記事をシェアする

コロナ禍の在宅勤務期間を利用し、公認情報セキュリティマネージャー(Certified Information Security Auditor, CISM)という資格試験に合格した。受験前に多くの記事を参考にしたので、今後の参考にしてもらえるようまとめておきたい。

なおCISAの記事と対応しています。

CISMとは

色々なところに書かれていますが、ISACA日本支部公式から引用します。

ＣＩＳＭ
■CISM（Certified Information Security Manager）とは？
CISMは、情報セキュリティの国際的資格であり、日本語名称を『公認情報セキュリティマネージャー』と呼称します。ISACA（情報システムコントロール協会）により、２００２年に資格制度が創設され、２００３年度より試験が開始されました。
■資格の権威、特徴は？
CISMは、マネージメントレベルの情報セキュリティの国際的資格です。 ISACAは、CISM資格創設に当り、以下の観点を考慮しています。
・情報セキュリティマネージャーに特化した資格として設計
・情報セキュリティマネージャーの実際の業務分析を元にした、基準と試験問題を開発
・資格認定の前提として、情報セキュリティマネージメントとしての経験も必要
■CISM資格がフォーカスしているのは？
CISMは、企業・団体等の情報セキュリティプログラムに係る、マネージメント、設計、監督を行う、以下のプロフェッショナルの方をフォーカスしています。
・セキュリティマネージャー（Security managers）
・セキュリティ担当役員（Security directors）
・セキュリティ担当役職者（Security officers）
・セキュリティコンサルタント（Security consultants）
https://www.isaca.gr.jp/cism/index.html

システムセキュリティ分野においての国際的に認知されている資格です。

The 10 Highest-Paying IT Certifications for 2020では3位。

バックグラウンド

CISＭ試験の受験に関係しそうな資格・経歴・経験を列挙する。

関係しそうな背景・資格

Ph.D. 量子物理学ケンブリッジ大学
工学修士・学士(応用物理学・情報工学) 慶應義塾大学

CEH (Certified Ethical Hacker, 認定ホワイトハッカー)
CISA (Certified Information Systems Auditor, 公認情報システム監査人)
CAMS(Certified Anti-Money Laundering Specialist 公認アンチマネーロンダリングスペシャリスト)

物理学・情報工学系で修士号と博士号、セキュリティ一般やガバナンス、監査やセキュリティに関する別の資格を保有しているため、科学的な情報理論やセキュリティにおける監査・マネジメント方面にはある程度は前提知識があった。

関係しそうな経験・経歴

監査・セキュリティ関係の経験など。

外資系コンサルティングファーム勤務(リスク・マネロン・セキュリティ・監査・分野)
ウェブサイト・ドメイン、サーバーの運営や基本的なサイバー攻撃対策の設定の経験も含めると約5年+。
プログラミング経験数年。受託など含め、開発したサービスは商用利用されている。
趣味で自分のサイトにTor(ダークウェブ)を使ったプログラムでアクセスしてみたりなど。
プログラムやセキュリティはある程度はコードや運用の経験がある状態であった。

英語

英語は実務に支障がないレベル。日本語よりも英語での業務の経験の方が長い。

なおTOEICの点数は知らない。海外と日本の就職活動の歴然とした差を実感。海外大博士から見た就職活動

登録

CISA同様に、ISACAページから申し込み。特に目新しいことはなく情報を入力し、試験会場を予約。試験はテストセンター。とある国際資格の憂鬱 Web試験・テストセンターの実態

対策

様々なブログによると、CISAとCISMは立場が違うだけで似ている、という話を見つけた。

問題集は1冊のみ。公式問題集。(公式ページから購入できますが、ログインできないとページにたどり着けないので画像で代用)。赤だったCISAと比べると緑。

なお検索すると例によって、過去問と思われる問題もヒットするが、答えが参考にならない（明らかに間違えている）ために見るのをやめてしまった。

試験

試験はCISA同様4時間で150問。合格ラインはスケールで450/800。さらにこのスケールは平均ではないようなので何点取ればいいかもわからない。

試験自体では、多くの方々が書かれているように全く同じ問題はほぼかった印象だが、結構教科書に似ている印象であった。

ただ確信が持てないために後で見るためのフラッグが30近く立っていた。

提出ボタンを押すのが相当に緊張した。

例によって結果は画面の中の説明で一か所PASSEDと書いてあるだけのあっけない方式。疲弊しているし、気を付けないと見逃しそうである。

感想

これも多くの方々が書かれているように、なんともつかみどころのない「これ受かったの…？」と思うタイプの試験であった。

試験対策として最短で合格を目指すには、以下だけで問題なさそうな印象であった。

個人的にはCISAやCEHに既に合格しており、CISSPの対策も一部していたために技術的な単語で分からないものは、最初に取り組んだ時点で既にほぼなかった。

なお、それでも一度目は447点で落ちた。もはや何が悪いのかもよく分からなかったので、他の試験の対策を一周してから、再度公式問題集を受験の後に合格。受かってからも、前回と何が変わったのかが分からないくらい、何で落ちたのかもわからないくらいには、つかみどころのない試験である。

また、問題集も同じ内容でも答えが違う？と思われる部分が多く困惑することもあった。(頼れる問題集が1冊しかないのに…。)

こちらの方も似たようなことが書かれており、おそらく全く同じ問題で理解に苦しむ問題がありました。

７回目の領域３をやりました。正答率は98%となりました。
領域３の課題は、外部ベンダーのセキュリティ対策です。
これも正解にユレがみられます。
傾向として、①監査する権利、②セキュリティ要件を契約に含む、③定期的なセキュリティレビューがあります。問題によって、優先順位が異なるように思えます。
https://ameblo.jp/ponpon345/entry-11958070863.html?frm=theme

以下の参考リンク内でもあるように、CISMに合格している人はCISAに既に合格している方が多いようである。個人的にもまずCISAを受かってからCISMを受けるのが良さそうである。

CISAとCISMの関係について

試験範囲

以下のブログで書かれているように、CISMの方が範囲が狭い印象である。

セキュリティ資格 CISMに合格しました！

個人的にはフォレンジックの領域はCISAには入っていなかった印象なので、少しだけCISM固有の領域があるかもしれない。

立場の違い

CISAとCISMの最大の違いは、立場の差であると感じている。

CISAは監査人の資格である一方で、CISMはマネージャーの資格である。

最大の違いは規制や法律に対する見方に現れている。

スポーツの試合の審判とコーチの関係

おそらくこれが一番わかりやすい例えであろうと考えるのは、スポーツにおける審判とコーチの関係である。

特にサッカーを例に説明する。

試合においてサッカーチームのコーチの目標は、試合に勝つことである。(もちろん勝ち点の関係で負けない戦いだとかいろいろあるが基本は試合に勝つことだろう)

一方で審判は、試合を円滑に進めることを目的とし、ルール違反には笛を吹きペナルティを与える。場合によっては退場処分などを下す。

CISAとCISMの関係はまさに審判とコーチの関係に近い。

セキュリティは事業戦略に合わせる必要がある。極論、違反した際の罰則が取るに足らなければ無視してもいい。

一方で監査人は、組織が規制や法律に違反していないかをチェックすることが目的である。些細な違反でも違反であることを認定する必要がある。

監査やセキュリティの資格を生かした転職

資格取得を目指す人が気にすることに、転職があるだろう。

これらの資格を生かした転職は、基本的に年収が高めになることと、この業界では日系よりも外資の方が資格を認めやすい傾向にあるので、いわゆるハイキャリア系のサイトに集まりやすくなっている印象である。同時に、スポットでも入れるような資格であるため、エンジニアやフリーランスも、資格名で検索すると多くの案件がヒットする。

以下のようなサイトでは、それらの求人が集まっている。(案件はメールで監視をし、該当する案件を発見し次第、随時追加している。)

ハイクラスの転職支援サービス【Samurai Job】

JACリクルートメント・外資・ハイキャリア

doda・幅広い転職

レバテックキャリア・IT

IT業界での転職なら【IT求人ナビ転職】

一般的に転職の求人は業界の仕組みとして、会社よりも、担当者・案件・タイミングの組み合わせによるので、一つのサイトだけに登録するよりも、興味がある分野に引っ掛かるサイトに片っ端から登録し、自分でメールのフォルダやフィルタ等で管理することが最適になる。

利用者は基本的に無料なので多く登録しても損することはない。

(もちろん掲載サイトとしては、多く登録して欲しい！が、実際に私も就職する際には、該当するサイトを片っ端から登録した。そしてそのメールから案件を見て記事に組み込んでいる)

なおLinkedinで資格名を書いておくと、たまに海外からも連絡が来るが、これは狙って案件を見ることは難しい。

以上参考いただければ幸いである。