目次
公開日:2021年10月18日
更新日:2022年3月8日
コロナ禍の在宅勤務期間を利用し、公認情報システムリスク管理者(Certified in Risk and Information Systems Control, CRISC)という資格試験に合格した。受験前に多くの記事を参考にしたので、今後の参考にしてもらえるようまとめておきます。
なおCISA・CISMの記事と対応しています。
CISA(公認情報システム監査人)に独学で合格!資格試験対策難易度
CISM(公認情報セキュリティマネージャー)に独学で合格!資格試験対策難易度
CRISCとは
色々なところに書かれていますが、ISACA日本支部公式から引用します。
CRISC
■CRISC(Certified in Risk and Information Systems Control)とは?
これからのITプロフェッショナルはリスクマネジメントのノウハウに精通し、企業戦略策定上の重要なパートナーとして積極的な姿勢で問題解決に参画していくことが望まれます。このような責務を担っていく専門家の能力を認定するため、2010年にISACAでは前例のない新しいタイプの資格を創設しました。それがCRISC(Certified in Risk and Information Systems Control)です。 ”シーリスク”と発音します。日本語では「公認情報システムリスク管理者」と称します。
■資格の権威、特徴は?
ITガバナンスに関わる専門家団体として国際的に認知されているISACAの資格ですので、CRISCを保有することにより、ITリスクマネジメントとコントロールに関しての専門知識や実務経験を効果的にアピールできます。ISACAの他の資格と同様に、CRISC資格保有者は所定の継続教育プログラムに参加していくことを求められます。ISACAの資格を保持しているということは、専門的能力をつねに最新の状態に保っていることの証しでもあり、資格保有者の専門的優位性向上に大いに役立ちます。
また、ISACAの会員となることで、世界中のメンバーがつくるネットワークにアクセスできます。先進的な話題の取得、日々の問題解決につながるヒントを得る機会にもつながり、専門家コミュニティに所属することのメリットも享受できます。
■CRISC資格がフォーカスしているのは?
CRISCは、組織におけるリスクマネジメント(リスク認識・評価)や情報システムコントロールの設計・導入・運用に携わる専門家を対象としています。具体的には:
・ITプロフェッショナル(情報システム分析・開発・管理)
・リスクマネジメント
・内部統制
・ビジネス分析
・コンプライアンスなどに携わる方々に取得をお考えいただきたい資格です。
システムセキュリティ分野においての国際的に認知されている資格です。
The 10 Highest-Paying IT Certifications for 2020では3位。
バックグラウンド
CRISC試験の受験に関係しそうな資格・経歴・経験を列挙します。
関係しそうな背景・資格
- Ph.D. 量子物理学 ケンブリッジ大学
- 工学修士・学士(応用物理学・情報工学) 慶應義塾大学
- CEH (Certified Ethical Hacker, 認定ホワイトハッカー)
- CISA (Certified Information Systems Auditor, 公認情報システム監査人)
- CISM (Certified Information Security Auditor, 公認情報セキュリティマネージャー)
- CISSP (Certified Information Systems Security Professional, 認定情報システムセキュリティプロフェッショナル)
- PMP (Project Management Professional, プロジェクトマネジメントプロフェッショナル)
- CAMS (Certified Anti-Money Laundering Specialist 公認アンチマネーロンダリングスペシャリスト)
物理学・情報工学系で修士号と博士号、セキュリティ一般やガバナンス、監査やセキュリティに関する別の資格を保有しているため、科学的な情報理論やセキュリティにおける監査・マネジメント方面にはある程度は前提知識がありました。
関係しそうな経験・経歴
監査・セキュリティ関係の経験など。
- 外資系コンサルティングファーム勤務(リスク・マネロン・セキュリティ・監査・分野)
- ウェブサイト・ドメイン、サーバーの運営や基本的なサイバー攻撃対策の設定の経験も含めると約5年+。
- プログラミング経験数年。受託など含め、開発したサービスは商用利用されている。
- 国際的大型案件でセキュリティ演習に参画。
- プログラムやセキュリティはある程度はコードや運用の経験がある状態であった。
段々と関係している取得している資格と経験が増えるにつけ、バックグラウンドが、「普通の素人の受験者」にしては強すぎる感じが否めなくなってきていて少々「試験対策のエントリー」としてはどうなのだろうか?という感じになってきてしまっています。
英語
英語は実務に支障がないレベルにあります。
なおTOEICの点数はありません。海外と日本の就職活動の歴然とした差を実感。海外大博士から見た就職活動
登録
CISA・CISM同様に、ISACAページから申し込み。特に目新しいことはなく情報を入力し、試験会場を予約。試験オンライン受験。
対策
対策はISACAのCISA・CISM同様に、マニュアルを取り組んだ。
CRISCは日本語対応ではないので英語で勉強し英語で受験しました。選べる言語は英語・スペイン語・中国語のみ。
問題集は1冊のみ。CRISC Sample Questions公式問題集。(公式ページから購入できますが、ログインできないとページにたどり着けないので画像で代用)。赤CISA・緑CISMでCRISCは黄色。もはや信号柄である。
なお検索すると例によって、過去問と思われる問題もヒットするが、答えが参考にならない(明らかに間違えている)ために見るのをやめてしまった。
またも、問題集も同じ内容でも答えが違う?と思われる部分が多く困惑することもあった。(頼れる問題集が1冊しかないのに…。)
他の方の意見を参考にしようにも、少なくとも日本語で書かれた合格体験記が見当たらない。機械翻訳と思われる日本語があれなスパムサイトしかヒットしない。
日本語版の体験記がないので、とりあえずこの合格体験記を書くための比較として英語で検索してみた。
CISM同様に、CRISCに合格している人は、CISAに既に合格している方が多いようである。個人的にもまず、CISAを受かってから、さらに周辺の経験を積んだのちにCRISCを受けるのが良さそうである。
CRISC Certification Exam – Everything You Need to Know
試験
試験はCISA・CISM同様4時間で150問。合格ラインはスケールで450/800。さらにこのスケールは平均ではないようなので何点取ればいいかもわからない。
元々日本語で受けて意味不明な日本語で痛い目に遭った後に「国際資格は英語で受けるべき」と考えていた私にとってはあまり関係のない話であったが、CISA, CISMと異なり、CRISCは日本語版の試験が存在しないので英語かスペイン語か中国語辺りで受験することになる。
試験自体では、多くの方々が書かれているように全く同じ問題はほぼかった印象だが、結構教科書に似ている印象であった。
ただ確信が持てないために後で見るためのフラッグが30近く立っていた。提出ボタンを押すのが相当に緊張した。
一回目は447点で不合格となった。もはや何が悪いのかすらわからない。
結果先としてしばらくたってから、再度CRISCを受験し合格。
これはもう対策方法を書くのが難しい。447点で落ちてから、正直成長した感はなかった。
Risk PractitionerやRisk Registerに関する関係性を中心に学習した。
例によって結果は画面の中の説明で一か所PASSEDと書いてあるだけのあっけない方式。疲弊しているし、気を付けないと見逃しそうである。(感想がCISA, CISMと同じである。気分的にも同じであった。)
結局に再受験なだけあって、高めなスコアであった。580点くらいで上位5%のような記述があったと思われます。(検索しても出なかった)
個人的な予想
なお感覚的にも個人的な予想では、この試験の採点は単純なスコアではなく相対スコアCRISCは受験者層のレベルが高く、受験者全体の正答率が高めになるためにスケールスコアが低めに出ているように感じる。その意味でCISAの450点とCRISCの450点は意味合いが違うように感じる。定かではない。
英語で検索した限りでも、CRISCの合格者はもれなくCISAやCISM合格者であった。CISAに合格していない人材が、CRISCを受験する確率は、もしかしたらいないのではないか?と思われるくらいには相当に低い。ということは、CRISCの受験者の母集団はCISA合格者で構成されている。さらにその母集団でのスケールスコアがCRISCのスコアになる。必然的にCISAとCRISCの出題が同レベルであれば、受験者全員の正答率が上がる結果、CRISCのスコアは低めに出る。調整しているのかもしれないが、アルゴリズムは非公開なので何とも言えない。ただの個人的な感覚である。
監査やセキュリティの資格を生かした転職
資格取得を目指す人が気にすることに、転職があるだろう。
これらの資格を生かした転職は、基本的に年収が高めになることと、この業界では日系よりも外資の方が資格を認めやすい傾向にあるので、いわゆるハイキャリア系のサイトに集まりやすくなっている印象である。同時に、スポットでも入れるような資格であるため、エンジニアやフリーランスも、資格名で検索すると多くの案件がヒットする。
IT系か英語も出来れば外資が主な転職先になるだろう。
以下のようなサイトでは、それらの求人が集まっている。(案件はメールで監視をし、該当する案件を発見し次第、随時追加している。)
資格de就職エージェント
大学院生の就職活動を支援してきたアカリクだからこそできる院生を知り尽くした転職サポート。それが『アカリク転職エージェント』
一般的に転職の求人は業界の仕組みとして、会社よりも、担当者・案件・タイミングの組み合わせによるので、一つのサイトだけに登録するよりも、興味がある分野に引っ掛かるサイトに片っ端から登録し、自分でメールのフォルダやフィルタ等で管理することが最適になる。
利用者は基本的に無料なので多く登録しても損することはない。
(もちろん掲載サイトとしては、多く登録して欲しい!が、実際に私も就職する際には、該当するサイトを片っ端から登録した。そしてそのメールから案件を見て記事に組み込んでいる)
なおLinkedinで資格名を書いておくと、たまに海外からも連絡が来るが、これは狙って案件を見ることは難しい。
以上参考いただければ幸いです。
関連記事
他の資格まとめ
CISSP(公認情報システムセキュリティプロフェッショナル)に独学で合格!資格試験対策難易度
CISM(公認情報セキュリティマネージャー)に独学で合格!資格試験対策難易度
CISA(公認情報システム監査人)に独学で合格!資格試験対策難易度
CEH(認定ホワイトハッカー)に独学で合格!資格試験参考書対策
CAMS(公認AMLスペシャリスト)に独学で合格。マネロン資格試験難易度対策
テストセンターについて。
取得する資格の見極めについて。
資格・試験の意味のある実践的で効率的な勉強法と資格の選択について