2013年07月21日

CISA(公認情報システム監査人)合格メモ このエントリーをはてなブックマークに追加

2013年の6月8日に受験した2回目のCISA試験でようやっと合格しますた。

2012年10月、監査部門に異動になった。で、異動して直ぐに上長から「『しさ』をとりあえず取ってください。」と謎の指示が出た。「試験が12月8日にあるのでそれまでに勉強して受かってね。あと、参考書と問題集はこれ使ってね」となにやら渡された。
で、渡された参考書と問題集の発行年度を見ると2005年とかかれてた。IT系の資格試験のようだが、7年前のテキストで勉強とか大丈夫かと思い渋々勉強してみた。

「しさ」ってのはCISAという資格のようであるらしかった。
Information Technology - Information Security Information Assurance | ISACA(情報システムコントロール協会)という組織が認証している資格のようである。
ISACA東京支部/公認情報システム監査人 (CISA: Certified Information Systems Auditor)に「CISAとは?」「資格の特徴」についてこんな風に書いてある。
■CISA (Certified Information Systems Auditor)とは?
CISAは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして当協会が認定する国際資格で、日本語では「公認情報システム監査人」と称します。
■資格の権威、特徴は?
情報システム監査およびコントロールの専門家資格としては最も長い歴史を持ち、かつ最も国際的に普及している資格です。情報システム監査に関わる専門家自身による団体が認定しているもので、いわゆる「国家資格」ではありませんが、欧米の企業社会では既に広く認知されています。日本には約10年前に紹介され、その後徐々に存在が知れ渡ってきています。また、認定後の維持条件が厳しいことが「専門能力を常にアップデイトしている」証明として受け止められ、名前だけではない実践的資格として評価を受けています。
ということで、情報システム監査に関する国際資格のようである。情報システム監査人が持ってなきゃいけないスキルが問われるので、プログラムができないとダメとかっていう資格ではないようだ。あくまでも「情報システム監査人」のスキルがあるかどうかが問われるってことらしい。

で、早速勉強し始めたのだが残された時間はあと2ヶ月。正直なんだかよくわからん状態で受験に臨んだ。
4択のマークシート方式で、4時間で200問を回答する試験で、試験範囲はISACAのページによると以下の5つの分野から出題される。
※2013年6月の情報
  1. The Process of Auditing Information Systems(情報システム監査のプロセス)14%
  2. Governance and Management of IT(ITガバナンスとマネジメント)14%
  3. Information Systems Acquisition, Development and Implementation(情報システムの取得、開発および導入)19%
  4. Information Systems Operations, Maintenance and Support (情報システムの運用、保守およびサポート)23%
  5. Protection of Information Assets (情報資産の保護)30%
1回目の受験は「問題数が200問と多く、圧倒的に時間が足りない。更に試験時間が異常に長いのだが4時間集中力を持たせるのはかなり大変である」というのが正直な感想だった。
計算すれば分かるが4時間(=240分)で200問ということは1時間で50問ペース。つまり1問にかける時間は1分ちょいしかない。「4択で1分あれば楽勝じゃね?」と考えるかもしれないがそう楽ではない。問題を読み、4つの選択肢を読み、正しいものを選ぶわけだが、多くの問題は2つまでは簡単に絞り込めることが多い。絞り込んだ2つのうちどちらが正しいかを選ぶ。ここでホントに時間がかかってしまう。勿論しっかり勉強していれば迷うことはないという方もいるであろうが「どちらも正しいんじゃない?」と思える選択肢が結構ある。「ベストプラクティスはどれか?」ってのが問われるので必ず正解があるようだが、このあたりは問題をこなしていくしかないかと思われる。

試験結果は受験後8週間でメールで送信されるのだが、1回目の結果はあえなく撃沈した・・・
結果のメールには上記5分野でそれぞれの点数が記載されるので、自分がどこの範囲が弱いかがよくわかる。
1回目の受験では「Protection of Information Assets」以外はすべて450を切ってしまっていた。ある程度予想していたが完敗である。で、まあこれはいかんと、6月に向け再学習しはじめた。

通常は2回目の受験は先ほどの分野別の得点を元に自分の弱いところが分かるのでそこを中心に勉強すればよいはずだが、私の場合は全てにおいて弱かったので、一から勉強し直すしかなかった。2月半ばから問題集をひたすら解くというのを繰り返した。
渡された問題集は全部で700〜800問くらいあったが、暇があれば問題集を解くという生活が始まった。
また、並行して既に資格を保有している先輩の監査人の方が時間を作ってテキストによる説明をしてくれた。この「授業」はとてもためになった。テキストで漠然と読んでいたものを説明頂けるので「あー、そういう意味だったのか」って気付きがかなりあった。
問題集の解き方は「間違った問題」と「全て確実に理解できて選択した!」という問題以外はすべて付箋を付けていく。解いた日と正解したかどうかを問題文に「2/10 ○」「2/11 ×」という感じで書いていく。これを700問先ずやっていく。まああまり理解できていなかったので問題集は付箋だらけになっているw。で、2週目も同じように解いていく。
2週目が終わると付箋が「全くついていない」「1枚」「2枚」という3つのパターンができる。2週目で付箋が全くついていない問題はほぼ理解できているとみなし、3週目以降は飛ばして解いていく。
3週目が終わると当たり前だが付箋が「全くついていない」「1枚」「2枚」「3枚」という4つのパターンができる。「3枚」というのはもう全く分かっていないというものか、問題文や選択肢にひっかけがあるものが殆どなのでここはテキストやWebサイトなどで問題の意味をよく理解するしかない。
あと、当たり前だが参考書や問題集は古いものだとどうしても時代に沿わない問題もあるので、なるべく最新のものを入手したほうがよい。
まあ、2回目の受験で辛くも合格できたから、この記事を書いているが、正直2回目の試験を終えても手ごたえは全くなかった。
2回目の受験の時は、試験当日、大きなトラブルがあった。それは「時計」である。ISACA Exam Admission Ticket(受験票)に試験の注意書きが「英語で」書かれているのだが
Candidates are not allowed to bring any type of communication device (i.e., cell phone, PDA, Blackberry, etc.) into the test center.
って感じで書かれていた。よくわかんなかったが直訳すると「受験者は試験会場にiPhoneとかPDAなどのいかなるコミュニケーションデバイスも持ってくることは許されません」ってことだと思ったのでデジタルのよく見える置時計を持っていったのだがこれがなんと許可されなかった!
1回目の受験の際はアナログの腕時計を使っていたので問題なかったのだが、試験前に丁度アナログの腕時計の電池が切れてしまい「まあ、試験終わってから電池交換するばい」と思い試験会場にはデジタル置時計しか持っていかなかった。
試験会場の監督官に「デジタルデバイスの持ち込みはダメですよー」と指摘を受け、なんと手元に時計なしで受験することになってしまった。会場にも壁掛け時計があったのだが、私が座った席からは少し見えづらい位置にあった。結局試験管の方が10分か15分置きに現在時刻を黒板に大きく書くことで大凡の時間をお知らせしてくれることになったのだが、予想外の展開でかなり焦った。
なので、受験する方はアナログ時計を持っていくことをお薦めします。

まあ、他にも書きたいことが結構あるので、時間を見てこのページを更新してみます。

最後に参考にしたブログやサイトを紹介しておきます。さて、これからはCISAのCPEをなんとかゲットしなければ・・・
英語が全くできないから憂鬱すぎるなぁ・・・
posted by りょーち | Comment(0) | TrackBack(0) | CISA
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: