CISA試験に合格しました
ほぼ1年ぶりの更新になりますが、表題のとおりCISAに合格しました。
きっかけから合格までを書いていきます。
きっかけから合格までを書いていきます。
・受験のきっかけ
2018年にCISSPに合格し、19年5月ころからそろそろ次の資格勉強でもするかーと思い始めました。
CISSPのときと同様、高くてもいいからトレーニングに行ってこいということで、SANSのSEC504に行けることになりました。ではGIAC(GCIH)の勉強でも始めるかと思ったものの、試験対策本が英語ですら売られていません。また社内都合によりSANSに行けるのも11月下旬に延期となったのもあり、4ヶ月近く勉強しないのはもったいないな、ちょうど内部監査対応もやってたしCISAにするかーと。合格体験記などを探すと、問題集だけで受かるようで時間を潰すにはちょうどいいかなと思ったことがきっかけです。
2018年にCISSPに合格し、19年5月ころからそろそろ次の資格勉強でもするかーと思い始めました。
CISSPのときと同様、高くてもいいからトレーニングに行ってこいということで、SANSのSEC504に行けることになりました。ではGIAC(GCIH)の勉強でも始めるかと思ったものの、試験対策本が英語ですら売られていません。また社内都合によりSANSに行けるのも11月下旬に延期となったのもあり、4ヶ月近く勉強しないのはもったいないな、ちょうど内部監査対応もやってたしCISAにするかーと。合格体験記などを探すと、問題集だけで受かるようで時間を潰すにはちょうどいいかなと思ったことがきっかけです。
・CISAについて
詳細の説明はhttp://www.isaca.gr.jp/cisa/にあるとおりです。ただ、「監査」がついているからといって監査に特化した内容ではなく、有効なITガバナンスだとか、どういう開発、運用プロセスにリスクが存在するかとか、ITリスクへの対策とかITリスク全般に対してどのように対策していくか、ということに重きをおいているように思います。サイバーセキュリティに特化という感じではありませんが、ユーザー企業のセキュリティ担当であれば開発や運用周りも見ることがあると思いますので損しない知識が身につくと思います。
詳細の説明はhttp://www.isaca.gr.jp/cisa/にあるとおりです。ただ、「監査」がついているからといって監査に特化した内容ではなく、有効なITガバナンスだとか、どういう開発、運用プロセスにリスクが存在するかとか、ITリスクへの対策とかITリスク全般に対してどのように対策していくか、ということに重きをおいているように思います。サイバーセキュリティに特化という感じではありませんが、ユーザー企業のセキュリティ担当であれば開発や運用周りも見ることがあると思いますので損しない知識が身につくと思います。
・勉強時間
CISSP、情報処理安全確保支援士に合格済という前提で8月~11月中旬の間、合計で150時間ほどは費やしたように思います。CISSPとはBC/DRや開発、運用、情報資産の保護あたりが被っており、試験範囲の3割位は勉強済みだったように感じました。一方、監査やITガバナンス、ソフトウェア導入あたりは私にとって新しい分野だったので力を入れました。監査経験は内部統制対応を監査側で1年ほど、監査を受ける側で数回、といった具合で、そんなに豊富な経験はありません。(自分の監査経験が試験合格に役立ったと思えない)
CISSP、情報処理安全確保支援士に合格済という前提で8月~11月中旬の間、合計で150時間ほどは費やしたように思います。CISSPとはBC/DRや開発、運用、情報資産の保護あたりが被っており、試験範囲の3割位は勉強済みだったように感じました。一方、監査やITガバナンス、ソフトウェア導入あたりは私にとって新しい分野だったので力を入れました。監査経験は内部統制対応を監査側で1年ほど、監査を受ける側で数回、といった具合で、そんなに豊富な経験はありません。(自分の監査経験が試験合格に役立ったと思えない)
・勉強素材
2019年7月に発売したCISAの公式サンプル問題集が90%、残り10%未満が公式レビューマニュアルやインターネット検索です。
公式サンプル問題集は非常に良くできており、各選択肢についてなぜ正解or間違いかのわかりやすい解説がついています。(一部意味不なものもありましたが)掲載されている問題もただ知っているだけで解けるものではなく、「最も重要なものはどれか」「最も適したものはどれか」のような選択肢を比較して検討する問題が多く、CISAとして考える力を養うのにとても有効なように思いました。CISAというかアメリカっぽい考え方?が身につくので、CISSP試験に対しても効果的だと思います。(CISSP試験の前にこの問題集をやっておけばもっと多く正解できたかもなと思いました)
公式レビューマニュアルは他の方も書いているとおり構成も文章も読みにくすぎて、私の精神力では通読できませんでした。分からない用語などの辞書代わりには使えると思います。また、詳しい解説付きの練習問題がトータルで50問以上付いていたり用語集も付いていて知識の棚卸しにも使えるには使えます。
2019年7月に発売したCISAの公式サンプル問題集が90%、残り10%未満が公式レビューマニュアルやインターネット検索です。
公式サンプル問題集は非常に良くできており、各選択肢についてなぜ正解or間違いかのわかりやすい解説がついています。(一部意味不なものもありましたが)掲載されている問題もただ知っているだけで解けるものではなく、「最も重要なものはどれか」「最も適したものはどれか」のような選択肢を比較して検討する問題が多く、CISAとして考える力を養うのにとても有効なように思いました。CISAというかアメリカっぽい考え方?が身につくので、CISSP試験に対しても効果的だと思います。(CISSP試験の前にこの問題集をやっておけばもっと多く正解できたかもなと思いました)
公式レビューマニュアルは他の方も書いているとおり構成も文章も読みにくすぎて、私の精神力では通読できませんでした。分からない用語などの辞書代わりには使えると思います。また、詳しい解説付きの練習問題がトータルで50問以上付いていたり用語集も付いていて知識の棚卸しにも使えるには使えます。
・勉強方法
CISSPのページでも記載した「anki」を用い、スキマ時間をフル活用し徹底的に問題集を吸収しました。
7000問ほど解いたようです。1000問の問題集を7周ということではなく、簡単な問題は3回未満、なかなか理解できなかった問題は15回以上など、紙の問題集を周回するより効果的な勉強ができたと思っています。
CISSPのページでも記載した「anki」を用い、スキマ時間をフル活用し徹底的に問題集を吸収しました。
7000問ほど解いたようです。1000問の問題集を7周ということではなく、簡単な問題は3回未満、なかなか理解できなかった問題は15回以上など、紙の問題集を周回するより効果的な勉強ができたと思っています。
ankiへの取り込みについては簡単に書くと下記みたいな感じです。丸2日掛かったような…。
1 問題集を自炊(背表紙を裁断&スキャナでjpg取り込み)
2 OCRを使い文字列として取り込み
→e.Typist Oneは30日ライセンスを500円で購入でき、取り込み精度もかなり高く満足
3 マクロや手動で頑張ってCSVにし、anki取り込み
1 問題集を自炊(背表紙を裁断&スキャナでjpg取り込み)
2 OCRを使い文字列として取り込み
→e.Typist Oneは30日ライセンスを500円で購入でき、取り込み精度もかなり高く満足
3 マクロや手動で頑張ってCSVにし、anki取り込み
今回の合格もankiなしでは考えられなかったので、そのうち受けるCISMでも同じことをやるつもりです。
GCIHは有効な問題集が無いのでこういう勉強の仕方はできなさそう。
GCIHは有効な問題集が無いのでこういう勉強の仕方はできなさそう。
・試験当日
会場は東銀座の歌舞伎座タワーでした。きれいな会場で土曜日にも関わらず両隣を空けてもらえて集中できました。受付の方に言えば耳栓ももらえます。
実際の問題がどのようなものであったかは例によって書けませんが、問題集そのままのものはなかったように思います。また、問題集のものよりも現実に即していたような気もします。問題集とどちらが難しいかについてですが、同じくらいな印象です。解いていて絶望しか感じず、落ちたときの言い訳ばかり考えていたCISSPより明らかに簡単でした。
50問毎に給水・トイレ休憩をとり、3時間で一通り回答、2~30問にチェックが付いていたので40分ほどかけて見直し。多分受かるはず…とは思いつつもドキドキしつつ終了。早く結果見せろ!と思いつつアンケートに回答してから結果画面。あなたは試験合格しました、予備調査云々の表示が出ました。
会場は東銀座の歌舞伎座タワーでした。きれいな会場で土曜日にも関わらず両隣を空けてもらえて集中できました。受付の方に言えば耳栓ももらえます。
実際の問題がどのようなものであったかは例によって書けませんが、問題集そのままのものはなかったように思います。また、問題集のものよりも現実に即していたような気もします。問題集とどちらが難しいかについてですが、同じくらいな印象です。解いていて絶望しか感じず、落ちたときの言い訳ばかり考えていたCISSPより明らかに簡単でした。
50問毎に給水・トイレ休憩をとり、3時間で一通り回答、2~30問にチェックが付いていたので40分ほどかけて見直し。多分受かるはず…とは思いつつもドキドキしつつ終了。早く結果見せろ!と思いつつアンケートに回答してから結果画面。あなたは試験合格しました、予備調査云々の表示が出ました。
・合格後
CISSPのときと違って合格したことを示す紙はもらえません。あれ、本当に受かってたよな?とも思いつつ、11日後に「CISA Exam Result Notification」メールが届き、PASSEDの文字列を確認しました。
得点については下記みたいな感じです。(ぼかしています)
得点については下記みたいな感じです。(ぼかしています)
トータルスコアは5つのドメインの平均でもないしどういう基準なのでしょうか…。監査分野はわりと得意に思っていたはずが、合格ラインを下回る具合。CISSPのときから苦手意識のあったシステム調達については高得点、もっとも得意に思っていた情報資産の保護は下位…と手応えと違うなぁという感想。600点くらいはいったかな?と思っていましたが500点台前半でした。
それはともかく合格は合格です。まぁそれなりにはできていたということでスッキリしたので、CISSPも点数表示してほしかったなぁ。CISSPはホントあの手応えで何故受かったか分からない。
それはともかく合格は合格です。まぁそれなりにはできていたということでスッキリしたので、CISSPも点数表示してほしかったなぁ。CISSPはホントあの手応えで何故受かったか分からない。
・振り返り
土日も含め毎日勉強したサンプル問題集は、最終的に95%くらいの正答率だったと思います。それでも本番の試験はどんな問題が出るかわからなかったのでやはり緊張しました。でもCISSPのときほど根を詰めて勉強せずとも合格できたのはよかったなと。また、サンプル問題集の正答率が上がってきてからは割と気持ちもだれてしまったのであと1ヶ月勉強期間を短縮しても合格ラインは乗ったかな?とも思います。
また、身につけた知識を何度も業務で活かせる機会があったのも勉強してよかったなと。
土日も含め毎日勉強したサンプル問題集は、最終的に95%くらいの正答率だったと思います。それでも本番の試験はどんな問題が出るかわからなかったのでやはり緊張しました。でもCISSPのときほど根を詰めて勉強せずとも合格できたのはよかったなと。また、サンプル問題集の正答率が上がってきてからは割と気持ちもだれてしまったのであと1ヶ月勉強期間を短縮しても合格ラインは乗ったかな?とも思います。
また、身につけた知識を何度も業務で活かせる機会があったのも勉強してよかったなと。
・今後
例によって申請手続きと年会費の支払いをしなければなりません…。それを片付けてからはトレーニングを受けていたGCIHを年度内合格を目指し勉強です。GCIHは実技も増えたし、CISAよりも頑張らないとだめだろうなぁ…。
GCIHが終わり、来年度になったらCISMを同じような方法で取ろうと思います。CISAとCISMはセットの印象が漠然とあり、片手落ち感があるので。
例によって申請手続きと年会費の支払いをしなければなりません…。それを片付けてからはトレーニングを受けていたGCIHを年度内合格を目指し勉強です。GCIHは実技も増えたし、CISAよりも頑張らないとだめだろうなぁ…。
GCIHが終わり、来年度になったらCISMを同じような方法で取ろうと思います。CISAとCISMはセットの印象が漠然とあり、片手落ち感があるので。
以上、なぐり書きな感じなので後日見直して修正することもあるかもしれません。
これから受験しようというかたに、少しでも参考になればと思います。
CISSPのときと同様、日本語で書かれた合格体験記については検索しまくって参考にさせていただきました。anki同様、他の方の合格体験記なしでは一発合格とはならなかったと思います。ありがとうございました。
これから受験しようというかたに、少しでも参考になればと思います。
CISSPのときと同様、日本語で書かれた合格体験記については検索しまくって参考にさせていただきました。anki同様、他の方の合格体験記なしでは一発合格とはならなかったと思います。ありがとうございました。
