Zenn
✍️

在宅受験ができるCRISC合格体験記2021年

2021/03/05に公開
Security
#
資格
#
リスク管理
#
crisc
#
isaca
idea

リスク管理の能力を証明する資格CRISCを取得しましたので、学習方法や受験のコツを備忘を兼ねて書いてみたいと思います。セキュリティをお仕事にされている方やエンジニアの方でリスク管理に興味のある方はぜひチャレンジを検討してみてください。また、リスク管理のマネージャーの方は、ぜひ部下に取得を推奨ください。
英語での試験というハードルはありますが、試験勉強を通じて学べるリスク管理の考え方は大変有益と感じております。受験しようか悩んでいる方がいたら、背中を押せるようにしたいと思っています。

なお、受験者は出題問題や回答選択肢等について守秘義務が科せられています。試験そのものについては共有できませんので、オープンな情報、準備段階や受験後を振り返った感想を中心に書き留めていきます。

1. 私の話

1.1 自己紹介

金融系のIT技術の会社で、セキュリティ分野の業務を8年程度担当しています。情報処理安全確保支援士(支援士)CISSPは、キャリアを始めたタイミングに取得しました。ISACAが認定する他の資格であるCISA/CISM/CGEITは保有していません。英語は苦手意識があります。TOEICは600点程度?

1.2 学習の歩み

2020年6月に申込みをして、2021年3月に受験・合格しました。学習時間はトータルで60時間程度でしょうか。(公式練習問題:40時間, Udeamy講座: 15時間, レビューマニュアル・野良問題等: 5時間)

1.3 取得スコア

CRISCは、最低200点〜最高800点のスケールされたスコアで評価されます。450点以上を取得できれば合格となります。スケールのやり方は開示されていませんが、受験者によって問題がランダムで出題されるため、難易度による不公平が出ないように得点調整が入る仕組みのようです。

私の合計スコアは486点。特徴のない感じです。このスコアは、受験後10日後(営業日換算ではなく)に送信されてきました。

2. CRISC概要

2.1 目的・知識範囲

様々なリスクを抱える組織において、リスクの①特定、②評価、③対応、④モニタリングを担うリスク専門職(Risk Practitioner)の能力を確かめる試験です。4分野は、以下のようなバランスで出題されます。

主催はISACA。Three lines of defenseモデルで言うところの、第2線の専門家能力をまとめたものという感じでしょうか。

2.2 他の試験との比較

CISSPと支援士と比べてみました。

2.2.1 難易度・出題スペック

CISSPを100としたときの主観です。

CISSP CRISC 支援士
知識の範囲 100 30 80
知識の深さ 100 50 120
思考能力 100 150 100
実践能力 100 150 75
言語 日本語/英語 英語 日本語
受験時間 6時間 4時間 1日
出題数 250問 150問 4区分
・CISSPは、受験時間を3時間にしたショート方式もある(但し、英語のみ)
・支援士は一部試験の免除制度あり

CISSPと支援士に比べると、知識の範囲・深さともに大したことはありません。すでにこれらの資格を保有されている方にとっては、知識的な勉強をする必要はないでしょう。

他方、思考能力と実践能力については他を凌ぎます。覚える知識は少ない分、知識を使ってどう行動するか、という点が問われます。ISACAが考える理想のRisk Practitionerを心に描けるかどうか、短い文から状況把握する想像力と思考能力が求められます。

2.2.2 受験費用・維持費用

CISSP CRISC 支援士
受験料 約77,000円 約85,000円 5,700円
登録費 0円 約6,000円 約30,000円
維持費 約14,000円/年 約10,000円/年 約47,000円/年
継続学習 40時間/年 40時間/年 約6~12時間/年

・1米ドル=110円で概算
・支援士の維持費は、3年で計14万円
・CRISCの受験料・維持費はISACA非会員価格。ISACA会員(有料)になると値引あり。

CISSPと似ていますね。日本の給与水準からするとお値段高くて辛いところです。継続学習(CPE)は、他の資格要件のCPEと重なって申請できるものもあるので、それほど大変な印象はありません。
https://qiita.com/osada/items/adc0c360d0ca0c9aacaf

2.3 メリット

学習の過程で、リスクの特定方法や対応方法など、実務的なベストプラクティスを身につけることができます。能力を試すというよりも、学びのためのツールとして捉えたほうが個人的にはメリットがあるように思います。

第2線でのお仕事をされる方は、参考になる部分も多いと実感いただけると思いますので、ぜひ一度ご検討されてみてください。この資格が日本でも価値あるものと認知されていくようになるといいですね。

なお、某掲示版サイトの投稿を見ると、日本でこの認定を持っている人は200名弱のようです。3,000人前後のCISA、500名前後のCISMと比較すると希少性は高そうです。(希少性でメリットを評価するものではないと思いますが、差別化できるところはあるかも?)

762 1 : CISA/CISM2018/09/10(月) 23:48:36.99ID:/BctfUQd >>767
札幌で受験する人、地震の影響は大丈夫ですかね?

ちなみに今日現在の東京支部の資格保持者数ですが、
CISA 2887
CISM 488
CGEIT 114
CRISC 155
となっております。名古屋、大阪、福岡支部を併せると1割増しくらいになります。

3. 試験準備

私の体験から、試験合格に向けてすべきこと・避けることをまとめてみます。

3.1 MUST(必須)

3.1.1 受験申込・支払

これがないと始まりません!

誰でもできますが、意外と難しい・・・。
思い立ったが吉日。まだの人は、すぐやりましょう。

https://www.isaca.org/credentialing/crisc/crisc-exam

3.1.2 受験日の決定・受験環境に行く

2020年から自宅のPCから受験ができるようになっています。環境が許せば自宅からやりましょう。行ったことのないテストセンターよりもリラックスしながら受験できます。

3.2 SHOULD(実施すべき)

3.2.1 [有料]公式の練習問題

CRISC Review Questions, Answers & Explanations Database (12ヶ月有効)はおすすめです。受験強者の諸兄姉にとっては常識かもしれませんが、出題形式への慣れや考え方の整頓にうってつけ。間違えた問題については、解説をじっくりと読みましょう。

https://www.isaca.org/education/ontraining/xmxcr1412m

約44,000円とお高いですが、値打ちあります。基本的な考え方を学ぶための550問がバランス良く入っています。


緑の数字(ReadySCOREという)が80点以上あれば、合格水準と言われています。個人的には85点くらいはほしいですが、90点までは不要な印象です。あんまりやりすぎると、答えの暗記に近づくので、問題と答えの組み合わせを忘れるくらい程々のペース(週2時間くらい?)をおすすめします。

3.2.2 [有料]Udemy講座 by Hemang Doshi先生

"Certified Risk and Information System Control (CRISC-ISACA), CRISC with Hemang Doshi"はおすすめです。
https://www.udemy.com/course/crisc-with-hemang-doshi/

私の場合、公式の練習問題の解説がさっぱり理解できませんでしたので、それを補完するものとして利用しました。練習問題を使いながら、試験のポイントを絞って解説されています。英語ですが、ゆっくりでシンプル。英語の字幕(自動字幕ですが)をつけることもできます。

10時間。2回の模擬試験(150問x2セット)付き。難易度は公式の練習問題よりも易しめです。費用は、6,000円です。無料でもいくつかの動画が見れますので、いくつか視聴されてみてから利用をご検討ください。

3.2.3 公式受験ガイド

とりあえず、試験がどのような形式で行われるかなどの情報が書いてありますので、一読しておきましょう。
なんと、日本語です。

https://www.isaca.org/-/media/files/isacadp/project/isaca/certification/exam-candidate-guides/exam-candidate-guide-continuous-testing-japanese.pdf?la=en&hash=B974E906AF09554A1EDF4D75F5946CDD735CBA38

3.3 MAY(実施しても良い)

3.3.1 公式CRISC受験準備コミュニティ

https://engage.isaca.org/communities/community-home?CommunityKey=321ca14e-8d36-44f2-b3bf-fd396a32ba1c

コミュニティマスターが1日1問出題してくれます。公式問題集の内容に近い印象です。もし公式問題集を利用しない選択をされる方は、ここを覗いてみると良いでしょう。
合格体験記や失敗談なども共有されていて、いろいろな方面から勇気づけられます。日本のコミュニティがないところは残念です。私がやろうかな・・・?

3.3.2 野良問題集

https://vceguide.com/isaca/crisc-certified-in-risk-and-information-systems-control/

600問を超える練習問題が掲載されています。正誤のみしかわかりませんが、腕試しには丁度よいです。
但し、主観ですが、正誤判定に納得できないものもあるので、思考の練習として使うことにとどめたほうが良いと思います。基礎的な考え方が定まっていない状態でこれを利用すると、余計に混乱するだけかと思います。ご注意ください。公式問題集を優先的にやりましょう。

2020年5月時点に作成されている模様。

3.4 MAY NOT(実施しないほうが良い)

やってみたけれども、いまいちだったものをご紹介します。

3.4.1 [有料]Udemy講座の試験問題集

Udemyで"CRISC"と検索すると。怪しい試験問題が1,500円〜8,000円位で売っています。藁にもすがる思いで1つ買ってみましたが、イマイチでした。解説もない問題も多い上に、結構難しい。腕試しであれば、前述した無料の野良問題集で十分です。

https://www.udemy.com/course/isaca-crisc-practice-certification-exams/

3回分(150問x3セット)の問題が入っています。この試験問題では1度も合格水準までいけませんでしたが、本番では合格できました。ただ、本番での答えの選択で悩む感覚はこれと同じか、僅かに本番のほうが易しい感じなので、本番焦らないようにするための精神的訓練にはいいかもしれません。

この問題集は、CRISCの出題形式ではない問題(例えば4つの選択肢から2つを選ぶ)があります。混乱させるだけです。


受験ガイドによると、複数の選択を求めるものは書かれていません。

3.4.2 [有料]CRISC公式レビューマニュアル第6版

日本語で書かれた恐らく唯一のCRISCのテキストです。私も買いました。送料含めると14,000円くらい。メルカリでも5,000円以上で取引されているようです。

https://www.isaca.org/bookstore/crisc-exam-resources/crr6ed

作成された方、本当にすみません。でも、後進のために言わせてください。

まず、文字だけだと意味がさっぱりわからない。初学者には、英語と日本語の対応もわからない。図表も意味不明。公式練習問題でも本番の試験でも、このレビューマニュアル以外の内容がたくさん出題される。コミュニティサイトを見ると、どうやら英語の原本でも内容がいまいちなようで批判的なコメントを度々目にしました。

ただ、一番最初に雰囲気を掴むために30分だけパラパラと日本語としてイメージをざっくり取り入れするためには、言語的なハードルを一つ取り除けるので、その価値はあるかと思います。とはいえ、イメージづくり以上のことを求めてはいけません。熟読は時間の無駄です。レビューマニュアルを読もうとされる方は、恐らく基本的な考え方を学びたいというお気持ちだと思います。そのときは前述したUdemyの動画を見ましょう。

3.4.3 日本語への翻訳

試験は英語ですので、英語のまま理解をすすめるほうが良いと思います。Assessment, Analysis, Evaluation・・・日本語にすると似たような言葉になって曖昧さを感じてしまいます。もう、そのまま英語で理解していきましょう。

3.4.4 非公式コミュニティサイトの利用

Reddit等で検索するといくつか出てきますが、あまり参考になりませんでした。息抜き程度にはよいかもしれません。

3.5 SHOULD NOT(非推奨)

3.5.1 答えの丸暗記

試験は、4択の形式で出題されます。
じゃあ、問題と答えの組み合わせを覚えたらいいかな?という気持ちになるかもしれませんが、それは罠です。出題は、選択肢の中からBESTやFIRST、PRIMARYについて聞かれます。つまり、問題文の前提であったり他の選択肢の並び方によって正答が変わります。

練習問題では、なぜそれが正答なのかというところを起点に、考え方を構築していくようにしましょう。

3.6 MUST NOT(禁止)

3.6.1 不正受験・規律違反

3.7 References

以下のサイトは共感できる部分が多かったです。
https://benpournader.medium.com/how-to-pass-crisc-exam-easily-45d2a9e02235

4. 受験本番

すみません。守秘義務対象(出題問題、選択肢、その他試験に含まれるISACAの情報は共有不可の約束)になるので、どういったものかは省略させてください。公式の練習問題と同じような感じなので、構えなくても大丈夫です。

私の時間配分は以下のような感じでした。

30分で25問解答。
2時間で100問解答。(ここで3分くらい休憩。)
3時間で150問解答。
残り1時間でフラグ40個を見直し。
残り20分でフラグ外をざっと見。(全部は見返せませんでした。)

このような配分になりました。
途中問題が何度か頭に入ってこなくなったり、見たことない英単語で戸惑ったり、はたまたProctorから呼びかけられたり。焦ることはあるかもしれませんが、大丈夫です。通しで問題をやる時間はたっぷりあります。

見直しによって、フラグ付きの問題は半分以上解答を変えたので、時間をおいて見返すのは有効な気がしています。(これが吉とでたか凶とでたかは、神のみぞ知る)

5. Special Contents

5.1 英語に苦手意識のある方へ

大丈夫です。安心してください。

TOEIC600点も行かない私でもなんとかなりました。

学習を始めた初期のころは、単語や出題の言い回し(Which of the following is BEST...みたいな)に馴染めなく苦労をしました。しかし、公式の練習問題や各種の教材での学習を進めれば、自然と読めるようになります。もしも、英語がわからないままであれば、上記の教材の理解が進んでいないということもわかるので、一石二鳥なKPIです。

試験の英語は練習できたけどProctor(試験監督者)との会話は不安という方は、海外のオンラインゲーム等で遊んでみるといいと思います。

  • I would like to have a break.
  • May I use this mouse?
  • Could you resume my exam?

あとは、OK/Yes/Noくらいでしょうか。適当に単語つなげれば、雰囲気で通じます。

5.2 在宅受験に初めて挑戦する方へ

在宅受験は環境が許せば、おすすめです。24時間いつでも受験できます。チャット(英語)でやり取りするProctorの審査は大変厳格ですが、とても親切です。

5.2.1 部屋のこと

  • 机にはPC以外何も置かないほうがよいでしょう。
  • 同じ部屋には他の人がいないようにしましょう。
  • 机から離れたところであれば、荷物はあっても良いようです。
  • カメラ越しに、Proctorが気になったものなどあれば指示があります。

5.2.2 PCのこと

  • 管理者権限を準備しておきましょう。(セキュアブラウザの導入にあたって、プライバシー設定やセキュリティ設定をしなければならないかもしれません。Proctorから指示がありますので、従いましょう。特にmacの場合は、この設定が必要となることが多いようです。)
  • ネットワークが切断されたときにすぐに復帰できるように、受験用のURLはブックマークに登録しておきましょう。
  • macで標準でついている翻訳機能は使えません。(無意識に試そうとしましたが、起動しませんでした)
  • サブディスプレイは使えなかったと思います。

5.2.3 休憩のこと

  • Proctorに申し出ることで、2回休憩を取ることができます(時計は止まりません)。
    • 復帰したいときは、Proctorに声をかければ再開できます。
  • 休憩中は、トイレに行ったり飲み物を飲んだりできます。(その姿を写す必要はありません)

5.2.4 受験の流れ

ISACAの公式ガイドの通りです。

  1. スケジュールした30分前から、セキュアブラウザのインストールとセッションが開始できるようになります。どんなに遅くても15分前にはセッション開始できるようにしましょう。多少時間に遅れても4時間正確に貰えるそうですが、早く準備することに越したことはありません。
  2. ID確認があります。パスポートを準備しておきましょう(申込者名のアルファベットが一致しているもの)
  3. 部屋の確認があります。
  4. Proctorとマッチングされます。改めて、Proctorから部屋や身につけているもの確認を求められます。
  5. 試験で使うシステムのチュートリアル問題をやります。(受験問題とは関係ありません)
  6. 本試験(4時間150問)です。好きなタイミングで開始できます。深呼吸しましょう。
    • いつでも終了できます。
    • フラグやコメントをつける事ができます。
    • 好きなタイミングで戻って回答を見直したり変更したりできます。
  7. 本試験後、数問のアンケート(CRISCやテストセンターに関するもの)があります。
  8. 試験結果(試験名称、時刻、合否結果等)が表示されます。スコアは表示されません。
  9. Proctorから以上で終わりである旨と、正式なスコアレポートは後日メールでお知らせする伝えられ、セッションが切れます。

5.3 一通り学習を終えたが不安な方へ

受験を振り返ってみて、ISACA公式が言うように4ドメインの中の苦手分野を重点的に手を打つというやり方が良いように思います。上述した公式の練習問題のサイトを使うことで、自動的にReadySCOREが表示されるのでそれを参考にすると良いでしょう。ちなみに私は、苦手分野だった以下について重点的に学習しました。

  • Domain 1 (Identify)
    • ERM (Enterprise Risk Management) の目的や構成
    • Risk ownerの特定(BusinessかITか、もっと適切ななにかか)
    • Risk register
  • Domain 2 (Assesment)
    • BIA (Business Impact Analysis) と DRP/BCP/RTO
    • Risk analysis (Risk rank and priority)
  • Domain 4 (Monitorting)
    • KPI/KRI/KCI(意味や定義などを、試験問題だけでなくISACAの公式文書や用語集を読む)

公式の練習問題や野良の問題集は本番に出題されるか気になると思いますが、他の体験記でも紹介されている通りで、そのままの問題は殆ど出ないと思ったほうが良いです。問題の7割程度は、公式の練習問題で基本的な考え方が学べていれば、悩みつつも妥当な答えを見つけられそうな感じです。そのうち数問は練習問題のイメージをそのまま使うことができて、即答も可能なものもあります。他方、残りの3割は、考え方そのものも、何を応用したらよいのかわからないようなものに遭遇します。普段の業務を思い浮かべながら、Risk Practitionerならどう行動するかを考えて答えるような感じでした。

6. まとめにかえて

受験について悩んでいるときに背中を押してくれ、ときには前向きなプレッシャーを与えてくれる刺激ある仲間に感謝いたします。ISACAのCRISC試験がなければ、私はリスク管理の体系知識や思考法を手探りで学習することになっていたことでしょう。また、英語の苦手意識を若干払拭することができた点も嬉しいことです。

リスクという言葉は適切な日本語がないと言われています。しかし、リスクを適切に管理することは、すべてのことにおいて切り離せません。まずは正しい概念を掴み、向き合うことが大切だと考えています。少しでも良い意思決定を一緒にしていけるように、これからはこの専門性を発揮していきたいと思います。

もし受験や学習を考えておられる方がいらっしゃいましたら、お気軽にコメントをください。

引き続きよろしくお願いいたします。

2021年3月5日

Discussion