自学自習で資格を取る 公認情報システム監査人(CISA)編

ゴールデンウィークの谷間の4月28日に公認情報システム監査人（以下、CISA）の資格試験を受験し、無事合格することができた。
また5月25日には正式に資格が認定されたとの連絡をいただいた。
そこで、まだ記憶に新しいうちに、一連のプロセスをブログとして記録に残しておきたいと思う。

公認情報システム監査人（CISA）とは、アメリカの情報システムコントロール協会（以下、ISACA）が提供している資格の一つである。
経産省が実施しているシステム監査技術者試験のような国家試験ではないが、国際的に広く認知されているものだ。
また資格を保持するためには年間一定時間以上の教育を受けて承認される必要があるので（大学の単位のようなものだ）、常に最新の知識でアップデートされている証にもなる。
このため、今では外資系企業だけではなく、日本の行政機関や企業の間でもCISA取得が注目されつつある。
一例だが、数か月前、日本年金機構の内部統制に関する職種の中途採用の応募要件でも、CISA所持が謳われていた。

この試験を受けるにあたって年齢などの前提条件はないが、合格後に資格所持者として認定されるためには一定の業務経験を要求されるため、学生が受験しても事実上意味がない。
また試験の範囲は次の五項目にわたっており、実務経験がないと判断のつけようがない出題も多いので、前提条件がないとは言え、日常業務での何等かの接点が必要となる。

• 情報システム監査のプロセス
• ITガバナンスとITマネジメント
• 情報システムの調達、開発、導入
• 情報システムの運用、保守、およびサービスマネージメント
• 情報資産の保護

試験勉強のための教材は、ISACAが発行している「公認情報システム監査人（CISA）レビューマニュアル」（以下、「レビューマニュアル」）と「CISA試験サンプル問題&解答・解説集」（以下、「問題集」）である。
いずれも日本語版が提供されているが、両方合わせて296ドルもかかる。ISACAの会員価格は225ドルだ。
ISACAの会費は年間で200ドルを超えるが、CISAの資格を維持するためにもメンバーシップは必要なので、これは受験を思い立った時点で入会するしかない。
また受験料もISACAの会員で575ドル、非会員なら760ドルとなっている。
日本円に換算すると、あれやこれやで10万円以上もの費用が必要となるため、金銭的な面でもけっこうハードルが高い。
言い方を変えると、何回も受けるような金額ではないのだ。これでは一発合格するしかないではないか。

なお試験勉強を開始するにあたって、CISA対策専門の学校のコース受講も検討してみた。
無料の説明会に参加させていただき、なかなかいい感じではあったのだが、こちらも受講費が20万円前後にもなってしまう。
仕方ないので、ISACAの教材のみで自習する決心をした。
なお、次のような観点から考えていただければ、コース受講も悪くないと思われる。
​

1. 前述した教材「レビューマニュアル」と「問題集」はB4サイズで分厚く、とにかく重い。はっきり言って通勤の鞄に入るような代物ではない。コースではコンパクトにまとめたテキストを別途用意してくれているため、通勤の時間をうまく活用することができる。
2. 詳しくは後述するが、ISACA入会から教材取り寄せ、試験申込、合格後の認定申請など、すべてのプロセスを英語で行わなければならない。英語に関するサポートは誰も手伝ってくれないので、大量の英語の処理に自信のない方は、コース受講に付随するサポートで手助けしてもらうしかない。

さて肝心の試験勉強の教材だが、前述したISACA発行以外のものは市販されていない。
まずは教科書である「レビューマニュアル」を一通り読んだ後は、ひたすら「問題集」を繰り返した。
「問題集」で間違えた箇所にチェックを付け、解説を読み、二周目、三周目と繰り返すうちにチェックの数が少なくなるよう絞り込むスタイルである。
残念ながら「レビューマニュアル」のほうは内容が分かりにくいため、「問題集」で理解できない用語などについては、Googleで検索して把握するように努めた。
これでおよそ一年近くの時間を要することになった。

そしていよいよ試験の申込である。
ISACAの本部のサイトからアクセスするしかないので、これまた英語との格闘だ。
最寄りの試験会場や日程などの検索も当然英語である。
私の場合、最初に某会場での日曜の日程で申し込んだのだが、実は後日この日程で営業していないことが判明し、申込し直すはめになった。
申し込む際の画面にはチャットによるオンライン・ヘルプの機能が実装されているため、何か判らないことがあればリアルタイムでサポートしてもらうことが可能なのだが、このチャットも英語しかない。
申込の段階でも英語が大きな壁となる。

試験は150問4択に4時間かけて取り組むというトライアスロンのようなものだ。
以前はペーパーテストだったが、数年前からPCで受験するComputer Based Test(CBT)となっている。
知識だけではなく、気力と体力の勝負になるので、適切な時間配分も求められる。
私自身は戦術のひとつとして、まず50問ごとに5分間の休息を挟むように決めていた。これは結構効果があった。
また問題数が大量なので、一箇所で停まってしまうことを避けるため、よく判らない問題はとりあえず回答しておいてチェックを付け、後から見直すようにした。
これで正味三時間くらいで終了することができた。

なお、試験を受けるにあたっては、顔写真入りの公的な身分証明書が必要となる。
試験用のPCにはスキャナーが備え付けられており、スキャンした証明書をネットの向こうにいる監督官が確認を行う。
とにかく英語だらけだったので、念のため英語で記載されているパスポートを持っていったが、最近では日本の運転免許証でも構わないようだ。
またカメラもPCに備え付けられており、受験中は常時監視されている。
私の場合、肘をついて顎を乗せていたところ、顔がはっきり見えないと叱られてしまった。
こうしたメッセージはすべて画面上のチャットで飛んでくる。
定型的なメッセージは日本語になっているものの、恐らく監督官は国外にいると思われる。
試験終了後の挨拶などカジュアルなメッセージを英語で送ったところ、返事もカジュアルな英語で戻ってきたのである。
またペーパーテストと異なり、CBTの場合は受験終了と同時に合否がわかってしまう。
したがって最後の提出ボタンを押す時にたいへん緊張するが、その場で結果がわかるのは非常に有難いものだ。
そして正式な合否は、一週間ほど経ってからメールで送られてきた。

合格のメールが来た後は認定を受けるための申請手続きになるのだが、これまた英語の山である。

​最大の山場は、資格と関連する職務経歴にチェックボックスを付けて、それらが正しいことを証明するために、上司もしくはクライアントのサインを貰うところだろう。
サインを頼む以上は、何が書いてあるのか説明しなければいけないわけで、これだけの英語の書面を読み込んで腹落ちさせる必要があるのだ。
また職務経歴の証明のための項目が6つあるのだが、これが「引っ掛け問題」のようになっているのには驚いた。

1. Have you functioned in a supervisory position to the applicant or other related position and can verify the experience as listed on page A-2?
​
1. あなたは応募者を監督するなどの立場にあり、フォームAにリストされた職務を証明できますか？

このように、項目1から5までのチェックボックスは全て「Yes」になる。
ところが最後の6項目目がこうなっているのだ。

6. Is there any reason you believe this applicant SHOULD NOT be certified as an information systems auditor?
​
6. この応募者が情報システム監査人として承認されるべきでないと信じる理由がありますか？

ここだけは「No」にチェックしなければならない。
いやはや、もはや書面自体がTOEICかと言いたくなる状態だ。
さらに大学や大学院卒業の経歴を以って職務経歴の一部に替える場合は、卒業証明書も英語版で準備する必要もある。
これらの書面をスキャンしてPDF化し、メール添付でISACA本部へ送ると、3日くらいで一次審査を通過した旨のメールが届き、さらに2週間ほどで無事認定されたとのメールも届いた。極めて速い。
しかし、しつこいようだが、これらのメールもすべて英語である。

こうして一年がかりで何とか独学で資格を取得することができたが、最後まで英語との闘いであった。
再三の繰り返しになるが、英語が苦手な方には、独学にこだわらず、対策校によるサポートをお勧めするしかない。