2021年CISA取得までの経験

NO IMAGE

このブログは今書かないとだめなので書いておく。なぜならこれから試験の委員に入り、そのあとは試験について何も伝えることができない立場になるからだ。

このブログを書いている2021年11月はまだ委員として活動をしていない。このタイミングで書いておくので、まだ試験について委員として関わりがないということは伝えておく。

CISAとは

CISAの詳しい情報はウェブサイトを見てもらうといい。また、この公式ガイドブックも役立つだろう。英語も多いのでISACAの東京支部のコンテンツも役に立つと思う。

情報システムについて、監査を行うための国際的な認定資格だ。ISACAという米国の団体が発行している。

IT/情報システム監査人、コントロール、アシュアランス、および情報セキュリティの専門家向け

となっている。試験内容は監査における動き、プロジェクトマネージメント、システム開発の設計、BCPなどの有事のシステムの保全そしてウイルスなどのハッキングの種類と対策ととても幅広い。

この試験の特徴と言っていいことの1つが単価だ。ISACA会員 U.S.$575 ISACA非会員 U.S.$760。

試験は日本語でCBT(Computer based test)で受けられる。選んだ日付と試験会場で受ける形式だ。実際に行くと、自分がパソコン上でスタートを選択した時間から試験が始まる。遅刻はどうなるか知らないが、すこしぐらいなら早く行けば早く席につけて早く終わらせることもできるようだ。

試験時間は4時間もある。150問の試験を解くのだが、時間が足りなくなることはあまり心配しなくていいと思う。隣の人は1時間以上余らせて合格していた。私は20分前までギリギリまで見直しをしてた。もう見直せる余地がないので終わらせた。

合格のために役立ったこと、気をつけたいこと

  1. 試験範囲は公式マニュアル問題集外も出てくる
    本番の試験は公式問題集にもマニュアルにも載っていないことが出題される。だからITなり監査について最新の知識を持つようにする必要がある。私が受験したときはソーシャルメディアの取り扱いの問題が2問出た。ガイドラインについてだったが、これは面食らった。でも過去の経験から多分解けたのだと思う
  2. 公式問題集をひたすらやるといい
    公式問題集は無駄ではなく、多くの問題は準拠している。全く同じ問題はでないとおもったほうがいいので、単に問題と答えを暗記するのではなく、問題の専門用語が分からなければ調べること
  3. 5章から学んだほうがいい
    点数配分を参考に勉強時間配分を割り振ったほうがいい。5章4章の割合は比較的多く、特に5章はテキストも問題集も厚い。だから早めに手を付ければ一番時間をかけることもできる
  4. 文章問題と認識すること
    インバスケット分析に近い問題で会社や現場の状況をもとに判断を求める実践的な問題が多い。あれだけ複雑な内容だが日本語や翻訳に(専門用語以外)違和感感じることはなかった。だから答えの一部は試験問題にある。組織や環境、前提条件をちゃんと読むこと。選択肢だけでは正解なの?と思うこともあるが、問題文をよく確認したら、その選択肢の理由がわかることも多かった
  5. まんべんなく学ぶこと
    記憶が抜けやすいお年頃(ようするにおっさん)だからかもしれないが、学習するなら、1章から5章まで偏らずに学習時間に、それぞれを何度も繰り返してまんべんなく少しづつ取り組むといいと思う

私のこと

私は2000年からウェブ業界に入り、ウェブ解析を中心にマーケティングのコンサルティングをしてきた。システム開発、事業開発そしてデータ分析によるマーケティングの最適化は20年以上行い、その半分は教育も行ってきた。

つまり、システムの知識もマーケティング側の知識が多く基幹システムやプログラミングまでの知識はなかった。セキュリティについては私の作ったウェブ解析士に法律の知識、BCP対応、ハッキングの種類などを書いて入るが、一般的な知識にとどまっていた。

また、経営についてはグロービスなどで学んでいたし、自分でも経営をしているし、監査も上場を目指してたときは関わったが、自ら内部監査も監査法人で努めた経験もなかった。

このような私だが、CISAの試験をうけ、認定を受けることができた。試験は1回で受かることができた。しかし、合格点ギリギリ450点だった。この点数もいろいろな重み付けがあるらしく、どういう基準かはよくわからない(ただし、試験後章ごとの正答率はわかる)。

受験のきっかけ

友人が受験するということで。ネットやシステムについて、たまに質問をもらってた。中には分からない技術や回答を見てなるほどと思うこともあり、この機会に自分が学んだら役に立つのでは?と思った。この機会を逃したらもうこの分野を学ぶことはない。個人情報保護士などもあったが、グローバルで評価され、自分にない専門的知識を学べるならいいと思った。

試験受けるかどうかは最初まだ決心がついていなかった。でも資料として持つ価値があるだろうと、ISACAのサイトから試験の教科書ともいえるマニュアルと試験問題集を買った。

どちらもISACAの米国のサイトで購入できる。購入する前に会員登録が求められる。有償と無償があり、マニュアルや問題集を買うのは無料会員でもいい。たしかこのときにISACAの無料会員になったと思う。

2021年の試験は2019年のマニュアルに準拠していた。Japaneseと書いてあるものを選ぶこと。以下日本語のマニュアルと問題集。どっちも米国本部から直送なので忘れた頃届く。2週間ぐらいだったとおもう。

マニュアル

問題集

あとでも説明するがマニュアルは本当に読みにくく、最初以外ほとんど読まなかった。ただ暗号化など一部参照することもあった。

そして両方とも信じられないぐらい分厚い。合わせて4kgぐらいあるんじゃないかと思う。

私は買っていないが、amazonで問題集もあるが、どれも出版時期が古くてどこまで役に立つのかちょっと疑問だ。

受験してみて思ったことだが、常に本番の試験問題は最新のトレンドを意識した内容になっている。2019年のテキストですら、まったく触れられていないことも含まれてた。だから最新のテキストや問題集を買ったほうがいいと思う。

対策講座は現在日本ではabitusが提供している。ほかは多分ないと思う。私は受けていないからこの講座の良し悪しを語ることができないが、友人が持っていたabitusの問題集は章ごとに分冊になっていて、持ち運びも容易。これは羨ましいと思った。

まず最初の一歩

そして、テキストと問題集が届いた。海外からの直送で相当ものものしい包装。そして、驚くほど大きくて重い。マニュアルをまず開いたのだが、内容は網羅的で体系的なのだろうが、本当に大事なことが凝縮されていて、大事さを理解するには背景や事例がないと難しいと感じた。

正直、読む気になれなかった。1ヶ月程度放置していた。

しかしあるとき思った。内容がいいのはわかってるなら、速読をすればいいのではないか?と思った。

イノーバの宗像社長にお願いして速読についての講座を受けさせてもらった。その頃色んな本で試していた。速読の練習は眼球を動かし、脳のクロック数を上げて1度で理解するのではなく、何度も読んだり眺めたりして必要な要素の理解をする。どれだけが頭に残っているか振り返る。

学習というより、どちらかというと筋トレに近い(速読の練習はね)。そこでCISAのマニュアルを速読の教材にした。

2週間ぐらいやってみた。5章から1章にかけて逆に目を慣らしていった。それでマニュアルが理解できたか、というとそんなことはない(笑)。その後必要な知識の1割も入ってなかったと思う。

しかし私にとっては取り付く島のないコンテンツにかすかなキッカケをつくることができた。宗像社長に感謝したい。

問題集にチャレンジ

速読をしたあとに5章から問題を解いてみた。5章がもっとも問題の比率が多く、問題数もマニュアルも分量が多かったためだ。

さっぱりわからない。これは相当学習が必要だと思った。
さっぱりわからないからやめようと思わなかったのは、問題がすばらしかったからだ。

それぞれの状況に対し、似たような施策が有り、解説を読めば何が間違いなのか、何が正しいのかわかるように書いてある。もちろん完璧な内容ではないが、多くはロジカルで納得にいくことが書いてあった。そして知らない言葉がたくさんあった。

勉強方法

私の勉強法は以下だった。何しろ手元にあるのはマニュアルと公式問題集、それぞれA4サイズでバカでかい。最初持ち歩けるものじゃないと思ってたが、ある日から時間があいたら問題を解くためにいつも持ち歩いてた。魔法使いの呪文の書のようにでかいので、いつもエコバッグに入れていた。エコバックだけだと将来汚れるので無印で収納用のバッグを買って入れてた。

私は1章15分と決めていた。15分しか使わない。最初は5章15分しかやらなかった。章ごとの問題を解いたら次の章を加えて30分やる。こうやって最後は5章分で75分やっていた。

毎日やるつもりだがときには1週間ぐらいサボる日もあった。でも時間があればやるようにしていた。トータル150時間ぐらいは勉強したと思う。

やり方は以下。

  1. 一番出題頻度が高く分量も多い5章から問題を解いた
  2. 解けたらチェックをつけた(2回め解けたらチェックが2つになった)
  3. 解けない問題は付箋を横に貼った
  4. 章ごとに一通りとき終わったら付箋の貼った問題を中心に再度トライ
  5. 解けない問題を2回めで解けたらチェック、解けなかったら✗をつけて、付箋を上に貼り替えた。つまりこれは苦手な問題
  6. 問題が解けるまで付箋は上にあり間違った数だけ✗を増やす。
    つまりこれは超苦手問題
  7. これを続けてその章ごとに全部の付箋が上に貼ったら、今度は解けた問題も含めてもう一度やる
  8. 解けた問題が解けないと下に貼る。これはうっかり間違えそうな問題。これも✗をつけていって、下に付箋がついて街がるのは超うっかり問題
  9. そして付箋だらけのウニみたいな問題集になったら、その付箋を剥がしきれば全部解けるはず

これの方法、極めてアナログだが、1章から5章まで常に問題を解いてるので忘れることがなかったこと、うっかり問題や

デジタルな教材などがあれば使いたかった。探したら見つかった!しかも日本語!そこで購入した。かんたんなウェブサイトで問題と回答があがっているのだが、結局殆ど使わなかった。
回答に解説がないので、なぜ間違ったかわからないからだ。解説がとても大事な試験だとも言える

模擬試験を説いてみた

そして、あと2ヶ月ぐらいになったとき、問題集にあった模擬試験を解いてみた。ちゃんと4時間で、CBTじゃなくて筆記なだけで本番に近いだろうと。

そこそこいい点数が取れた。ここで満足してしまってたら私は多分落ちてただろう。

なぜならこの模擬試験は、問題集の問題そのまま出ているからだ。

本番は問題が違うらしい、と聞いていたので、暗記してしまったような苦手な問題が解けて、同じ形式ではないと解けない可能性のほうが高い。

これじゃ安心できないな、と思ってた。

そこで知人から別な模擬試験を探してもらい、解いてみたら。合格圏外。正直「とはいっても、ほとんど似た問題でるでしょー」と高をくくってた私は全く甘かったことに気付かされた。

公式の問題集で全く見覚えのない問題が相当数あったのだ。

そして本番の試験はそれよりも多分マニュアルにも問題集にもない問題が出ていた。

試験本番

そして試験本番。私は銀座の歌舞伎座の試験会場を選んだ。
入ると荷物を預け、特に時間を気にせず会場に入ることができた。当然携帯などは持ち込めず、ラベルを剥がした水のみ。

会場ではかんたんな説明があり、ボタンを押すと試験開始。4時間すぎると終了というパソコンごとに違う時間で受けるような試験だった。

試験は想定したとおり、4択問題だが、相当見たことも聞いたこともない問題が含まれてた。マニュアルにある内容の応用が2割、マニュアル通りが6割、マニュアルにもない内容が2割ぐらいだと思う

隣は1時間ぐらい前に試験が終わった。なにそんなカンタンに終わらせちゃうの?と思った。実際1時間前に試験の回答は終わっているが、でもまだ怪しい問題はある。それらをひとつひとつ見直していた。そうすると、言葉のミスや誤解があっていくつか直した。最後までどっちが正解かわからない問題もあった。

20分前になり、もうここからは運だ、と思い終了ボタンを押した。

合格

この言葉が画面にうつっていたのだが、信用できなかった。なんかかるすぎる。写メも取れないし、間違いかも知れないと思った。

家に帰って数日後ISACAのマイページを見たらたしかに変わっていた。

合格するまで、自分が合格しなかったときのことばかり考えてる事に気づいた。合格した途端、私は自分の人生が大きく広がったと感じた。セキュリティや監査という分野は私に無縁だ。だがこの結果私はマーケティングとセキュリティと言う両面の視座で動かすことができる。

合格後

合格後、認定申請が必要だ。実務経験を証明してもらわなければいけない。PDFで電子署名付きの申請を送るのだが、私の記入した内容に抜け漏れが多く、申請書は日本語だが、数回英文のメールのやりとりをした。その後これで申請は受理されたから正式な認定証が届くよ、とのメールがあった。

そのメールを見たその日にISACAとISACA東京に入会し、委員会への申請をした。これから監査としては勉強したい私としては委員会で学び、いままでに関わらない人と接点を持つことは貴重なことだ。

申請をした段階でまだ動きはないが、これからを楽しみにしている。