fiscsecの日記

https://twitter.com/fiscsec

CISM試験に合格しました

試験の話ばかりですがCISM(Certified Information Security Manager)認定をいただきました。
2020年7月18日に試験(予備合格?)、28日に合格確定、即日申請して8月5日に承認(approved)、8月7日に認定です。
試験の概要や勉強した内容など記載します。受験される方の参考になれば幸いです。

  • CISM概要

詳細は下記のリンクのほうが詳しいです。
https://www.isaca.gr.jp/cism/
http://www.nekodasuke.jp/cism/

グローバルでは?おそらくCISSPCISAの次くらいには有名で、稼げるIT資格の上位常連です。2020年はCISSPを抑えて年収14万ドル稼げる?そうです。
…が、CISMを取れば14万ドルってわけではなく、14万ドル稼げるような管理職の方がCISMを持っている、と考えたほうがよいです。
(そこまで難しいわけではないAWSソリューションアーキテクトアソシエイトはもっと高いので)
勉強すると、企業のセキュリティに関する部署の管理職が行うべき行動が身につく感じです。ただ堅牢な情報セキュリティを達成するのではいいというものではなく、企業の目標に整合するセキュリティを達成していくために必要なことをマネージャーとして実践することがメインテーマだと理解しています。そういう業務を担当するのであれば役に立つと思います。
 

  • 受験のきっかけ

 今回は会社命令ではなく、完全自腹です。合格後の報奨金すらありません。マネージャーとしての考え方を身に着けたいということと、大手監査法人のシニアセキュリティコンサルタントは大抵CISSPCISA、CISMをセットで持っている印象があったので、CISSPCISAだけではなんとなくちょっと足りないかな?と思ったためです。
ベンダやコンサルだと昇格要件やら報奨金やらがあるのだと思いますが、私の場合は趣味みたいなものです。

 

  • 勉強時間

 2ヶ月程度です。毎日2時間~3時間程度はスキマ時間を見つけて勉強しました。
CISSPCISAを持っているのであれば試験範囲の多くをカバーしているはずですが不安でしたので。

  

  • 勉強素材

 CISAのときと同様、95%はISACA公式のCISMサンプル問題集です。
(2020年8月現在でも2017年くらいに発行された9版が最新)
 CISM試験レビューコースも受けましたが、勉強も終盤でしたので大体のことは理解していました。特に参考になったのは、CISSPCISAで勉強しても苦手だったBCP関係(RPOとかRTOとかAIWとか)の資料です。
オンラインになったためか自費でも受けやすい価格です。
勉強開始時に受けられていたらもっと役に立っただろうなぁと。

 

  • 勉強方法

 これもCISAのときと同じです。CISMサンプル問題集をスキャンやらOCRやらマクロやら駆使してankiに取り込み、ひたすら問題を解きまくりました。
20回近く間違えても理解しきれない問題もありましたが、毎日のノルマは土日であっても消化しました。5000回程度問題を解いたようです。
後述しますが私の得点がアレなので、効果的ではないかもしれませんが…。答えを覚えるだけではだめで、それぞれの選択肢の正解、不正解の理由を理解する必要があると思います。意味不明な理解しにくい文章を度々目にしますが、そういう問題は印でも付けて後回しにすることをおすすめします。なお、サンプル問題集は過去問ではなくあくまで練習問題です。似た問題は出ないと思ったほうがよいです。あくまで知識や考え方を身につけるための道具です。
レビューコースについては配布資料を流し読みで復習しました。

  • 試験当日

CISAのときと同様、 東銀座の歌舞伎座タワーです。駅直結ですし、試験環境もよいですし。受付の方に言えば耳栓を貰えます。
問題については例によって書けませんが、サンプル問題集と同じ問題はありませんでした。サンプル問題集にはないIoTやらクラウドやらの話も出てきますのでそれらの基本的なセキュリティ対策は知っておくべきです。
50問解いてトイレ休憩&給水を繰り返し、3時間ほどで一通り終了。微妙だった問題に付けたフラグは15個ほどで、20分ほど掛けて見直し試験を終わらせました。正直、解いていてサクサク進められており、50問解いたくらいでこれは受かるだろうな、と余裕がありました。むしろ落ちたら改善点が分からないくらいには自信を持っていたほどです。
めんどくさいアンケートにヤキモキしつつ、結果表示。案の定合格でした。
ちなみに、日本語のクオリティは問題集より良好でわかりやすかったと思います。言葉が足りなくてよくわからない、ってのもあった気がしますが、それは英語版でも同じだと思うようにしました。

 

  • 予備判定合格後

 トータルで600点後半くらい取れているのではないか?と、だいぶ余裕をカマしつつ、10日後に正式なスコアがメールで送られてきました。
英文読むのは後回しでとりあえず数字を拾おうと思っても、1段落目では450という数字しか見当たりません。450が合格の最低スコアってのは分かっているけど自分のスコアは?と若干戸惑い、英文を読んでみたら私の得点はまさかの450点で合格ギリギリでした。
スケールドスコアなので諸々の調整もあるのだと思いますが、それにしても合格最低点とは…。ということで全く受かった気がしていませんしCISMとしての自信もありません。
ちなみにスコアは下記のような感じです。
-----
Your Total Scaled Score is 450.00
Information Security Governance 400ちょい
Information Risk Management and Compliance 600くらい
Information Security Program Development and Management 300後半
Information Security Incident Management 600くらい
-----
セキュリティガバナンスは苦手でしたが頑張ったのに。そしてセキュリティプログラムはむしろ得意だったのに400以下だなんて…。
経歴を申請し無事に認定していただきましたがモヤモヤしか残っていません。合格は合格なのですが…。ということで勉強方法も合っていたのかどうか?1問でも間違えたら不合格だったということですので運が良かったのでしょう。この選択肢しかあり得ないと自信を持って答えたあの問題はどうだったのか、私に知る術はありません。
自分の素としての判断ではこの選択肢だけど、CISM的にはこれしかないよなー、という方針で解いていましたが間違いだったのか…いやでもこの解き方は米国資格試験の基本ではないかなどとまだ引きずっています。

  • 振り返りと今後

 当初は3ヶ月の勉強期間を予定していましたが、CISAのときの経験からダレるかなと思い2ヶ月にしました。1ヶ月は大きいので短縮できたのは良かったです。モヤモヤは残りますが、この振り返りを書くことでだんだん昇華できてきたので良しとします。ankiを使った勉強方法自体は間違っていないと思いたい。
毎日のノルマで解くサンプル問題集については、最終的には9割以上の正解率でした。
SG、SC、CISSPCISA、GCIHに続いて6つ目の資格ということで、もうセキュリティの資格はいいでしょう、と思っていたのですが徳丸本2版がおまけで付くということでついつい徳丸基礎試験に申し込んでしまったり、業務でAWSを触らなくてはいけなくなったのでソリューションアーキテクトアソシエイトをざっくり勉強しつつ、要点整理から攻略する『AWS認定 セキュリティ-専門知識』を買ってみたり、試験合格という目標とプレッシャーが勉強のモチベーションになっているのでまだ受けるのだと思います。あ、Twitterの広告で毎日必ず出てくるOSCPも気になっているんだよなぁ、持っているとかっこいいよなぁ…。

以上です。