CISAの試験

study

先週の土曜日にCISA(公認情報システム監査人)の試験があった。前にも書いたようにネット上にあまりに情報が少ないので、CISAの勉強、試験対策に関して完全なる主観でtipsをつらつらと書いてみる。(僕個人の体験、考えなので受験者の方にとって一部は参考になるかと思うけど、全てを自身のケースに当てはめたり信じたりしないで下さい。)

勉強について

  • 勉強方法はこの通りに進めたが、予想通り予定より時間は取れなかった。今計算してみたら、計80時間程度しか勉強できなかった。2周目まではしっかりやったが、レビューマニュアルと問題集の3回目はさらっとポイントだけ流す程度だった。
  • 問題集計725問のおおよその正答率は、1回目55% → 2回目70% → 3回目80%超 という感じだった(3回目は予想)。
  • 当日のテストは、4時間ぶっ続けなので、集中力やストレスに対する耐性を養うようにしたほうがいい。具体的に僕のやり方を言うと、1時間半程度集中して問題を解いて、10分休み、これを3回連続して繰り返すというような訓練をした。なかなか連続した勉強時間を取れない社会人の方も、是非休みの日を利用して取り組んで欲しい。
  • 問題集は最低3回は通しでやるべきと思う。2回目は正答率は当然上がるんだけど、続けて間違える問題もあるし、一回目に正解だった素直な問題を今度は深読みしすぎて間違えるケースもある。だから最低3回。
  • 得意・不得意の分野はなるべく早めに把握しておいたほうが、学習効率は高い。僕の場合、セキュリティと一口に言っても、アクセス管理や暗号化の分野は前職でそれなりにやってきたので得意だったが、ネットワークやDBに関するセキュリティ問題は苦労した。
  • 問題文とその選択肢は、2度は目を通して何を問われているのか深読みすべき。どんなに読解能力がある人でも一度読むだけでは理解が不十分だと思う。
  • 上記の理由として、選択肢は全部正解のケースが良くあるから。問われているのは、「最も〜〜なもの」である。例えば〜〜には、「プライオリティの高い」、「早く着手すべき」、「包括的な」、「重大な」などが入る。問題文と各選択肢をよく比較して判断する必要がある。
  • 知識も重要だが、なんだかんだ言って国語力(読解力)が凄い重要。
  • 全体のうち5%くらいの問題は、解説やレビューマニュアルを見ても、逆立ちしても、理解に苦しむ回答がある。それが、他の問題の回答と矛盾しているようにも思える。が、あまりこだわらずにそういうもんだと諦めましょう。
  • COBIT 4.0及びIT Control Objectives for SOXも読むべきかについては、余裕があるなら一度は目を通しておいたほうがいいかもしれない。僕の場合は前者だけ読んだ(けど効果があったかは疑問)。まあ、CISAを目指す人なら、ここらへんのエッセンスは試験に直接関係なくても遅かれ早かれ抑えておくのが当然だと思う。

試験について

  • 前日の睡眠は超重要。朝早いし。悪あがきはやめてしっかり寝ましょう。
  • 試験前に食事と水分はしっかり取りましょう。
  • 試験会場が(大阪会場は)分かりづらかったり、受付に時間が掛かったりするので、なるべく早めに行くようにしましょう。
  • 試験中は、とにかく集中、集中、集中。でも最初から飛ばして行くと中盤以降息切れして集中力が低下する。どうせ時間は余るので、だらだらと集中を維持しながらやるのが肝。
  • 途中離席は試験官の人に申告すれば、オッケー。これはCISAホルダーの知人からの事前アドバイスだったんだけど、途中1、2回離席してベンチでボーっとしたり、飲み物を口にしたり(試験会場内は飲食禁止)、ちょっと散歩したりして気分転換を図ったほうがその後の効率はいい。飲み物はアミノバリューなどアミノ酸が沢山入っているスポーツドリンクが頭の回転を良くしている気がする。ただ、あまり多く席を立つのは周りの人に失礼だし、試験官も大変なのでそこは気を使うべき。
  • 日本語訳が変で理解しづらいと言う話がいろいろなところから聞こえてくるが、今回の試験を受けてみて僕はそうは思わなかった。訳の品質は徐々に改善されていっている模様。
  • 問題集と全く同じ問題は一つも出なかったように思える。但し似たような問題は沢山出てくる。つまりは、問題集をただ機械的に解いていては駄目で、やはりベースを理解していなければ、本番での対応は難しいと思う。
  • 見直しをしないでさっさと試験途中に帰ってしまう人がいるが、個人的には言語道断だと思う。あの過酷な環境から早く逃げ出したい気持ちは分かるんだけど、怪しい箇所はチェックしておいて後で必ず見直すべき。200問もあると結構ケアレスミスをしている。僕の場合は、全問終わって20分ほど寝て、それから見直ししたんだけど、それによって修正が効いた箇所が幾つかあった。

以上、思いつくところを羅列しただけなので、見にくいとは思うけど、何らかの助けになればと。やはり基本はいかにして長丁場(4時間)を乗り切るかだと思うので、事前にしっかりシミュレーションしておきましょう。その準備がないのは、例えるなら中距離ランナーがぶっつけ本番でマラソン大会に出て42.195km走るようなもんだと思う。で、途中の給水は重要。それから、「5年以上の実務経験が必要」っていう要件は形式的なものでなく、レビューマニュアルですら完全網羅ではない(気がする)ので、この分野でそれくらいの経験と分別がないと判断つかない問題が多い。

で、僕自身が受かっているかどうかはかなり微妙。保守的に見て6割くらいの回答率かな。CISAガイドラインには「採点は200点から800点の間のスケールド(共通比率による)スコアで、450点以上が合格」とあるが、じゃあ4割2分で合格かっていうとそうじゃないと思えるし。まあ感覚としては合否は五分五分って感じ。結果は8週間後に通知されるということだが、合否報告はちゃんとここでします。

あと、CISAの勉強をしてきたことで個人的に良かったことを述べると、会計監査だろうが、業務監査だろうが、情報システム監査だろうが基本となるエッセンスは皆一緒だということ。ビジネススクール「企業倫理とコンプライアンス」の授業での理解力も高まったと自覚している。


追記:参考エントリ