CISAの勉強

study

GWから始めたCISA(公認情報システム監査人)の資格取得に向けたお勉強に関して。証券アナリストと同じく、この"CISA"というキーワードで辿って、本ブログに来る人も少なくないため、「さては自分と同じようにどう対策したらいいのか困ってんな」という同情の念から、僕自身がどう勉強しているのか公開してみる。というわけで、この資格に興味ない人にとっては全くもって意味のないエントリなのでご了承を。

申込み

まず、2月にISACA会員&CISA試験(6月)の申込みを早期割引期限ギリギリでする。受験料は$310、会費は僕の場合学生ということで$25で済む。しかし、このStudent Membershipの承認を得るために、ISACAの本部とメールとファックスで何度もやり合う。これで一ヶ月以上使ってしまう。会員になってから、以下のテキストを購入。

  • 2007年 CISA レビューマニュアル
  • 2006年 CISA 試験サンプル問題&解答・解説集(625問)
  • 2007年 CISA 試験サンプル問題&解答・解説集(追加)(100問)

配送料も含めて、以上3冊で約$280。送られてきたものは、どう見てもそんなコストが掛かっているとは思えない代物だったが、これしか勉強する手段はないので仕方ない。以上、試験を受けるまでに、合計7万円以上掛かっているわけである。

勉強方法の下調べ

で、証アナ一次の試験が終わった後のGWから勉強を始める。しかし、どうやって勉強するのが効率的か全く分からないので、ネットで調べてみる。検索で引っかかる情報で、参考にしたのは以下の二つ。

セキュリティコンサルタントのお気楽Blog: CISA/CISM受験対策情報


2007年6月度CISA試験受験者説明会
にあるPDFファイルのオリックス監査部の人の体験談

とまあ、寂しいことにこれくらいしか有用そうな情報はないのである(ここにも受験記があるが、勉強方法に関しては触れてないので参考にならない)。なので、実際CISA保有している人に聞いてみることにしたのが、返ってきた返事がどうも意味不明で噛み合ってない。よくよく考えてみるとその人が受けたときと今回では大きく出題範囲が改定されているわけで。

ドメイン1. 情報システム監査のプロセス (10%、20問)
ドメイン2. ITガバナンス (15%、30問)
ドメイン3. システムとインフラストラクチャのライフサイクル管理(16%、32問)
ドメイン4. ITサービスの提供と支援  (14%、28問)
ドメイン5. 情報資産の保護  (31%、62問)
ドメイン6. 災害復旧と業務継続 (14%、28問)
CISA 試験:出題の分野:(2006年度より大幅改定されました)

実際の勉強方法

というわけで、正攻法で行く。僕の場合、レビューマニュアルを先に目を通す。一回目はざっと全体を流す程度、二回目はポイントとなるところに線を引きながら。内容は掴めているのだが、翻訳された文章の解読に苦労する。そのまま英語でいいのに。各章末の練習問題はドメイン1、2は不得意で、後ろのドメインになるにつれ正解率が上がる。まあ、監査業務に実際携わったことがないのだから当然か。で、問題集はこれから解き始めるところ。全体の予定としては:

  • レビューマニュアルは3回程度読む
  • 問題集も同じく3回程度解く
  • 時間が余れば問題集の間違い易いところを集中的に解く
  • さらに時間があればCOBIT 4.0などを読むかも
  • 勉強時間は計100時間程度を予定、期間は1ヵ月と10日

といったところだ。既に試験まで一ヵ月を切っており、以上の内容で受かるかどうかはさっぱり分からない。理想を言えば150時間は勉強したほうがよさそうだが、他もあるのでCISAだけにコミットするわけにはいかない。因みに、僕の場合、セキュリティやコンプライアンスに関わるソフトウェアやソリューションを、事業開発の立場で4、5年ほど担当してきており、そこで得たものが前提知識となる。

なぜCISAか?

最後に、なぜCISAの資格を取ろうとするのかについて。僕の場合は理由がいくつかあって、1. 前職でやってきた分野を資格という形で裏付けるもので一番近いのがCISAであった、2. 現在学生生活を送っているので、時間があるうちに取れるものは取っておこうと思った、3. もしかしたら卒業後IT戦略やらITガバナンスやらを考える職についている可能性がある、4. SOXやら内部統制やらの需要は今後5年はあってCISAはより注目されると予測している、5. 単純にこの分野に引き続き興味がある、といったところだろうか。まあ、この手の資格は取ったところでどうってことはない。他人への説明コストの削減なのである。


内部統制やらコンプライアンスって言葉が流行っている昨今、よく分かってない人達が声高々に風潮して、より大きな混乱をもたらす。これは世の常で仕方ないことなのだが、この分野に真面目に関わる人は、知ったかぶりの輩と明確な一線を画すために、CISAを持っておくってのも悪くないと思う。資格認定のためには、情報システム監査、コントロール(管理)、セキュリティ分野、いずれかにおける5年以上の実務経験を要求しているので、昨日今日覚えました的な人には、残念ながらすぐに取得できないしね。


追記:参考エントリ