Hatena::ブログ(Diary)

Julianus’s Blog

2007-09-02

[] CISAの受験対策、勉強方法、合格体験記

(2008/2/23追記:CISA関係の情報をまとめました。入り口はこちら

何人かの方が、ブログで公開されていますが、CISA試験(公認情報システム監査人)の受験対策や勉強方法についての情報は、少ないです。そんな訳で、これから受けられる方に少しでも参考になればと、(1年前でちょっと古くなりましたが)、私なりの勉強方法や考え方を公開します。これから受験される方の、お役に立てば幸いです。


目次

  • 受験もプロジェクト
  • 勉強方法
    • サンプル問題を重視
    • まず弱点分野を知る
    • どれ位の期間、どうやったか
    • なぜサンプル問題集なのか?
    • 答えに迷ったら?
  • サンプル問題集は過去問か?
  • レビューマニュアル
  • 私が使った教材
  • スクール・レビューコース
  • 合格ライン?
  • 試験日当日の注意
  • ネット上の情報入手先
  • 参考書

受験もプロジェクト

期限があって、目標(成果物)が決まっているのだから、受験も立派なプロジェクトだと思います。だから予定をたて、進捗や品質を管理をして行く必要があります。但しプロジェクト・メンバーが一人きりの寂しいプロジェクトです。寂しさを紛らわすには、仲間を募るのが良いかも知れませんね。

私は、2006年6月の受験ですが、受験を思い立ったのが、2005年の10月頃でした。その後、どんな勉強方法をとったらよいか、どんな教材があるのか等の情報をネットから集め、おそらく2005年末頃に、翌年6月迄の大まかな計画表をつくりました。(全体の経緯は、こちら)

2006年1〜2月 問題集(2005年版)を繰り返しやり、レビューマニュアルを読む
2006年3月   2006年版のレビューマニュアルを読む
2006年4月   ANJOに通学
2006年5月   2006年版問題集を繰り返しやる
2006年6月   試験

でも、色々なプロジェクトと同じように、なかなか計画通りには行かず、またこの時期は、公私ともにいくつか大変なことがあったので、進捗は計画からかなりビハインドになってました。それでも何とか合格にこぎ着けることが出来たのは、自分自身を追い込んだことが大きな要因かも知れません。

その一つめは、自分自身への投資が一番利回りが良いと信じ、身銭を切ってお金を掛けたこと。ISACAのメンバーシップ、受験料、教材、ANJOの受講料を含めると、約20万円を掛けたので「絶対、受かってやる!」と思いました。二つめは、周囲に「CISA試験を受ける」と宣言して、後戻り出来ないようにして、自らをふるいたたせました。

結果として、どうだったか言うと、

2006年1月中旬〜3月初旬 問題集(2005年版)を1回、レビューマニュアルをざっと読んだだけ
2006年3月中旬〜3月下旬 中だるみで、ほぼ何もせず
2006年4月        ANJOに通学(でも1ヶ月間、通学以外には何もしなかった)
2006年5月〜試験前日   2006年版問題集を繰り返しやった

と、実質的には、ゴールデンウイークから6月10日の試験日までの、約1ヶ月強が最も集中できたことになります。

時間的には、(推計ですが)半年間の合計で120時間位でしょうか。内訳は

サンプル問題集  : 50時間
レビューマニュアル: 10時間
ANJO       : 40時間
ネット等で調査  : 20時間
  合計     :120時間

勉強方法

サンプル問題を重視

結論から言えば、「徹底的にサンプル問題集をやる」と言うことに尽きると思います。レビューマニュアルも一通り読みましたし、(今は無き)ANJOにも通学しました。でも何と言っても、上記の通り、時間を掛けたのは、サンプル問題集に取り組むことです。

2006年 CISA試験サンプル問題&解答・解説集 --625問
2006年 CISA試験サンプル問題&解答・解説集(追加) --100問

私の場合は、たまたま周囲に2005年12月に受験した人がいて、その人から2005年版のレビューマニュアルとサンプル問題集を借りることが出来たので、自分で購入した2006年版とあわせ2年分をやったことになります。

まず弱点分野を知る

まずは、自分がどの位のレベルにあるのか、どのドメインが弱いのかを知るために、レビューマニュアルを読む前に、2006年2月初旬に、2005年度版を一通り、素でやってみました(6月受験組は、該当年の教材が日本に届くのが、大体3月頃になるので)。

 正解 :334問 (51.5%)
 出題数:648問

私は、数年間システムの開発運用等を管理者の立場で見てきました。でも、システム監査の経験は無く「まあ、こんなもんか」と言う印象でしたが、合格した人の話を聞くと、「やっぱり80%位の正解率はないとね」とのことで、80%を目標にしました。

どれ位の期間、どうやったか

3月中旬に、新しい問題集が来ましたが、ちょっと中だるみ状態になり、また4月からはANJOに行くから、と言う甘えがあって、実際に2006年版の問題集に取り組んだのは、4月30日からです。3月中旬の中だるみと、4月中も、ANJOに通っていると言う安心感からか、問題集には全く取り組みませんでした。

遅れを取り戻すために、4月30日から連休を潰し、その後も試験日の前日迄(6/9)集中して、結局、6回問題集をやりました。やりかたは、ドメイン毎に、100〜200問単位で、問題を解き、答え合わせ。正解も、間違えたところも、解説を読み、理解する。分からない言葉があれば、ネット等で検索。これの繰り返しです。

答え合わせをした時に、○×を問題集に書き込みます。答えに確信が持てず、自信が無くても正解になったものや、意味がわからずまぐれで正解になったものは△と、問題集に記入して行きます。

○○になったら、その次の回はパス、でも一度△か×になると、もう一度○○になるまでやる、と言う風にやっていったら、結果的に3.4回転しました。(出題724問に対し、延べ2,484問)

○○になって、やらなかった問題も、正解としてカウントした正答率は、下記の通りです。

 5月 2日 62.3% (724問)
 5月15日 76.8% (724問)
 5月28日 82.3% (474問)
 6月 3日 93.5% (312問)
 6月 4日 97.4% (188問)
 6月 9日 98.1% ( 62問)

3回目で、目標に到達しました。その後は、何度やっても×が続く問題があり、これを潰して行きましたが、最後は、もう条件反射状態で、意味も無く、答えを憶えた様な状態になってしまいました。でも後述しますが、単に答えを憶えるのは意味がないです。

なぜサンプル問題集なのか?

他のブログにも書かれていますが、CISA試験の問題は、翻訳の堅さを別にしても、結構クセがあります。

問題は4択形式で、単純に知識を問う問題もありますが、ある状況や環境が書かれ、それに対して選択肢の中から「最も」相応しいとか「最初」に該当するのはどれか?と言う設問が多いです。

この「最も」とか「最初」が、くせ者で、かなり悩まされます。どういう思考経路で答えを導き出したらいいのか、あるいは、どの様な立場で考えれば良いのかが、分かりにくいのです。これは、レビューマニュアルでの知識の説明よりも、サンプル問題集にある「解説」を数多く読んで理解するのがベストだと、私は考えています。答えを憶えるのではなく、考え方(のクセ)を理解する。これが、実際の試験問題を解く時の応用力につながります。

システムやセキュリティについての経験や知識がある程度あると、逆に「え〜これが正解?」「これがベストプラクティス?」と思うような解答も、現実に、いくつかありました。でも、試験に合格するのが目的であれば、考え方に慣れるしかありません。

答えに迷ったら?

問題を解いていると、4択の中で、大体の場合2択まで絞られ、どちらを選択するか迷うケースが多いようです。他の経験者に聞いてみても同じ印象を持って居るようです。ISACAの月例会で「日本発のCISA/CISMの問題を作ろう」と言うセッションがあり、問題作成のプロセス等を聞きましたが、「最後まで、二つの選択肢が残る」のが、最も良い問題とされているとのことです。

迷ったら、どうするか?

『システム運用者・管理者の目線ではなく、「内部監査人」「経営者」の目線で考える』。あくまでもCISAの試験ですので、内部監査人もしくは、経営に資する内部監査の目線で考えた方が、正解の確率が高くなると思います。


サンプル問題集は過去問か?

「サンプル問題は過去問?」「問題集から何問位出たか?」と言う質問を良く聞きます。受験時に「問題内容を漏らさない」と宣誓しているので、残念ながらお答えできません。ISACAの説明文には下記のように書いてあります。ぜひ、行間を読んで下さい。

These questions are not actual test items, but are intended to provide the CISA candidate with an understanding of the type and structure of questions and subject matter that has previously appeared on the examination.


レビューマニュアル

レビューマニュアルは、私も、2005年、2006年の2年分をサラッと読みましたが、翻訳が堅く、誤字・脱字・重複行等もあって、読み込んでいくのは、かなりしんどいです。色々な方も、ブログに、そう書かれています。

しかしながら、ご本家のレビューマニュアルだし、ここに書いてある「知識項目」の範囲から出題されるので、これを外すわけには行かないと思います。

ANJOでは、レビューマニュアルの重要箇所を講師の方に教えて貰い、そこをひたすらマーカーでマークしていた覚えがあります。真面目な人は、その後、マーカーの部分を復習したそうです。私はどちらかと言えば、問題集を繰り返しやることを重視したので、あまり真面目に読んでいません。むしろ、合格してからの方が、SOX対応で、レビューマニュアルに目を通すことが多いです。読み返してみると、わりと、良くできているなと感じます。

従って、レビューマニュアルの読み方については、余りアドバイスできることはありませんが、一点だけ言うとすれば『情報システム監査人は、○○すべきである』と言う記載箇所は、最低限おさえておいた方が良いと思います。


私が使った教材

使った教材や問題集は、次の通り。

    • ISACA 2006年公認情報システム監査人(CISA) レビューマニュアル
    • ISACA 2006年CISA 試験サンプル問題&解答・解説集(625問)
    • ISACA 2006年CISA 試験サンプル問題&解答・解説集(追加 100問)
    • Cisa Exam Cram 2 (ISBN-13: 978-0789732729)

スクール・レビューコース

  • スクール

私はANJOの通学コースに参加しましたが、倒産してしまいました。現在、通学・通信で学べるのは、U.S. Education Networkだけの様です。

US Eduには行ったことが無いので、ANJOだけの印象ですが、やはりCISAを持っている方に、教えて貰えるのは価値があると思います。試験問題の解き方・思考プロセス等は非常に参考になりました。

通学コースは、一定期間、半強制的に席に座って学ぶので、誘惑に弱い人には良いと思います。それに共通の目的を持って集まった人達なので、当時、教えて頂いた先生も含めて、今でも交流が続いています。

  • レビューコース

ISACAが開催する直前のレビューコースがあります。これもスクールに参加するのと同じで、全体感を掴むには良いと思います。


合格ライン?

2007年から、スコアのつけかたが変わったようです。2006年までは、実際の得点を1から100迄のscaled scoreに換算し、75点以上が合格、と言う説明でした。2007年からは、CISA Exam December 2007 BOI (Bulletin of Information)を見ると、次のように書いてあります。

A scaled score is a conversion of a candidate’s raw score on an exam to a common scale. ISACA uses and reports scores on a common scale from 200 to 800. A candidate must receive a score of 450 or higher to pass the exam.

つまり、200から800迄の共通scale ?に換算し、450点が合格ラインです。しかしながら共通scaleの出し方やメカニズムが公開されていませんので、素点でどの位、正解をだせば良いのかは不明です。私の個人的な感触では、6割位でしょうか。

なお、試験問題の翻訳品質についても、事前にさんざん脅かされましたが、私が受けた時には、そんなにひどいとは思いませんでした。それと、CISA試験は、全世界で11カ国語で受験出来ますが、言語間で極端に正解率に差が有る場合は、その問題は採点対象にならないと聞いています。


試験日当日の注意

試験日当日の様子は、2006年6月10日の日記を見て下さい。

当日の、注意事項としては;

  • 試験前日は、出来れば休暇をとる。試験開始時間が早いので、前夜は早く寝ること。
  • 受付は0730から、試験開始は0900からだが、30分前に説明が始まると、理由の如何を問わず、試験会場に入室できず、試験を受けられない。
  • 写真付きのIDを、忘れずに。
  • 試験会場内は、飲み物は不可。私はやらなかったが、トイレに立つ時に持って行き、外で飲むことは可能らしい。
  • 試験中でもトイレに行くことは出来る。但し、教室内で一回に一人づつなので、早めに挙手した方が良い。
  • もしかして意図的なのかも知れないが、一番最初の問題が思いっきり難しく、頭が真っ白になってしまうかも知れない。焦りは禁物。深呼吸を!
  • 試験時間の4時間はかなり長い、でも最後まで粘る。

ネット上の情報入手先

あと、mixiの会員なら、システム監査(人)のコミュニティ

参考書

    • ISACA 2006年公認情報システム監査人(CISA) レビューマニュアル
    • 三輪 豊明 CISA(公認情報システム監査人)試験ガイドブック&問題集(ISBN:9784820744443)
    • Cisa Exam Cram 2 (ISBN:9780789732729)