公認情報セキュリティマネージャー(Certified Information Security Manager)(通称:CISM(シスム))の試験に合格しました。
ニッチな試験なのか、ネット上に日本語での合格体験記や試験受験記録の情報があまり転がってなくて、結構不安だったんですよね。
ということで、今後この試験を受ける人のために自分の記録を残しておきたいと思います。お役に立てば幸いです!
※この記事では、僕自身が試験を受験するまでの大きな流れや勉強方法を中心にまとめています。
なお、本記事は「資格Hacks」さんに掲載いただきました!
下記ページ内にて、CISM合格体験記として掲載されています。
「資格Hacks」さんは各種資格に関する情報が数多く提供されており、気になる資格を見つけることができるサイトです。
僕の妻が資格試験の勉強を始めようと考えた際にも、こちらの情報を参考にしたことがあると話していました。
今回の記事で取り上げるCISMに関する情報も上記記事内にまとめられています。
今回の僕の記事と併せて「資格Hacks」さんの情報を見ていただけると、よりCISMの試験概要が掴めるのではないかと思います。
そもそもCISMとは何ぞや
恐らく、「CISM」や「公認情報セキュリティマネージャー」といった単語検索で当ブログに辿り着かれている方には説明不要かもしれませんが、ISACA東京支部のWebページから説明を引用します。
CISMは、マネージメントレベルの情報セキュリティの国際的資格です。 ISACAは、CISM資格創設に当り、以下の観点を考慮しています。
・情報セキュリティマネージャーに特化した資格として設計
・情報セキュリティマネージャーの実際の業務分析を元にした、基準と試験問題を開発
・資格認定の前提として、情報セキュリティマネージメントとしての経験も必要
出展:ISACA東京支部 https://www.isaca.gr.jp/cism/
ISACAという国際団体が認定する資格で、外国ではそれなりに知名度があるとかないとか。
ただ、日本ではさほど知名度のない資格だと思います。
試験に合格するだけでは正式な認定はなされず、情報セキュリティに関する実務経験を5年有していることを証明(申請)する必要があります(ただし、4年制大学を卒業していれば、それを2年間の実務経験に代替することが可能ですので、実質3年間の実務経験があればいいということになります)。
なので、僕の場合は、認定のための申請ステップがまだこれから待っているということです。
試験の概要
試験の概要について、下記3点について簡単にまとめたいと思います。
- 5つの領域(ドメイン)から合計で150問の四択試験が出題される。
- 試験はペーパーテストではなく、テストセンターにてCBT(Computer Based-Testing)形式で行われる。
- 合否は試験終了後に確認できる。
まず1つ目です。試験では5つの領域(ドメイン)から合計で150問の四択試験が出題されます。
出題範囲のドメインや出題割合は、下記のとおりです。
※ISACA東京支部のWebページより引用。
- 情報セキュリティガバナンス(24%)
情報セキュリティガバナンスのフレームワークと支持プロセスを確立し維持して、確実に情報セキュリティ戦略が組織の目標と目的と調和し、情報リスクが適切に管理され、プログラム・リソースが責任を持って管理されるようにする。 - 情報リスクの管理(30%)
組織の目標や目標を達成するために、リスク選好度に基づいて情報リスクを許容レベルまで管理する。 - 情報セキュリティプログラムの開発と管理(27%)
情報セキュリティ戦略と調和するよう情報セキュリティプログラムを確立し管理する。 - 情報セキュリティのインシデントの管理(19%)
情報セキュリティのインシデントの検知、調査、対応、および復旧を行う能力の計画、確立、および管理を行って、ビジネスへの影響を最小限にとどめる。
ただ、2022年6月にドメインごとの出題比率が変更されることが予定されているようですので、その点はご注意を。
- 合格ラインは?
-
CISM試験の得点は200~800点のスケールド・スコアに換算され、合格ラインは450点以上です。
- スケールド・スコアって何? 結局、何問正解すればいいの?
-
正直よくわかりませんが、難易度によって各問の配点に傾斜があるということだと思います。なので、一律「何問正解すれば合格ライン」と言えるようなものではないようです。
こちらのページに参考情報が載っていましたので、興味のある方はご覧になってみるとよいかと思います。
CISM関連の情報も結構まとまっているので参考になりますよ。
そして2つ目。
試験はペーパーテストではなく、テストセンターにてパソコンを使ったCBT(Computer Based-Testing)という形式で行われます。
- あらかじめ試験日が決まっていて、受験者が一斉に試験を受けるわけではないの?
-
はい。テストセンターの日程さえ合えば、1年間いつでも自分の受けたいタイミングで受験することが可能です。
- 新型コロナウィルス感染の懸念もあるし、自宅からオンライン受験できたりしない?
-
2020年4月からは自宅受験も可能になったとのことです。ただ、自宅のインターネット回線トラブル等で試験時に慌てることになる懸念もあるので、個人的にはテストセンターでの受験がおすすめだと思います。
とは言え、オンライン受験が広がっているためか、ここ最近は試験を受けられるテストセンター自体が少なくなっており、選択肢がかなり限られているようです。
僕が受験申し込みを行った2022年3月下旬時点では、日本全国で4~5箇所程度しかテストセンターの候補がありませんでした。
そのうち、東京以外の会場は2箇所程度しかなかった記憶ですので、お住まいの地域によってはオンライン受験しか選択肢がないという可能性もあります。
最後に3つ目。
合否は試験終了後にすぐにわかります。ただし、終了後に出る試験結果はあくまで「予備判定」とのことで、正式な合否連絡は試験後10日前後でメールにて連絡があります。
- 試験後の予備判定で「合格」だったのに、実際は不合格の可能性はある?
-
100%ないとは言い切れないですが、ネット上の情報を確認する限りではそういうケースはまずないと考えていいと思います。
受験の背景
実務や転職に活かしたいといった高尚な目的や理由があったわけではなく、何となく受験しようと思い立ったという感じです。
強いて言うなら「CISAも持ってるし、せっかくだからCISMもとってみようかな」と思ったことと、試験時の緊張感と試験合格時の達成感をまた味わいたいなって思ったことが動機ですかね。
受験を思い立ってから実際に受験するまでの流れ
- 2022年2月下旬
-
ISACA公式のサンプル問題集である「CISM Review Questions, Answers & Explanations Manual」(以下、単にサンプル問題集という)を注文。注文から7日後、アメリカからサンプル問題集到着。勉強開始。
ちなみに、このサンプル問題集は送料込みで約$170(僕が買ったときのレートで2万円ちょい)くらいしました。メルカリやラクマなどのフリマサイトで多少安く売っている人がいたら、そちらで買ってもいいと思います(僕は正式な合格連絡が来たら、ラクマで売るつもりです)。 - 2022年3月中旬
-
もともと想定していた試験日の5日ほど前に「さて予約しようかね」と思い予約サイトにアクセスしたところ、すでにその日のテストセンターの空きがなくなっていて受験不可であることが判明します。
まぁ、試験日を決めた時点でさっさと予約しておけよという話なので、自業自得です。
もともと想定していた試験日の1週間後ろの日に空きがあったので、その日に予約を入れました。 - 2022年4月上旬
-
テストセンター秋葉原昭和通り口にて受験。
CISAのときは歌舞伎座テストセンターで受験して、綺麗で良いテストセンターだなと思ったので、今回もそこで受けたかったのですが、試験予約時のテストセンターの候補に出てきませんでした。
残念ながら、どうやら今はもうISACA系のCBTは取り扱っていないようです。
勉強期間は約1ヶ月。時間にして約30~40時間ほどだったと思います。後でも書きますが、勉強を始めてからは毎日1~2時間くらいは勉強していた気がします。
受験者の職務経歴
僕の職務経歴は、新卒で入ったメーカー系SIerにてシステム開発・運用業務に9年携わった後、監査法人にてシステム監査系の職務に3年携わり、現在はセキュリティベンダーでサポート業務に従事しているという感じです。また、SIer時代に、PMP(Project Management Professional)、監査法人時代にCISA(Certified Information Systems Auditor)を取得しています。
CISMの出題範囲と被っていると言われるCISAの試験を受験・合格した経験があるという点は、大きなアドバンテージだったかなと思います。
先ほど書いた勉強時間やこれから書く勉強方法についても、そういったバックグラウンドがあったことを踏まえて読んでいただければと思います。
勉強方法
勉強に利用したのはサンプル問題集だけです。
勉強に当たっては、CISAのときの自分自身の勉強法を参考にしました。
サンプル問題集には、約1,000問のサンプル問題と、そこから150問を抜粋したサンプルテストがついています。
僕の場合は、以下のような形で問題集を解いていきました。
なお、この問題集の校正精度は驚くべき低さなので、読んでいるとかなりイライラしてきます。
誤字脱字は当たり前にある上に、日本語訳がかなり怪しくて「何言ってんのか自分でちゃんとわかってんのか……?」と思うような問題が多数あります。さらに言うと、「さっきの問題と言ってること違うじゃねーか!」と思うような問題もあります。
日本語版問題集の製作にかけられるリソースの問題もあるとは思いますが、それにしてもひどいと思いましたね。
一度確認したら誰でもすぐ確認できるようなレベルの誤字脱字が至る所にあるのは論外です。
ただ、これ以外に選択肢(問題集)がないので、そういうものだと我慢して進めるしかありません……。
僕は、最初のこの段階では150問中89問しか正解できませんでした。
「もしかしたら、CISA取得時の勉強内容が結構そのまま使えて、ノー勉強でもある程度点が取れるんじゃないか」などという甘い考えが実はあったのですが、ここで打ち砕かれて「ちゃんと勉強しないとな……」と思いました。
CISMの試験はもCISAと全く同じで、サンプル問題集の答えを丸暗記すれば何とかなるというものではないということはわかっていました。
つまり、「(ISACAが求める)情報セキュリティマネージャーとしての考え方」を理解することが非常に重要といいうことなので、勉強する際にはただ漫然と答えを選んで答え合わせするだけではなく、「なぜそれが正解なのか」について解説を読んで考えるようにしていました。
大体1日当たり100問解くことを目標にして、毎日1時間~2時間くらいは勉強したと思います。
1周目の正答率は5~6割程度だったかなと思いますが、2周目の正答率は7割前後になっていたんじゃないかなと思います。
2回目は150問中122問正解でした。
2回ともミスっているものを「考え方もしくは知識が確実に身に付いていないもの」として重点的にフォローするのと併せて、1回でもミスっているものは「たまたま正解したもの、もしくは考え方や知識が定着途中のもの」としてフォローしました。
ここまで残っているものはかなり数が少なくなってきますし、4回目でもミスるものは無理に頭に入れなくてもいいくらいの気持ちで確認しました。
なかなか勉強時間がとれなかったのですが、1ヶ月の間にやれることはしっかりやれたかなと思います。
試験当日の流れ
試験当日については別途記事をまとめておりますので、興味がある方はこちらをご参照ください。
試験を受けた感想
どのような問題が出たかは書けません(そもそも細かく覚えてません)が、ポイントは下記かなと思います。
- 「サンプル問題集をやって何となく問題文と答えの結びつきを覚えただけ」では通用しない。
- 「情報セキュリティマネージャーとしてのあるべき姿やとるべき行動(としてISACAが求めていること)を脳内でイメージできるか」が重要である。
過去問と同じ問題が一定数出題されるIPAの試験とは違って、この試験ではサンプル問題集にあるのと全く同じ問題はないと思った方がいいです(まぁ、そもそも問題集自体が「過去問集」ではないわけですが)。
すべて初見の問題とぶつかると思っていた方がいいですね。なので、問題集の答えを丸暗記してもまず通用しません。
単純にITに関する知識を問われるもの(用語や概念を知っているかどうかに依るもの)も少なからずありますが、やはり中心となるのは「問題文で問われている状況下において、情報セキュリティマネージャーとしてのあるべき姿やとるべき行動(としてISACAが求めていること)を脳内でイメージできるか」というところかと思います。
これは、漫然と問題集の答えを暗記するだけで得られるものではありません。
勉強方法の項目にも記載しましたが、問題集には答えだけでなく「なぜそれが答えとなるのか」についての解説も書かれています(わかりづらい日本語も多く、何言ってんだコイツと思うことも多々ありますが)ので、そこをしっかりと読んで「ISACAが求める情報セキュリティマネージャー像」というものをつかむことが重要ですね。
CISAと比べてどちらの試験が難しかったかというと、何とも難しいですね。
ネット上の他の方の意見だと「CISAの方がCISMより試験範囲が広い(CISMはCISAの試験範囲の一部である)から、CISAの方が難しい」という意見が多い印象でしたが、問題集を進めている際にはよくわからない問題も多く、CISAと比べてそんなに簡単というほどでもないかなと感じました。
確かに試験範囲自体はCISMの方が狭いのかもしれませんが、だからと言って簡単というわけでもないので、そのあたりは油断せずに勉強した方がいいと個人的には思います。
最後に余談ですが、試験終了後に即結果が出るということで、やはり試験終了のボタンを押す瞬間はかなり緊張しました……。
※試験時間は4時間ですが、その前でも自分の任意のタイミングで試験を終えることができます。
PMPやCISAも同じ形式で、特にCISAは2年前なので比較的記憶が新しいのですが、そのときもかなり緊張した記憶がありますね。
ただ、その分、終了後の予備判定結果画面で「合格」の2文字を見たときの達成感・安堵感もまた大きいです。
冒頭に書いたように、今回の試験はこの達成感を得るために受けたようなところもありますしね。
決して簡単な試験ではありませんが、CISAと同様にサンプル問題集をベースに学習を進めることで確実に合格ラインに到達できると思います!
それでは、また!
コメント