSP、CISM、CISAへの挑戦を続けていた時期に平行して、もう一つのチャレンジもしてました。先ほどの試験は全て国際的なものでしたが、今回は国内ものになります。おまけみたいなものですが、IPA((独)情報処理振興機構)が実施している「情報セキュリティマネジメント試験」を受験しました。
この試験は、一定期間の間にお好みのタイミングでCBT(Computer Based Testing)で受験できるもので、午前試験と午後試験を別々のタイミングで受験できました。私も2日に分けて、受験しました。レベルについては、比較的標準的なものであることは分かっていたので、特段の対策もせずに、ぶっつけ本番で行きました。
試験の性格もあって、比較的若い人が多かったように思えますが、CISSP等の試験と同様に、端末の並んだ部屋で一斉に受験です。終了後すぐに試験結果がメールで知らされます。私が退出するころには、同じタイミングで入室した受験者の多くは、途中退出でいなくなっていましたが(みんな自信あるのね)、私は例のごとく、最後まで見直しを続けました。
結果は、特段の問題なく合格です(さすがに、これで落ちたら凹むよな)。同じCBTでもCISSP等とは、毛色は全く異なり、ストーリー性のある状況で各種の知識や判断力を問う問題が多かったように思います。何より、日本の試験らしく、正確な状況描写と他に紛れのない作問は試験委員たちの努力の跡がうかがえます(偉そうに言ってすいません)。一方、ISACAの問題は、一般の人からも公募しているようで、採用されると謝礼も払われるそうですから、このあたりからしても、試験に対する発想・構想が違うのでしょうね。
4.ほろ苦い結果
この話もしなければなりません。ここまでのほとんどは、「海外の資格」について述べてきたのですが、これらの試験を目指す(した)方々なら、その多くの方々国内でも「ある試験」を目指している(した)はずです。(独)情報処理推進機構(IPA)の「情報処理安全確保支援士試験」ですね。
もちろん、私もチャレンジしました。昨年4月(春)と10月(秋)の2回です。結果はいずれも「残念」。午後2の試験で合格点に数点足らず敗れ去りました。特に秋試験は、それなりに手応えがあっただけに、端末で合否を確認したときには、「意外な結果」に目を疑いました。ほろ苦い結果ということで。
仕方ありません。これが自分の実力なのです。「アジャイル」になっていませんね(日本の開発現場は、まだまだ「ウォーターフォール」がメインだからかな(笑))。敗因を分析した上で 再度チャレンジします。この事実だけでも、「俺は、こいつよりずっとましだ。俺もCISSP、CISM、CISAを短期間で合格できるんじゃないか」と、思う人も多いと思います。そのとおりです。やっちゃいましょう。
5.最後に
よく聞かれる話ですが、情報処理安全確保支援士、CISSP、CISM、CISAのレベル比較についてです。私自身、対策期間中に気にしたことがなかった言えば嘘になりますが、今となっては、この比較に大きな意味があるとは思えません。なぜなら、それぞれの試験の趣旨も目的も方式も異なるし、受験タイミングも異なるし、何よりその時の私の知識レベルも対策状況も大きく異なるからです(受験者各位もそれぞれバックグランドが違いすぎます)。それでも強いて言えば、同時に対策できたCISMとCISAには、さほどのレベルの差がないように思えたくらいでしょうか。
ここまで、私の駄文を読んでくださった皆様は、おそらく、何が何でもこれらの試験に合格したくて情報収集をしておられる方々でしょう(だって、google先生の単純な検索でも見つかりにくいページなのに、わざわざこのページにたどり着いているからね)。ですので、はっきり言いますね。「悩んでいないでさっさと行動あるのみですよ」 と。
あなたが気にしているのは、何ですか。費用ですか(確かに私も数十万円かかりましたし、これからもCPEの取得などで費用は確実にかかります)、タイミングですか(大きな仕事の後?、来年?)、それとも、時間ですか(勉強時間が足りない?)、いろいろあるかもしれませんが、本当のところ、「合格」でしょう。
ましてや、受験者のほとんどが社会人なはずで、忙しい仕事の合間を縫って、対策をしないといけない方々ばかりのはずです。であれば、答えは、一つです。「あなたにとって、最も効率のいい方法で合格を勝ち取りましょう」。私の方法はその一つの実践例に過ぎません。
でも、「たかが」試験の対策のために、好きな趣味や家族との団らんの時間をことさらに犠牲にする必要は微塵もないと思いませんか。
そうです。「アジャイル」でいきましょう。何より優先すべきは、あなたの自由な時間です。ねじりはちまきで1年以上も机にかじりつくことは必要ありません。
以上、長々と一連の経緯などを記載いたしました。ここまで辛抱強く読んでくださった皆様に改めて感謝申し上げます(決して、自慢話ではないことはご理解いただけたと思います)。その上で、これらの資格試験の挑戦を機に、世界から一目置かれる前途有望な人材が一人でも多く輩出されることを願ってやみません(私ごときが、上から目線でほんとにすいません)。
情報セキュリティ、サイバーセキュリティの世界には、国境はないも同然ですよね。でも、この分野で世界と伍していくには、潜在的な能力が高くても、少なくとも、国内ローカルのタイトルだけでは評価してもらえません(理不尽にも思えますが、「土俵」に上がらないと注目してもらえないのでしょう)。
なので、自分の能力を正しく認識してもらうというより、過小評価されることを避けるためにこそ、分かりやすい「アイコン」を獲得することが何より効果的だと考えます。お隣の国の方々がこれらの国際的(米国主導)な資格を日本人よりも多く取得している事実が何よりの証左です。私も、私なりのペースで今後も研鑽を積み重ねたいと思います。今年は、うさぎ年。「跳躍の年」です。
6.参考
今回の一連の試験対策に当たっては、様々な情報ソースから学びを得ました。やっぱり、地に足の着いた情報の共有は重要ですよね。私が参考にしたもののうち、主なものを以下のとおりご紹介します(順不同)。皆様ありがとうございました。「ファーストペンギン」の方々に敬意を表します。
6.-(1)CISSP
・CISSP 勉強ノート
・[資格受験]独学でCISSP を受験した話
・【実務経験3年】セキュリティ国際資格のCISSPに合格するまでの勉強方法・試験当日の流れ|アソシエイト(準会員)とは
・【攻略法】情報処理安全確保支援士とCISAとCISSPに並列で挑戦して合格したので、勉強法と判断力のチューニングを中心にレポしてみる
・CISSPの試験対策に使った参考書・問題集と活用方法
・CISSP合格に必要な勉強と時間(トレーニングあり)
・だいたい2ヶ月でCISSPの試験に合格した話
・独学でCISSPを受験してきた(2022年11月)
・CISSP(Certified Information Systems Security Professional)合格体験記
6.-(2)CISM/CISA
・CISM : 『公認情報セキュリティマネージャー』 情報倉庫
・CISA/CRISC/CISM/CGEIT/CDPSE Scheduling Guide
・ISACA 認定試験受験者ガイド
・独学でCISM を受験した話
・【実録】CISM合格体験記(試験概要や勉強法まとめ)
・CISM 試験記録 2021
・CISA/CISM 受験記
・【CISA マネるだけの独学 】公認情報システム監査人 勉強法編【100時間の勉強時間で合格】
あとは、ツイッターなどでつぶやかれている情報を時々確認してました。最近、いろんな成功体験・失敗体験に関する情報が流れるようになってきたのは、すばらしい限りです。