CISMになるとどんな良いことがあるのか或いは単なる合格体験記

はじめに

以前Qiitaで以下の記事を書いていますが、こんかいはその三部作の最後として、
- CISSPになるとどんな良いことがあるのか或いは単なる合格体験記
- CISAになるとどんな良いことがあるのか或いは単なる合格体験記
CISM(公認情報セキュリティマネージャー Certified Information Security Manager)の合格体験記を執筆します。

私について

上記のQiitaの記事と同じです。ただ、2021年3月末限りでデジタル戦略部との兼務はなくなっています。

きっかけ

上記のQiitaの記事とほぼ同じなのですが、これも外資のセキュリティベンダーや監査法人の方が名刺に書かれていたことであったり、ISACA が行っている試験のうち日本語で受験できるのがCISAとCISMだけであったこと、それにCISSP、CISAと勉強してきて、その知識が蒸発する前に勢いで取得してしまおう、というそれだけです。

資格を知る

• Certified Information Security Manager 日本では 公認情報セキュリティマネージャー という名称。
• アメリカ合衆国に本部があるISACA (イサカ と読む。もともとは Information Systems Audit and Control Association:情報システムコントロール協会の略称で、いまはISACAが正式名称らしいです) なる団体がやっている民間資格。世界80か国/200以上の支部あり。
• 民間資格とはいえ、官公庁の入札資格要件にIPAの情報処理試験の高度資格と並んで出てくる場合も。
• まずはISACAの東京支部のWebサイトhttps://www.isaca.gr.jp/cism/index.html を熟読。日本語で受験できるとわかり一安心も、サイトの出来が悪いのには閉口。
  • 受験料が高い (ISACA会員であれば575USD/非会員は750USD。会員になってからの受験のほうが公式参考書/問題集が安価に入手できる利点あるため、まずは会員になるのが良い)
  • 継続的な学習が必要。CPE(Continuing Professional Educations credits)を3年の間に120クレジット(1年で最低20)を稼がないと認定は失効
  • 資格認定には実務経験要
  • 日本国内の認定者は529名（東京支部のみ、2019年2月)
  • まとまった資料はISACA東京支部作成、2019年2月現在のPDF

学習の戦略

情報セキュリティガバナンス
情報リスクの管理
情報セキュリティプログラムの開発と管理
情報セキュリティのインシデントの管理

の4ドメインをまんべんなく取り組む必要あり。

• 公式参考書のうちサンプル問題集のみ購入。レビューマニュアルはCISA勉強時にほとんど利用しなかったため、購入せず (いずれもISACA本部のBookstoreから、日本語版を。アメリカから1週間くらいで郵送されてきます)
  • レビューマニュアル
  • サンプル問題集
• サンプル問題集についている問題(合計1000問)を4周解く
  • 不明用語や自分に欠けている知識や監査視点でのもののみかたなどは大学ノートに書き出してそれを覚える。不明用語や概念はだいぶ少なかったことと、CISSP/CISAの成果が頭に残っていたため、三部作のなかでは最もイージーだった。
• メルカリで中古本が売ってます（書き込みがあったり、版数が古いものがあるかもしれませんので注意）。

つらかったこと

三部作がこれで終わって試験勉強から解放されるとおもうと気分は若干浮き立ったのと、これまでの知識の蓄積が結構あったので、サンプル問題集はスムーズに進行。

試験

• いまは自宅受験も可能ですが、当時はオンライン試験ができるセンターに出向く必要あり。自宅からちょっと遠い、東銀座駅前の歌舞伎座タワーにある銀座CBTS歌舞伎座 テストセンターを選択。試験はPSIのWebサイトにISACAのサイトから遷移しての申込。(申込は受験日の6週間前で退路を断つ)
• 150問を240分、すべて選択式ですが、やはり問題数は多いので疲れる。日本語はこなれないかんじ。我慢しつつ。100分ちょっとで試験終了。

要したコスト

• 受験料+認定料625USD、参考書146。00USD(USからの送料込、ISACA会員価格)
  • 予備校のアビタスではCISAのコースはあるのですが、CISM対応コースなし
  • ISACA東京支部では定期的に試験レビューコースとして、かなり格安で勉強できる機会が設けられます（年3回程度でしょうか）、私は独学も、効率を求めるならこういったものを使ってみてもいいかも。https://www.isaca.gr.jp/cism/index.html で案内されています。以前は集合形式だったのですが、いまはZoomです。

良かったこと

• CISAのときとおなじ
• おなじISACA資格であり、CPE稼ぎがてらいろんな情報(ベンダからの情報ではない)に触れられるのが利点。CPEは1つのアクティビティでCISAと重複して加算可。あとは名刺に書ける資格が増えたくらい。最近は名刺も全く配らないので、意味ないね。

良くなかったこと

自費の維持費用は重い。いつか更新はやめるのだろうと思う。

資格認定まで

• 試験合格後、資格認定申請書(フォーマット)をISACA本部に提出すれば認定されます。
  • Webサイトで認定料50USDを支払い、Eメールの添付ファイルでSign済の紙をスキャンしたPDFファイル、実務経験を2年短縮するために、すでに合格していたCISSPの合格証明のPDFを送信)
  • 上司や同僚にこれまでの業務経歴を証明して、資格認定申請書にSignもらう必要があります。
    • もし年数が足りなければ、年数を満たしたうえで資格認定申請を行うことができます。

公式情報

• ISACA
  • https://www.isaca.org/
  • https://twitter.com/ISACANews
• ISACA東京支部
  • https://www.isaca.gr.jp/

三部作まとめ

お金かかる

• 受験までに要するコスト(この3つで20万くらい)や、資格維持費用(ISC2/ISACAの年会費で4万/年程度か)→自身のプロフェッショナルスキル維持には自腹切るのは必要経費だと考えるが、その考えは押し付けられない。業務命令として会社負担で取得させるような政策を取りえるのか、外部人材に依存するままとするのか。

IPAの登録セキスペ(RISS)との比較

• IPAの登録セキスぺ(RISS)もそれなりに初期+維持費用かかる(登録時から3年で14万程度、3年に1回 集合研修必須)が、こちらは残念ながらISC2/ISACAの年会費を比べると、RISSにはベネフィットが少ない。もともとRISSは日本版CISSPと云われていましたが。。。。RISSもコスト問題は頭を抱えてはいるものの、 #000380で維持中。

おすすめする方、しない方

• 情報セキュリティ、監査に関する客観的な何かを対外的に顕したいひとで、お金が惜しくなければお勧め。あと会社で費用負担してくれるならチャンスは逃さないほうがよいのでは?
• それ以外の方には主にコスト面からはお勧めできない。まずは国内事情が考慮され、良問が多く受験料も安価なIPAの試験を受けたほうがよいのでは?