独学で CISA 受験した話
はじめに
2022/7/8にCISA 試験を受験し、暫定合格。記事を書いている時点で未認定。それまでの過程や勉強法についてメモを残す。(2022年7月時点の情報で記載)
スコアレポートは通知され次第改めてup する。
About CISA
■CISA (Certified Information Systems Auditor)とは?
CISAは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして当協会が認定する国際資格で、日本語では「公認情報システム監査人」と称します。
■資格の権威、特徴は?
情報システム監査およびコントロールの専門家資格としては最も長い歴史を持ち、かつ最も国際的に普及している資格です。情報システム監査に関わる専門家自身による団体が認定しているもので、いわゆる「国家資格」ではありませんが、欧米の企業社会では広く認知されています。また、認定後の維持条件が厳しいことが「専門能力を常にアップデイトしている」証明として受け止められ、名前だけではない実践的資格として評価を受けています。
認定を得るためには試験に合格し、ドメインに関連する業務経験を証明する必要がある。
試験形式
| 項目 | 内容 |
|---|---|
| 受験時間 | 4時間 |
| 問題数 | 150 |
| 問題形式 | 選択式 |
| 合格点数 | 200点から800点までのスケールドスコアにおいて450点以上 |
問題は5つのドメインから出題される。
| ドメイン(2019年更新版) | 出題比率 |
|---|---|
| 1. 情報システム監査のプロセス | 21% |
| 2. ITガバナンスとITマネジメント | 17% |
| 3. 情報システムの調達、開発、導入 | 12% |
| 4. 情報システムの運用とビジネスレジリエンス | 23% |
| 5. 情報資産の保護 | 27% |
About me
スペック
文系卒、第二新卒で食品営業からエンジニアへジョブチェンジ。今はセキュリティサービスのテクニカルサポート4年目。
- アプリケーションとかコンテナ、ストレージ、IDS、IPS、エンドポイント、認証/認可、暗号関連などセキュリティサービスを薄く広く触ってきた
- CSPM やRASP、IaC といった新しめの技術も舐めた
- マネジメント経験なし
- プログラミングは申し訳程度のPython とPHP(C 勉強中)
- CTF で運営側に回ったこと2回、解く側はよわよわ
- 持っているセキュリティ関連資格
- Associate CCSP Certification
- Associate CISSP Certification
- CISM
- CompTIA Security+
- CompTIA CySA
- 情報処理安全確保支援士試験合格(未登録)
受験のきっかけ
- CISM からの流れ。
- 監査人側の視点を学ぶため。(監査されたことしかない)
- プロフに C~って資格を並べている人がどれくらい努力したのか確認するため。
合格までのスケジュール
問題集を入手してから約1カ月で受験をした。合計30時間ぐらいの勉強時間だと思われる。
5月31日 CISM 受験。CISA 問題集購入。
6月6日 問題集が届く。試験予約。
7月1日 問題集1週目
| ドメイン | 正解率 |
|---|---|
| 1 | 70% |
| 2 | 69% |
| 3 | 56% |
| 4 | 61% |
| 5 | 66% |
7月6日 問題集2週目
| ドメイン | 正解率 |
|---|---|
| 1 | 87% |
| 2 | 85% |
| 3 | 80% |
| 4 | 83% |
| 5 | 89% |
7月8日 自宅でオンライン受験。
学習に使用したリソース
1. CISA サンプル試験問題回答解説 第12版
- ISACA 公式の問題集
- 1000問ほどの練習問題
- 間違えた問題/正解したが根拠をもって回答できなかった問題は解説を読んだ
- ISACA メンバーの特典で送料無料
2. CISA Terminology Lists
- 公式の用語集
- 問題集で意味が分からない日本語が登場した場合に、対応する英語を調べるのに使用
3. 受験記
1カ月あれば受かりそうだとスケジュール感を参考にした。ちなみに、日本語ではCISM -> CISA と受けた受験記は見当たらなかった。
試験
受験場所
- 自宅オンライン受験(テストセンターは平日の日中帯しか予約できなそうだったのでやめた)
当日
- 試験官は外国の方
- チャットで簡単な英語のやり取り有り
- 身分証明書はパスポートを使用
- 試験前にWeb カメラで部屋やデスク表裏を確認
- 10分の休憩を2回まで取得できる(戻る際は再度身分証明書を提示)
- 休憩から戻るボタンを押してもブラウザが反応しなかった。連打したら2回目の休憩を取ったことになり大焦り。トイレに行けないプレッシャーに耐えながら残りの問題を解いていった。
- 使わないサブモニターには布を被せるように指示あり
- 見直しを含めて150分ほどで完了し、アンケート完了後に暫定合格した旨を確認
所感
- 個人的な他試験との難易度比較: CISSP > CCSP > CISA > CISM > 情報処理安全確保支援士 > CompTIA CySA+ > CompTIA Security+
- 問題集の問題が試験にでるわけではないので、問題集を100%正解まで回すこと(答えを暗記)を目指す必要はない。
- ISACA が定義する監査人のあるべき姿を理解するために様々なシナリオで練習するというイメージで学習した。自分の中に監査人のペルソナを作り、練習問題を解く中で経験値を貯めてLv UP させていくイメージ。
- いつでも受験できる試験は最初に予約してしまったほうがよい。観測すると、どんどん先延ばしにして逃げている人がいる。
まとめ
- CISM に受かっていたら+1カ月分くらいの学習でCISA に合格できた。
- CISA の学習を通して、監査人の知識を体系的に学ぶことができた。
これからCISA を受験しようと思っている方の参考になったら幸いです。「この情報が聞きたい!」というものがあれば、追記するのでコメントください。
Discussion