はじめに
ISACAのCISAとCISMを連チャン受験して合格しましたので、今後受験される方への参考となるように受験記となります。どちらも各手続きで待ち時間がそれなりに発生するので、私の場合の時間間隔を記載し参考になればと思います。
試験概要(CISAとCISM)
- CISA
- CISA (Certified Information Systems Auditor) 公認情報システム監査人
- 試験形式:CBT、試験時間240分、問題数150問
- 合格基準:スケールドスコア(200-800)で450以上
- 試験合格後に業務経験などの要件を満たしていることを証明する認定申請をする必要有り。
- CISM
- CISM(Certified Information Security Manager) 公認情報セキュリティマネージャー
- 試験形式:CBT、試験時間240分、問題数150問
- 合格基準:スケールドスコア(200-800)で450以上
- 試験合格後5年以内に業務経験などの要件を満たしていることを証明する認定申請をする必要有り。
きっかけ
金融関係だとセキュリティ関連の人やコンサルの方がCISSPよりCISA持ってることが多く、CISA受験を決意。CISAを勉強してるうちにCISMについても知り、私の業務的にむしろこっちだなと悟る。
どうせ2つ受験するなら、CPEの期間がずれないようになるべく近い方がいいなと思い同時受験が決定。(ISACAはCPEの期間が1月〜12月の年単位になるので、同時受験しなくても同一年内に取れば同じ期間になることを後から知った・・・。ISC2は月単位で更新期間が決まるので、同じように考えてた。)
※去年とったCCSPは会社からの支援金は一切出ないのに対して、CISA/CISMは共に会社から初年度年会費・受験料・申請費用が出て、さらに今後更新料も補助されると言う別世界の待遇であることを発見したのも実は大きかったりして・・・。
ISACA会員になる
年内に受験予定であればISACA会員になってしまうのが良い。
会員になる費用は、年会費(\$135)+新規登録費(\$10)+東京支部費(\$0) =\$145
※東京支部費は2021年度は\$0。年によって変動あり。
CISAとCISMの受験費用が、両試験共に非会員→\$760、会員→\$575なので、1試験あたり会員の方が\$185お得になる。と言うことは、会員になる費用\$145払っても1試験受験で元が取れる。
この他にも、公式(ISACA)からレビューマニュアルや問題集を買う時やISACA主催のイベントに参加する時なども会員価格があるので、ISACA会員になって勉強から試験合格まで一気に駆け抜けた方がコスパが良い。
勉強方法
勉強に使用したもの。★はオススメ度
| # | 参考書/講座 | オススメ度 |
|---|---|---|
| ① | (公式)CISAレビューマニュアル(第27版)日本語版 | ★ |
| ② | (公式)CISA試験サンプル問題&解答解説集(第12版) 日本語版 | ★★★ |
| ③ | (公式)CISMレビューマニュアル(第15版)日本語版 | ★ |
| ④ | (公式)CISMサンプル試験問題解答解説(第9版) 日本語版 | ★★★ |
| ⑤ | (ISACA東京支部主催)CISMレビューコース | ★★★★ |
| ⑥ | CISA - Certified Information Systems Auditor Study Guide(Packt Publishing) | ★★★★ |
| ⑦ | CISA Certified Information Systems Auditor Practice Exams(McGraw-Hill) | ★★ |
| ⑧ | CISM Certified Information Security Manager Practice Exams(McGraw-Hill) | ★★ |
①〜④の公式系は、ISACAが販売しているもの。会員価格と非会員価格はけっこう違うので会員になってからの方が良い。新型コロナの影響とかでデジタル素材で提供されてないかなーと期待してたが紙のものしかなかった(他言語ならデジタル版あるかな?)。日本語版であっても米国から発送されるので、送料がかなり取られる。(CISAのレビューマニュアルと問題集のセットだと送料だけで\$60くらいかかる)そのおかげか米国発送でもすぐ届く。フリマやネットオークションでもたまに出るのでタイミングが合えばうまく利用するのもありだと思う。特にCISAの最新版はそれなりに需要があるようで、あまり値崩れしてなかったように思う。
レビューマニュアルは噂通りのわかりにくい感じ。サンプル問題でつまった時に参照する程度の利用が良さそう。サンプル問題はこれが基準となるがやはり英語訳がイマイチなものもちらほら。とはいえこれがメイン教材となるので雰囲気を掴みつつやりまくるしかない。
⑤は、ISACA東京支部が定期的に実施しているCISM試験対策的な勉強会。定期的に開催されているようなのでISACA東京支部のHPを時々チェックするとよい。
本部(米国)では1ドメインあたり1日設定だが、こちらは1ドメインあたり半日で実施する2日間のコンパクトコース。そのため重要なポイントに絞ったものになるが、CISM取得者が自身の経験などから教えてくれたりするので考え方などが学べて良い機会となる。また、色々質問できるので、納得できない部分については質問をぶつけてみると理解が進む。事前に勉強しておいて理解が怪しい部分を用意しておくと良い。
新型コロナの影響が出る前は、会場を借りて集合形式だったようでそれなりの価格がしたようだが、2021年はZoom形式での開催となり、価格もISACA東京支部会員なら8000円という超良心的な価格で参加しやすい。質問のチャットに書き込むなどできるのでGood。
⑥〜⑧は、英語の電子書籍。ブラウザで読めるものならChromeの日本語翻訳機能を使用すればそれほど問題なし。用語系は訳が怪しい時があるので原文を時々確認すると良い。たまに問題文だと「NOT」を訳してなくて正解いっぱいある・・・みたいな時あるので、やはり原文をたまには見ないといけない。あと誤植が結構ある。米国ではこんな品質が普通なのかな。
1冊ごとに買うと高いので、英語のO'Reilly系の本が読み放題になるO'ReillyのOnline Learning(旧O'Reilly Safariだっけ?)が良い。さらに言うと、月額\$49 or 年額\$499でまだちょっと高いので、別サイトACM(Association for Computing Machinery)の会員になると年額\$99で利用できるのでもう少し安くなる。CISA/CISM以外の本も読めるし、最近はchromeの翻訳機能を使わなくても日本語の本も追加されてきているので、CISSPやCCSPも続けて受けたい場合やいろんな技術を追求したい場合にもオススメ。
個人的には、節ごとに設問がある⑥が1番使いやすかった。説明があってすぐにレビュー問題があるので、だらだら説明読んで眠くなることを少ないし、理解が不足してるところがすぐわかるし。ただ誤植が多い、、、。
CISA/CISM受験申込
受験料支払い($575✖︎2試験)
受験するためにはどちらの試験も最初に受験料(試験登録料?)を払う必要がある。ISACAのサイトでそれぞれ受験のチケット的なものを購入する。購入から1年以内に受験しないといけないらしい。(1年以内の受験なのか受験予約なのかまでは未確認)。購入すると10分くらいで有効になって、試験予約できるようになる。
※CISAとCISMの2つ試験を申込むと日本円で軽く10万円を超えてくるのでこの辺りから真剣になってくる。落ちると会社の補助でないからな。
自宅受験 vs テストセンター
新型コロナの影響もあって自宅受験も可能になったらしい。しかし、試験官との英語のやりとりやPCのスペック、周りに何もないようにしないといけないなど色々面倒と聞いた。他にもお風呂場以外に最適なスペースが確保しにくいとかテスト終了直後にエラーが発生しやすく仮合格判定が出ずに正式スコア発表まで悶々とすごすことになるとかといった噂も。テストセンターまで行くことができる環境であればテストセンターの方が圧倒的に楽そう。
またテストセンターでも、「テストセンター」と「キオスク(KIOSK)端末」の2パターンがあるそう。中でもキオスク端末の方は、遠隔の試験官に運転免許だと日本語が読めずに受験できなかったとか、エレベーターホールに設置してあったとか様々な都市伝説が語られている。
キオスク端末絶対やだな。と言うことで聞いてみると、日本のテストセンターからはキオスク端末は駆逐されたそう。札幌と郡山が最後まで残ってたらしい。郡山自体はテストセンターがなくなってしまったとのこと。・・・と言うことで、現状の日本ではどのテストセンターを選択してもキオスクが来ることはない!
テストセンターはISACA以外にも色々な試験をやっているので評判について調べてみるのも良さそう。一番評判が良さそうなのが「銀座CBTS歌舞伎座テストセンター」。歌舞伎座はAWS関連試験の体験談やテストセンター自体のブログなど情報が豊富。武蔵小杉テストセンターも良いと聞く。高田馬場は新しいからか口コミ情報はあまりなかった。でも試験予約の日程は結構空いていたので狙い目なのかもしれない。試験の空き状況としては、年度末が近いこともあってか土日はほぼ空きなし。平日は直近でなければ首都圏のテストセンターはそれなりに選べる感じ。
試験予約
CISAとCISM同時にとってやるーと思ったが、多くのテストセンターの試験開始が午前10:00か10:30で、午後に開始できるところは14:00からだったので同日受験は諦め。
とりあえず、木曜日CISM受けて、金曜日にCISA受けることに。試験会場は、1つは歌舞伎座は確定で、武蔵小杉を選択。
後日、ぽちぽちしてたら奇跡的に土曜と日曜の日程が空いたので両試験とも歌舞伎座で連チャン予約に変更。平日だと朝電車混むしね。試験の48時間前までは変更も無料っぽい。素晴らしい。
受験
Go to 歌舞伎座 テストセンター
試験会場へのアクセスは、AWSの試験受験した人がいろいろと体験記を書いてるのでそちらを参照するのがよい。
注意する点としては、東銀座直結(B2F)の歌舞伎座お土産物コーナー経由の歌舞伎座タワーエレベーターホール。5Fに止まるエレベーターは1基のみで、専用のボタンがある。AM10:00になるまではこのエレベーターのボタンを押しても無効でボタンが光らない。正確には、AM9:59:45以降に押すと光るようになる(10時前にボタン連打して何秒になったら反応するかチェックしてしてみた)。他の階に行く共通エレベーターボタンは10時前でも反応するので、何人かエレベータに乗って5階のボタンがないのに気付いて降りてきてた。
ちなみに駅直結の歌舞伎座のお土産物コーナーにあるタリーズは平日はAM7:30オープンらしいが、土日はAM9:00オープンとなるので注意。タリーズ内にはトイレもあるので落ち着いて復習するにはぴったり。
受験1日目 CISA
歌舞伎座で受験するのは初めての試験なので、若干緊張。
受付後、すぐに受験できますとの案内をいただいたので、特にやることもないので、即座に試験へ。
試験環境は思ったよりデスクが狭い気がする。いろんな人が歌舞伎座テストセンターを褒めてたのでちょっと期待しすぎたか。まぁ清潔感もあるので問題なし。
やはり土日ということもあって受験する人も多いらしく、左右の座席も試験中に埋まっていった。
試験はチュートリアルもあり、フラグ機能とか一覧機能とかもありとても使いやすい感じ。去年うけた(ISC)2のCCSPの試験画面がショボくて日本語フォントも怪しいというか古い印象だったので、ずいぶん進化した印象を受けた。また、CISA/CISMの試験は日本語を選択すると原文の英語が見られない(ISC2のは英語と日本語切り替えできた)ので心配していたが、それほど変な日本語訳はなかったように思う。
肝心のCISA試験は40問目くらいで、部屋が少し寒かったせいかお腹が痛くなり始め、100問くらいで強烈な腹痛が!!!素直にトイレに行きたいと申請すればいいのだが、集中力が途切れそうなので、気合で解き続ける。
腹痛と戦いながら残りの50問を高速で回答していきなんとか全問回答完了。試験を終了するか、腹痛の中見直すか、トイレに行くかの選択。見直してもそんなに変わらないかなと思い試験終了を選択!(そういえばCISSPの試験も前の問題に戻れなくなったって聞いたし、そんなに変な解答は選んでないはず。)
まだ試験時間半分の120分も経過してませんけど。
通信中、、、というのを見ながら「あとは試験結果をみてトイレに行くだけー」と思って腹痛ガマン。しかし、試験結果の前に表示されたのはアンケート画面。あー、はい。そういえば、試験前に全体の流れにもアンケートあるよって表示されてた。速攻でアンケートを答えまくって、またLoadingの画面をドキドキしながら見つめる。そして、「合格」の表示が出たことを確認。急いで試験室を出て、ログインシート等を返却して、ロッカーに荷物を残してトイレダッシュ。
今回は解いてる最中にそれなりに自信が持てたので速攻で試験終了を選択した。ただ、もし、落ちてたら後悔半端ないと思うので、次からは素直にトイレ申請しようと思う。
そのおかげでどんな問題が出たかほとんど覚えていません・・・・
受験2日目 CISM
さすがに昨日受験してるので、かっても分かりいろいろサクサクと進む。今回は試験室に入る前に、ブランケット申請。暖かそうなブランケットを借りた。これで長時間の寒さも大丈夫。ブランケットを腹に巻きつけてCISMに挑む。そのおかげか今回は最後までお腹が痛くなることなく快適に受験完了。
注意しないといけないのは、今回の試験はCISMだと言うこと。昨日のCISAではないので、情報セキュリティマネージャーの立場での回答をする。勉強の時も、テキストや問題集で、CISAとCISMで似たような問題と選択肢が掲載されているのだが、CISAの視点とCISMの視点で回答が違うものもあったので問われている立場になっての回答を心がける。
今回は腹痛もなかったので、全問回答後、1問目から順番に全問見直しを実施。(フラグをつけた意味w)結局、回答を変更したのは5〜7問くらい。150問見直すのは結構大変。
あとはもう昨日と同じ流れなので試験終了を押してアンケートを答えて「合格」って出るのを確認して退出する。実にスムースに流れた。
受験後
| 時系列 | 事象 | 補足 |
|---|---|---|
| 受験日 | CISA受験。モニタに合格表示 | |
| 翌日 | CISM受験。モニタに合格表示 | |
| 2日後 | myISACAのCISA試験ところが「Pending Official Results」になる | |
| 3日後 | myISACAのCISM試験ところが「Pending Official Results」になる | |
| 10日後 | 日本時間16時にCISAの正式合格連絡とスコアが届く | myISACAも更新 |
| 11日後 | 日本時間16時にCISMの正式合格連絡とスコアが届く | myISACAも更新 |
受験後それぞれ2日でISACAのマイページの試験のところが「Pending Official Results」になった。
「within 10 business days」ってなっているけど、10日後の16時(日本時間)にISACAからCISA試験の正式な合格通知とスコアが届いた。
CISMも16時にメール届いてmyISACAのページも更新された。
ISACA本部はアメリカにあるはずなので、現地の昼間にISACAの人が確認して処理するのかなと想像してて、日本時間だと夜間とか未明ぐらいに合格通知くるのかなと思ってたんだけど、メールがきたのは日本時間の16時。
以上を総合して考えてみると、アメリカだと州にもよるけど日付が変わるぐらいの時間なのかなと思うので、受験後10日経過して何もなければ自動的に合格スコアを自動送信・ページ更新する仕組みなのかなと推測してみた。
CISAは速攻で終わらせたのでそれなりのスコアで仕方ないと思うが、完璧だと思ってたCISMも結構スコアが低くてあまり納得行ってない・・・。でも合格には違いない!
認定申請
| 時系列 | 事象 | 補足 |
|---|---|---|
| スタート | CISA/CISMの審査手数料(それぞれ$50)支払い | |
| 1日後 | CISAの認定申請書を提出 | 申請書は日本語版を使用。記載も全て日本語 |
| CISMの認定申請書を提出 | こちらも全部日本語で記載 | |
| 14日後 | CISAの審査完了メール到着 | |
| CISMの審査完了メール到着 | ||
| 20日後 | myISACAのCISA/CISMステータスがApprovedになる | |
| 21日後 | CISAの正式認定通知メールが届く+MyISACAのCISA欄が豪華になる | |
| 22日後 | CISMの正式認定通知メールが届く+MyISACAのCISM欄が豪華になる |
合格したら認定をもらうためのステップ。試験結果のところにボタンが出てくるのでそこを押せば以下の説明のページに飛ぶ。
CISA https://www.isaca.org/credentialing/cisa/get-cisa-certified
CISM https://www.isaca.org/credentialing/cism/get-cism-certified
まぁ、どちらも
1. 手数料($50)払う
2. 認定申請書をダウンロードして記載+証明者のサインをもらう
3. ISACAのセールスフォースの申請フォームに[2]を添付して完了を待つ
という手順。
認定申請書は合格した年と言語によって申請書が違うみたいなので、適切なのを選択する。
2021/3合格なので
・CISA 「Applications for CISA Exam Passers June 2019 and Later」の日本語版
・CISM 「Applications for CISM Exam Passers 2017 and Later」の日本語版
を使用。
日本語の認定申請書なので、経歴を日本語で入力。adobe Readerで入力して保存できる(なんかちょっとフォントが変になるけど・・・)。署名する箇所が2箇所。1つは自分の署名でもう一つはそれを証明する人の署名。
こんな感じで作成。
1.AdobeReaderで署名部分以外を入力(※)
2.印刷
3.自分の署名と上司の署名・日付を手書きで記載(※)
4.スキャンしてPDF化
※署名を含め全て日本語で入力/記載したけど、何事もなく承認されました。
申請書の提出はセールスフォースになってて、上部のメニューに「Submit Application」があるのでこちらを使って添付する。
Descriptionはオプションだけど、とりあえず認定よろしく的なことを記載しておいた(こちらは流石に英文で記載しました。)。
「Application Type」のところが試験毎しかなかったので、CISAとCISMでそれぞれ申請。手早くやったつもりだけど、Case Numberをみると連番になってなかったから他にもやってる人いたんだな。結構リクエストが殺到している模様。
そしてステータスが「New」のままで2週間ほど放置プレイされる。NewはUnworkedって状態らしい。
2週間後、要件を満たしていることを確認したから正式認定まで10日くらい待ってね(もちろん英文)ってメールが届く。セールスフォースのCaseもSolvedになってる。MyICASAのページの「APPLICATION STATUS」もComplete-Under Reviewになる。
セールスフォースのステータスはNewからSolvedに直接変わるっぽい。ステータスにはOpenedもあったから受け付けたらOpenedにすればいいのにNewのまま放置プレイだったから心配した。ちなみに数日するとステータスはSolvedからClosedに変わっていた。
さらにそのまま待つこと6日ぐらい。正式認定のメールはまだ来ないがMyISACAのCISA/CISMのAPPLICATION STATUS欄がApprovedになって、あと3営業日ぐらいってコメントが出てくる。
そして翌日の日本時間AM10時をかなりすぎたぐらいに「CISA Certification Notification」って件名のメールが来て、見事CISA認定完了。MyISACAのCISA欄も豪華に。
CISMの認定は来なかったなーと思ってた次の日、やはり日本時間のAM10時をかなりすぎたぐらいに[CISM Certification Notification]って件メールのメールが来て、CISMも認定完了。
そして、それぞれ認定メールを受け取った日の翌AM3:00にそれぞれbadgeの案内メールも届く。CISAとCISM同じ日に認定になると思ってたら1日ずれになった。この差はなんなのかは謎。
感想
CISSPを持っている人にとっては、CISAは監査の知識、CISMはITガバナンス(?)の知識体系をプラスで理解すれば合格は容易い。
両試験とも、試験を受けるまではそれなりにスムースだったが、受験してから認定まではなんだかんだで1ヶ月ちょっとかかる。待ち時間が多いためISACAを嫌いになるが、今後の資格維持活動を通して、ISACAの活動を見極めていきたい。とりあえずは1サイクル(3年)は資格を維持して、継続的に保持して意味がある資格なのか判断していく予定。