公認情報システム監査人(Certified Information Systems Auditor)(通称:CISA(シーサ))の試験に合格しました。
うーすけニッチな試験なのか、ネット上に日本語での合格体験記や試験受験記録の情報があまり転がってなくて、結構不安だったんですよね。
うーすけということで、今後この試験を受ける人のために自分の記録を残しておきたいと思います。お役に立てば幸いです!
※この記事では、僕自身が試験を受験するまでの大きな流れや勉強方法を中心にまとめています。
その他にも、試験当日の様子をまとめた記事や合格後の認定手続きに関する情報を別途まとめていますので、ご興味があればこちらもご参照ください。
そもそもCISAとは何ぞや
恐らく、「CISA」や「公認情報システム監査人」といった単語検索で当ブログに辿り着かれている方には説明不要かもしれませんが、ISACA東京支部のWebページから説明を引用します。
CISAは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして当協会が認定する国際資格で、日本語では「公認情報システム監査人」と称します。
出展:ISACA東京支部 https://www.isaca.gr.jp/cisa/
ISACAという国際団体が認定する資格で、外国ではそれなりに知名度があるとかないとか。日本では「システム監査技術者」の方が有名な気がします。
試験に合格するだけでは正式な認定はなされず、システム監査やシステム運用等の指定された実務経験を5年有していることを証明(申請)する必要があります(ただし、4年制大学を卒業していれば、それを2年間の実務経験に代替することが可能ですので、実質3年間の実務経験があればいいということになります)。
なので、僕の場合は、認定のための申請ステップがまだこれから待っているということです。
試験の概要
試験の概要について、下記3点について簡単にまとめたいと思います。
- 5つの領域(ドメイン)から合計で150問の四択試験が出題される。
- 試験はペーパーテストではなく、テストセンターにてCBT(Computer Based-Testing)形式で行われる。
- 合否は試験終了後に確認できる。
まず1つ目です。試験では5つの領域(ドメイン)から合計で150問の四択試験が出題されます。
出題範囲のドメインや出題割合は、下記サイトの情報がわかりやすいです。
- 合格ラインは?
-
CISA試験の得点は200~800点のスケールド・スコアに換算され、合格ラインは450点以上です。
- スケールド・スコアって何? 結局、何問正解すればいいの?
-
正直よくわかりませんが、難易度によって各問の配点に傾斜があるということだと思います。なので、一律「何問正解すれば合格ライン」と言えるようなものではないようです。
そして2つ目。
試験はペーパーテストではなく、テストセンターにてパソコンを使ったCBT(Computer Based-Testing)という形式で行われます。
- あらかじめ試験日が決まっていて、受験者が一斉に試験を受けるわけではないの?
-
はい。テストセンターの日程さえ合えば、1年間いつでも自分の受けたいタイミングで受験することが可能です。
- ネットの情報だと、試験日程が年3回固定で決まっているとか、ペーパーテスト形式だとか書いているところもあるけど、どちらが正しい?
-
CBT形式になったのは2017年からで、その前はペーパーテスト形式で試験日程も年3回だか固定で決まっていたようです。
このあたりの情報が古くアップデートされないまま公開され続けているまとめページもあるので、CISA試験に関する情報については鮮度に要注意です。 - 新型コロナウィルス感染の懸念もあるし、自宅からオンライン受験できたりしない?
-
2020年4月からは自宅受験も可能になったとのことです。ただ、まだ始まったばかりで情報も少なく、自宅のインターネット回線トラブル等で試験時に慌てることになる懸念もあるので、テストセンターでの受験がおすすめです。
最後に3つ目。
合否は試験終了後にすぐにわかります。ただし、終了後に出る試験結果はあくまで「予備判定」とのことで、正式な合否連絡は試験後10日前後でメールにて連絡があります。
- 試験後の予備判定で「合格」だったのに、実際は不合格の可能性はある?
-
100%ないとは言い切れないですが、ネット上の情報を確認する限りではそういうケースはまずないと考えていいと思います。
受験の背景
仕事柄、上司からのプレッシャーも少なからずあり、監査系の資格を何か持っておきたいなぁとは思っていました。ただ、2019年春期に受験したシステム監査技術者試験で撃沈(午後試験の手応えはかなりあったものの、まさかの午前Ⅱ試験で正答数があと1問足りずに足切り……)し、さらに2020年春期の同試験が新型コロナウイルスの関係で開催中止になったことで、当面は保留でいいかなと思ってたんですね。CISAの存在も当然知ってはいましたが、僕は「監査業務経験が5年以上ないと試験に合格しても認定はされない」と勘違いしていて、まだ今受けてもしょうがないかなと(後でも書きますが、僕の監査業務経験年数は2年程度なので)。
そんな折(確か6月頭頃だったかな)、下記のブログを拝見して、「あれ、別に監査業務だけでなく、システム開発の経験も考慮されるん?」ということに今更ながら気付きまして、比較的業務が落ち着いている今の時期に勉強して合格してしまおうと思ったわけです。
受験を思い立ってから実際に受験するまでの流れ
- 2020年6月中旬
-
ISACA公式のサンプル問題集である「CISA Review Questions, Answers & Explanations Manual」(以下、単にサンプル問題集という)を注文。注文から5日後、アメリカからサンプル問題集到着(思いの外、早く着きました)。勉強開始。
ちなみに、このサンプル問題集は送料込みで$200(僕が買ったときのレートで2万円ちょい)くらいします。メルカリやラクマなどのフリマサイトで多少安く売っている人がいたら、そちらで買ってもいいと思います(僕は正式な合格連絡が来たら、ラクマで売るつもりです)。 - 2020年7月上旬
-
試験日を7月末に設定して申し込み。
申し込んでから1週間後、当初申し込んだ日程だとせっかくの4連休を楽しめない(連休中も「勉強しなきゃ」となってしまう)と思ったので、試験日を1週間前倒す形でリスケジュール。
試験日程の変更は、試験実施予定日時の48時間前まではWebから簡単に行えます。
なお、試験の申し込みには(ISACA非会員の場合)$760(僕が申し込んだときのレートで83,000円くらい)かかります。問題集もそうですが、馬鹿高いです。会社からの補助がなかったら受ける気にもならない金額です。 - 2020年7月中旬
-
歌舞伎座テストセンターにて受験。
勉強期間は約1ヶ月。時間にして約50~60時間ほどだったと思います。後でも書きますが、勉強を始めてからは毎日1~2時間くらいはやっていた気がします。
受験者の職務経歴
僕の職務経歴は、新卒で入ったメーカー系SIerにてシステム開発・運用業務に9年携わった後、システム監査系の職種に転職して3年目に入ったところ、という感じです。また、SIer時代に、PMP(Project Management Professional)を取得しています。
CISAの出題範囲である5つのドメインに関する業務経験はどれも少なからず持っている、また、PMP受験時にCBTの経験がある、という下地があり、一定のアドバンテージは初めからあったのかなと思います。
ちなみに、この資格の取得を目指す人は監査系の仕事に重視されている方がほとんどだと思いますが、もしそうでない方(これから監査系の職種への転職を目指していて、そのためにこの資格の取得を目指している方など)で「そもそもシステム監査ってどんなことやるの?」という方には『よくわかるシステム監査の実務解説』がオススメです。
僕自身、システム監査の職種に転職する際の面接の前にはこの本を読みました。
それまではシステム監査といっても具体的に何をやっているのかはよくわかっておらず、ぼんやりとした理解しかなかったのですが、この本のおかげで、面接でもしっかりとしたイメージを持って話をすることができましたね。
全くのゼロからシステム監査のイメージを掴むにはいい本だと思います。
※というか、システム監査について学べる日本語の本自体がほとんどなく、そもそも選択肢がないんですけどね……。
勉強方法
先ほど紹介したブログにも書かれていましたが、勉強に利用したのはサンプル問題集だけです(というか、先ほどのブログの方の勉強方法を参考にさせていただいたので、必然的にそうなりました)。
サンプル問題集には、約1,000問のサンプル問題と、そこから150問を抜粋したサンプルテストがついています。
僕の場合は、以下のような形で問題集を解いていきました。
僕は、この段階では150問中76問しか正解できず、「これはやべえ……」となりました。
最初は間違えた問題に付箋を貼っていっていたのですが、あまりに間違える問題の数が多く、付箋が勿体なくなってきたので、ノートに記録する方式に変えました。
CISAの試験はサンプル問題集の答えを丸暗記すれば何とかなるというものではなく、「(ISACAが求める)監査人としての考え方」を理解することが非常に重要という情報を先人の方々が残してくれていたので、ただ漫然と答えを選んで答え合わせするだけではなく、「なぜそれが正解なのか」について解説を読んで考えるようにしていました。
大体1日当たり100問解くことを目標にして、毎日1時間~2時間くらいは勉強したと思います。ちなみに、サンプル問題集そのものに正解だったか不正解だったかを記録してもいいとは思いますが、僕の場合は先ほど書いた通り合格後にサンプル問題集をラクマで売り払うつもりだったので、なるべく汚さないようにしていました。
1周目はどのドメインも6割前後の正答率だったのですが、2周目は「求められている考え方」がある程度理解できてきて、8割前後の正答率になっていました。
2回目は150問中138問正解でした。
2回ともミスっているものを「考え方もしくは知識が確実に身に付いていないもの」として重点的にフォローするのと併せて、1回でもミスっているものは「たまたま正解したもの、もしくは考え方や知識が定着途中のもの」としてフォローしました。
ここまで残っているものはかなり数が少なくなってくるので、4回目でもミスったものは(言葉は悪いですが)捨ててもいいくらいの感覚でした。
サンプル問題集のドメイン1から32問、ドメイン2から26問、ドメイン3から18問、ドメイン4から34問、ドメイン5から40問をテキトーに選び、それらの問題番号をノートに書けば、実際の出題割合と同じ割合の150問のサンプルテストが作れます。これをやったのは試験の1週間くらい前だったのですが、単純に問題集を周回するだけなのはつまらないのと、またもう1周通してサンプル問題集をやるほどの気力もなかったのとで、全体を通した再確認を一度にやる目的で無理矢理やったって感じでした。
これは、150問中145問正解でした。
試験の数日前からはこのスタイルで勉強しました。
うーすけとにかくサンプル問題集を解いて、「求められている考え方を頭に叩き込むこと」を意識しました。
試験当日の流れ
下記エントリにまとめましたので、ご興味のある方はご一読ください。
試験を受けた感想
どのような問題が出たかは書けません(そもそも細かく覚えてません)が、ポイントは下記かなと思います。
- 「サンプル問題集をやって何となく問題文と答えの結びつきを覚えただけ」では通用しない。
- 「監査人としてのあるべき姿やとるべき行動を脳内でイメージできるか」が重要である。
サンプル問題集にあるのと全く同じ問題はたぶん1問もなかったと思います。すべて初見の問題とぶつかると思った方がいいと思います。なので、問題集の答えを丸暗記しても通用しません。
単純にITに関する知識を問われるもの(用語や概念を知っているかどうかに依るもの)も少なからずありますが、やはり中心となるのは「問題文で問われている状況下において、監査人としてのあるべき姿やとるべき行動を脳内でイメージできるか」というところかと思います。
それと、これはどうでもいい話ですが、試験終了後に即結果が出るということで、試験終了のボタンを押す瞬間はかなり緊張しましたね……。
※試験時間は4時間ですが、その前でも自分の任意のタイミングで試験を終えることができます。
PMPも同じ形式でしたが、あのときもかなり緊張した記憶が……(と言っても、もう5年前の話なので記憶が朧気)。
冒頭にも書きましたとおり、試験当日の様子をまとめた記事や合格後の認定手続きに関する情報は別途こちらにまとめていますので、ご興味があればこちらもご参照ください。
うーすけ決して簡単な試験ではありませんが、サンプル問題集をベースに学習を進めることで確実に合格ラインに到達できると思います!
それでは、また!
コメント