セキュリティ資格 CISAを研修なしで取得!

セキュリティ

皆様、情報セキュリティの資格と聞いて何を思い浮かべますか?

日本国内のセキュリティ資格だと「情報処理安全確保支援士(旧セキュリティスペシャリスト)」が一番有名ではないかと思います。

海外の資格だと有名どころとしては「CISSP」や「シスコの資格(CCNA Security、CCNP Security)」等たくさんありますね。

 

私自身が2018年3月にCISAの試験を受験して無事合格しましたので、
勉強方法などをメモとして記載します。

CISA(Certified Information Systems Auditor)とは?

CISAの元締めである、ISACAの東京支部より引用すると

CISAとはCISAは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして当協会が認定する国際資格で、日本語では「公認情報システム監査人」と称します。

となっています。

 

もしかすると、CISAという名前より「公認情報システム監査人」の方が馴染みがある人もいるかもしれませんね。(それはないか・・・

 

上記説明にもあるように、「国際資格」となっており、国内だけではなく海外でも通じる資格とのことです。(私は海外で仕事する気は現在はありませんが)

勉強方法

さて、勉強方法ですが、以下のテキストを繰り返し読み込んだだけです。
CISA®試験サンプル問題&解答・解説集 第11版

読み込んだだけとは言いましたが、500ページを超えるテキストです。
ちゃんと一回読むだけでもかなりの時間がかかります。

流し読みでは頭に入ってきません。

それに日本語訳が微妙で処々気になることもありますが、
私のような英語が苦手な人にはとても助かる参考書です。

試験を受ける方はぜひ購入して勉強しましょう!

ちなみに私の場合は社内に直近で受験されて合格した人がいたのでその人から譲ってもらいました!
本当にありがとうございます!120ドル浮いたのは本当に助かりました。

また、暗号やNWの知識が多少必要になる問題もあります。
せっかく試験の受けるのであれば一緒に知識として取り入れたほうがいいと思います。

私の場合は仕事の関係上、暗号やNWの知識は多少あったので、そこについては特に苦労はしませんでした。

あとはCISAとしての考え方を日頃の業務内でも、常に考えるようにしていました。
例えば、SQLi対策の漏れがあった場合は、プログラマの作成したのもに対してのチェックが不十分なのかな?
もしくはチェックが行われていないのかな?とか
ログの取得期間が短い場合は、ちゃんと必要なログがどれかと、保存場所等が管理されていないんだろうなぁとか
色々考えながら仕事をすることで、試験の準備をしていました。

試験当日

試験を受ける時期を完全に間違えていて、この業界(IT業界だけではないと思いますが)は
3月はものすごく忙しい時期です。

実際にその前の週の土曜日は休日出勤で仕事してました・・・

試験当日については前日までの疲れからか、午後から試験だったのですが、
テキストを読む気力もなく、半ばあきらめ状態で受けたのですが、
日頃からのおかげかスムーズに回答することができました。

結果は以下のとおり、合格することができました!

CISA試験結果
Your Total Scaled Score : 518
The Process of Auditing Information Systems: 541
Governance and Management of IT: 433
Information Systems Acquisition, Development and Implementation: 511
Information Systems Operations, Maintenance and Service Management: 534
Protection of Information Assets: 557

赤字が全部での平均です。その下が内訳になっています。

「Governance and Management of IT」が少し低いので、そこは今後の課題ですね。

確かにマネジメント系は苦手かもしれない・・・

合格後の申請

試験に合格後は10日後くらいに、合格通知のメールが届きます。
合否は当日にわかるのですが、やっぱりちゃんとメールでの正式な合格通知が来るまでは不安いっぱいです。

合格メールが来てすぐに上司に認定申請の書類を書いてもらいました。
資格の申請には5年以上の業務経験が必要で、それ以下の場合は、大学の卒業証明書等で
足りない分の経験を代替えできたりします。

それでも業務経験は4年以上は必要かと思います。

私の場合はちょうど3月で経験期間が7年でしたので、卒業証明書等の送付等も必要なく、
合格通知がきたその日にすぐに記載してもらいメールで送信しました。

参考書をもらった人は証明書が必要で卒業証明書等の準備が大変そうでしたね。

そしてその日から、2週間後くらいに申請が受理されまして、
さらにそれから一か月程度たって証明書が届きます。

この合格通知が来たのは試験受けてから、約1か月半かかりました。

 

資格取得後

さて、これでCISAは取れたんで終わり!と行きたいところなんですが、
今後は毎年CPEというポイントを1年で最低20ポイント、3年合計で120ポイント取得しなければ資格は維持できません。

なので、まだまだ苦労は続きます。
CPEの取得方法についても判明したら記事に載せていきたいと思います。

次の資格としてCISSPを狙っていますが、日本語の参考書がほとんどないため、悪戦苦闘中です。

6月半ばにNTTD出版より、CISSPの新しいドメインに対応した日本語の参考書が
発売されるみたいなので、そちらを買って勉強したいと考えてます。

2018/7/5追記

6月半ばに発売の予定だったんですが、なんだかんだ8月になるっぽいですね。
既に試験を7月末に申し込んだ私としては悲しいですが、できることをやるしかないですね・・・

2018/7/31追記

ついに普通に買えるようになりましたね。

在庫切れ等あるみたいですが、年末ごろに試験を受ける予定で購入して勉強したいと思います。

2018/10/1追記

電子書籍でも購入できるようになったみたいです。CISSPを目指してる皆さん!チャンスです!

不明点や聞きたいことがありましたらコメントやツイッター等でご連絡頂けると助かります。

コメント