Zenn
🐗

独学でCISM を受験した話

2022/06/02に公開
2
Security
資格
cism
idea

はじめに

2022/5/31にCISM 試験を受験し、暫定合格。記事を書いている時点で未認定。CISM については日本語の情報が少ないのでそれまでの過程や勉強法についてメモを残す。(2022年6月時点の情報で記載)

About CISM

■CISM(Certified Information Security Manager)とは?
CISMは、情報セキュリティの国際的資格であり、日本語名称を『公認情報セキュリティマネージャー』と呼称します。ISACA(情報システムコントロール協会)により、2002年に資格制度が創設され、2003年度より試験が開始されました。

■資格の権威、特徴は?
CISMは、マネージメントレベルの情報セキュリティの国際的資格です。 ISACAは、CISM資格創設に当り、以下の観点を考慮しています。
・情報セキュリティマネージャーに特化した資格として設計
・情報セキュリティマネージャーの実際の業務分析を元にした、基準と試験問題を開発
・資格認定の前提として、情報セキュリティマネージメントとしての経験も必要

https://www.isaca.gr.jp/cism/

認定を得るためには試験に合格し、セキュリティ関連の業務経験を証明する必要がある。

試験形式

項目 内容
受験時間 4時間
問題数 150
問題形式 選択式
合格点数 200点から800点までのスケールドスコアにおいて450点以上

問題は4つのドメインから出題される。

ドメイン(2022年6月1日更新版) 出題比率
1. 情報セキュリティガバナンス 17%
2. 情報リスクの管理 20%
3. 情報セキュリティプログラムの開発と管理 33%
4. 情報セキュリティのインシデントの管理 30%

About me

スペック

テクニカルサポート4年目。

  • アプリケーションとかコンテナ、ストレージ、IDS、IPS、エンドポイント、認証/認可、暗号、IAM などセキュリティサービスを薄く広く触ってきた
  • CTF で運営側に回ったこと2回、解く側はよわよわ
  • 持っているセキュリティ関連資格
    • 情報セキュリティマネジメント
    • CompTIA Security+
    • CompTIA CySA
    • AWS Certified Security - Specialty
    • Associate CISSP Certification
    • Associate CCSP Certification

受験のきっかけ

  1. CISSP/CCSP からの流れ。
  2. 6月のドメイン更新が迫っていた。

合格までのスケジュール

約1か月。
4月17日: 情報処理安全確保支援士試験を受験。帰りの電車でISACA 会員になり、問題集を購入。
4月27日 問題集が届く。試験予約。
5月12日 テキスト1週目: 正解率68%
5月22日 問題集2週目: 正解率86%
5月29日 問題集3週目: 正解率96%、以後苦手な分野だけ復習
5月31日 本番受験

学習に使用したリソース

1. サンプル試験問題回答解説 第9版

  • ISACA 公式の問題集
  • 1000問ほどの練習問題
  • 実質この問題集でしか勉強していない
  • 6月のドメイン更新に対応した第10版が販売されている(日本語版なし)

https://store.isaca.org/s/#/store/browse/detail/a2S4w000004OQDTEA4

2. CISM Certified Information Security Manager Practice Exams 1st Edition

  • 会社からサブスクをもらっている O’Reilly Online Learning で無料で読めた
  • 30問ほど問題を解いて「これいらんわ」となった
  • わざわざ購入は不要

https://www.amazon.com/Certified-Information-Security-Manager-Practice/dp/1260456110

3. 受験記

読んで問題集だけで合格できると確信。みんなCISA -> CISM と取得していた。いきなりCISM 受ける人は少ないのかな...?

試験

受験場所

  • 自宅オンライン受験(テストセンターは平日の日中帯しか予約できなそうだったのでやめた)

当日

  • 試験官は外国の方
  • チャットで簡単な英語のやり取り有り
  • 身分証明書はパスポートを使用
  • 試験前にWeb カメラで部屋やデスク表裏を確認
  • 10分の休憩を2回まで取得できる(戻る際は再度身分証明書を提示)
  • 使わないサブモニターには布を被せるように指示あり
  • 120分ほどで完了し、アンケート完了後に暫定合格した旨を確認

スコアレポート

受験から10営業日ほどでスコアレポートのメールを受領。520点でpass していた。

ドメインごとの得点をみるとガバナンスが弱点だとわかったので、次に受ける CISA では重点的に学習する必要がありそうだ。

SCALED SCORES BY CONTENT AREA:

Name Score
Information Security Governance 433
Information Risk Management and Compliance 543
Information Security Program Development and Management 598
Information Security Incident Management 512

所感

  • 個人的な他試験との難易度比較: CISSP > CCSP > CISM > 情報処理安全確保支援士 > CompTIA CySA+ > CompTIA Security+
  • クラウドやMDM といったキーワードは問題集では少なかったが、概念的なものは受験前に抑えたほうがよい(試験も進化している)。
  • 資格は最初に予約するのがコツ。

まとめ

  • CISSP に受かっていたら+1カ月分くらいの学習で受かった。
  • ベンダーニュートラルなセキュリティマネジメントの知識を体系的に学ぶことができた。

これからCISM を受験しようと思っている方の参考になったら幸いです。

Discussion

YohKmbYohKmb

しばらくセキュリティエンジニアから離れ、CISSP の維持放棄してたので、取り直すかCISM とるか考えてました。

CISSP 取得経験者なら結構ラクなんですね!
ISACA の問題集ループしてみます。

d55416d55416

CISMが1か月で取得できるレベルなんじゃなくて、この方の頭がいいんだなとCISMを勉強して分かりました。