■私の合格体験記(2)
■私の合格体験記■********2008******************************************************************************************************************
日経BP社「ITプロフェッショナルweb版・IT資格不合格体験記」第13回 CIA(公認内部監査人)
ITプロフェッショナルweb版
※雑誌本体ではなく、Web上の記事です。
「内部監査人としてどう考え,どう行動するか」を念頭に勉強,経験不足補う
「CIA(Certified Internal Auditor,公認内部監査人)」は,最近注目を集めている資格の一つだ。
「日本版SOX法」と言われる「金融商品取引法」の施行により,2009年3月期から上場企業やその連結子会社などは「内部統制報告書」を提出することが義務付けられた。つまり,内部統制をしっかりやらなくてはいけなくなった。
内部統制をしっかりやっているかどうかは,外部監査人つまり監査法人が最終的に監査してジャッジすることになるが,その前段階として,社内でも監査をしておかなければならないことは言うまでもない。そこで「内部監査人」という専門職にスポットライトが当たってきた。
IT部門の担当者が内部監査人として活躍することも
内部監査とは,企業が外部監査の前に行う内部チェックのことである。「ISO9001(品質マネジメントシステム)」,「ISO14001(環境マネジメントシステム)」,「ISO20000(ITサービスマネジメントシステム)」,「ISO27001(情報セキュリティマネジメントシステム)」,「JISQ15001(プライバシーマーク)」でも,審査機関の審査を受ける前に内部監査を行うことが認証取得の条件になっている。
日本は経営者の力が強く,最近の耐震強度の偽装や食品偽装に見られるように,内部統制がない,やりたい放題の会社は,大企業であっても少なくない。こうした中,社内の中立的な部門である内部監査部門による内部監査の必要性は,ますます高まっている。
内部監査部門は,製造部門や販売部門のように直接収益をもたらすわけではなく,経理部門や人事部門のように仕事の内容が分かりやすいわけでもない。このため,これまでは認知度も低く,比較的地味な部門だった。結果として軽視され,専門家も育たなかった。だが現在では,日本版SOX法への対応,内部統制に関するアドバイス,コンプライアンス,コーポレートガバナンス,業務プロセス改善に関するアドバイスなど内部監査部門が担う仕事は増えており,認知度も高まりつつある。それに伴い,内部監査人としてのスキルを認定するCIAへの注目度も上がってきた。
近年の業務処理は情報システムなしには語れない反面,内部監査部門などの管理部門のITスキルには限界がある。そこで最近では,IT部門の担当者がCIA資格を取得して内部監査の知識を身につけたうえで内部監査部門に異動し,情報セキュリティ監査やシステム監査もできる,新しい時代の内部監査人として活躍している例が少なくない。
監査法人系のコンサルティング会社でも,CIAを取得するコンサルタントが増えている。内部統制の評価や内部統制整備のコンサルティング,アウトソーシング,ビジネスリスクの評価,リスク管理コンサルティング,情報セキュリティや個人情報保護に関するコンサルティングなどで,このCIAの知識が非常に役に立つためだ。
自信がないまま試験当日を迎える
私は,上場を目指している企業でシステム監査や内部監査を実施した経験がある。「国際的な監査基準やフレームワークに基づいて」というレベルではないが,自分なりに勉強し,監査したつもりである。
この経験から,CISA(Certified Information Systems Auditor,公認情報システム監査人)やCIAには以前から興味を持っていた。CISA試験に関しては,2007年2月に無事合格することができた((関連記事)。そして,CISA試験に合格した後,すぐにCIA資格の取得を目指すことを決断した。
CIAは,次の4つの試験科目(Part)から成る。
PartI:ガバナンス,リスク,コントロールにおける内部監査の役割(The Internal Audit Activity's Role in Governance, Risk, and Control)
PartII:内部監査の実施(Conducting the Internal Audit Engagement)
PartIII:ビジネス分析と情報技術(Business Analysis and Information Technology)
PartIV:ビジネス・マネジメント・スキル(Business Management Skills)
問題は世界共通であり,各Partとも出題数は125問で試験時間は3時間30分。試験方式は択一式のマークシート方式だ(2008年5月から 100問,2時間45分のCBT=Computer Based Testingに移行する)。試験の得点は250~750ポイントのスケールドスコアに換算され,各Partとも合格ラインは600ポイント以上となっている。全Partに合格したうえで(1)教育要件(4年生大学卒業など),(2)CIAなどの資格保持者の推薦,(3)実務経験(内部監査,監査役監査・公認会計士監査,財務・法務のいずれかの実務経験を2年以上など)があれば,CIA資格の認定を受けられる。
なおPartIVについては,CFSA(公認金融監査人),公認会計士,CISAなどの資格保持者は免除となる。私はCISA試験には合格していたが,合格から資格認定までに時間がかかるため,2007年5月のCIA試験には間に合わず,全Partを受験することとなった。
まず,CIAの資格試験指導校であるU.S.エデュケーション・ネットワークの社長が執筆した「CIA試験重要ポイント&問題集」(日本能率協会マネジメントセンター)を購入し,CIA試験の全体像をチェックした。専門的な資格なので,情報は少ない。従って資格試験指導校の情報は貴重である。
市販の教材としては,日本内部監査協会の「専門職的実施のフレームワーク」と「CIA試験参考問題集2004」しかないため,この2冊を日本内部監査協会から直接購入。前者は監査基準を理解するために熟読し,後者は知識の確認のために繰り返し解いた。ただし,内部監査が日本ではそれほど定着していないこともあり,そもそも内部監査人にどんな知識が必要なのか,何をどうすればいいのかが,なかなか見えてこなかった。翻訳本なので,内容もすんなりとは頭に入ってこない。過去問を完全に消化していれば自信もつくのだが,私が解いたのは各Part100問だけ(「CIA試験参考問題集2004」は各 Partとも100問のみで構成されている)。自信がないまま,試験当日を迎えることとなった。
実務知識を問う試験科目に苦戦
受験登録確認証は2007年3月に,受験票は4月に届いた。試験日時は5月16,17日の9時~12時半と1時半~5時。場所は東京流通センターである。
5月16日の試験当日。40分前から受付開始なので,8時半ころに現地に到着した。受付は,受験者が外でサインする形になっている。会場はとてつもなく大きかった。多くの試験が小さい教室に小分けして受験するようになっているのとは対照的だ。
試験は淡々と進んだ。PartIはガバナンス,リスク,コントロールの切り口で内部監査人などの役割を理解していれば解答できる問題が多かった。 PartIIは実務に近く,それほど経験がない私には正直しんどい内容だった。PartIIIはIT,会計,法律,経済,PartIVは経営戦略や組織論などを問う試験で,どちらも私としては得意分野であった。
各科目とも「65%はできたが,75%はできたかどうか」という感触だった。試験用紙は持ち帰れないので自己採点はできない。250~750ポイントのスケールドスコアで600ポイント以上が合格とされているため「正解率75%が合格の目安」と言われているが,得点の散らばりによっては50%の正解でも合格するかもしれないし80%の正解でも不合格になるかもしれない。しかも,回答しなければならない120問中,採点されるのは100問で,25問は採点されない。試験が終わった時点では,合格か不合格かは全く予想できなかった。
そして7月26日に試験結果が届いた。結果は「3科目合格,1科目不合格」。合格した科目のポイントは知らされないが,不合格の科目についてはポイントが記されていた。
PartI 合格
PartII 585
PartIII 合格
PartIV 合格
知識を問うPartI,PartIII,PartIVは何とかなった。しかし実務知識を問うPartIIに関しては,実力不足を痛感する結果となった。とはいえ各科目とも35~40%程度の合格率と言われているため,「初受験で3科目合格はまずまずだ」と納得し,頭を次回試験に切り替えた。
試験直後から合格を確信
2度目の受験は,2007年9月に申し込んだ。試験は11月の予定だったが,申し込んですぐに勉強をスタート。PartIIだけを受験すればよかったので,「CIA試験参考問題集2004」に載っているPartIIの問題を何度も解いた。「専門職的実施のフレームワーク」も繰り返し読んだ。暗記するのではなく,「内部監査人として何をどう考え,どうするか」ということを常に念頭において,枠組みを理解するように努めた。
11月14日,2度目の試験はTOC有明で行われた。1時半~5時,一科目だけの試験である。ここもだだっ広い教室であった。前回は問題文を読むのにも時間がかかり,あせってイライラしながら解いた記憶があるが,今回は試験問題を見てすぐに出題趣旨が理解できた。一つ一つ納得しながら,“内部監査人の目”で答えることができた。
2度目の試験では,試験直後から合格を確信していた。スケールドスコアである以上,何点とっても十分ということはないが,二度目の学習を通じて,内部監査人の考え方や必要な知識というものが私なりに身についたと自負できるようになっていたからだ。
合格通知は2008年1月28日に届いた。実務経験の証明書と推薦状は提出済みなので,4月にはCIA認定状と認定番号が届くことになる。今後は,既に取得しているCISA資格やプライバシーマーク審査員資格と併せて,この資格を大いに活用していきたいと考えている。さらにその先には, ISO20000やISO27001などのISOマネジメントシステム規格の審査員資格を取得することも目指している。これまで多くの業種・職種をこなし,コンサルティングや審査などの形で多くの企業を訪問してきた。そこで知ったこと,やってきたことを,「マネジメントシステム」の審査を通じて,経営や業務改善に少しでも役立ててもらえれば,と考えているからだ。
試験概要:CIA(Certified Internal Auditor,公認内部監査人)
内部監査人の能力の証明と専門性の向上を目的として,内部監査に関し指導的な役割を担うIIA(The Institute of Internal Auditors)が認定する国際的な資格。現在は毎年2回,5月と11月の第3水・木曜日に全世界約80カ国(日本は東京,名古屋,大阪,福岡)で試験を実施している。2008年5月からはCBTに移行するため,通年で受験可能になる。資格取得には,2年以上の内部監査・監査役監査・公認会計士監査,財務・法務の実務経験が必要。日本での累積合格者数は1993名(2006年)。
********2007******************************************************************************************************************
日経BP社「ITプロフェッショナルweb版・IT資格不合格体験記」第5回 CISA(公認情報システム監査人)[2007/07/03]
ITプロフェッショナルweb版
※雑誌本体ではなく、Web上の記事です。
「失敗」から学ぶ合格の秘訣 IT資格不合格体験記
第5回 CISA(公認情報システム監査人)
合格のカギは早期の学習開始と体調管理
資格の有効性や「資格がどうあるべきか」は,常に筆者の"研究テーマ"だった。資格の有効性については,筆者は「資格は体系的な知識を身につける有効なパッケージだ」と考えている。
ただ,「実務経験」を資格の中でどう位置づけるかは難しい。「実務経験がないと受験できない」となれば,優秀な受験者を排除してしまう。その結果受験者が減ってしまえば,資格自体を維持できない可能性がある。かといって実務経験を考慮しないと,「実務能力」を担保できない。
理想的なのは,試験に合格するとともに実務経験を証明することで資格を取得できる制度だろう。この制度を採用しているのが,システム監査に関する国際資格「CISA(Certified Information Systems Auditor,公認情報システム監査人)」であり,以前から大きな興味を持っていた。2002年から,システム監査関係の実務経験を積んでいた筆者は, 2005年にこの資格の取得を目指すことを決断した。
分厚い教材をこなせず
CISAは6つのドメイン(科目)から成り,
(1) IS Audit Process(情報システム監査のプロセス)10%
(2) IT Governance(ITガバナンス)15%
(3) Systems and Infrastructure Lifecycle(システムとインフラストラクチャーのライフサイクル管理)16%
(4) IT Service Delivery and Support(ITサービスの提供と支援)14%
(5) Protection of Information Assets(情報資産の保護)31%
(6) Business Continuity and Disaster Recovery(災害復旧と業務継続)14%
という比率で出題される。
教材としては,CISAを認定する「ISACA(Information Systems Audit and Control Association,情報システムコントロール協会)」が販売している「レビューマニュアル」,「試験サンプル問題&解答・解説集」(625問),「試験サンプル問題&解答・解説集(追加)」(100問)がある。
受験申込みに先駆けて,2006年1月にISACAに入会した。というのも,入会金30ドル,年会費200ドルを支払えば,受験料480ドルが 360ドル,レビューマニュアル135ドルが105ドル,試験サンプル問題&解答・解説集130ドルが100ドル,試験サンプル問題&解答・解説集(追加)60ドルが40ドルになるからだ。200ドル割引されるので,30ドルだけで入会できることになる。会員になるとインターネットから受験申込みもできる。その場合さらに50ドル割引してくれる。さらに「月例会」と呼ぶISACAのセミナーも無料で受講できる。
2月に,入会金や年会費,受験料,教材代を米国のISACA国際本部に送金(クレジット決済も可能)。その数日後,入会確認のメールが米国から,その翌日にはISACA東京支部から確認メールが来た。そして数週間後,日本語の教材が米国から届いた。
教材が届いて,まず感じたのは,600ページを超えるレビューマニュアルの厚さである。通勤に持ち運べるような大きさ・重さではない。そこで筆者は,「試験サンプル問題&解答・解説集」を通勤に持ち歩き,レビューマニュアルは家で辞書がわりに使う程度にとどめた。
しかし,勉強はいっこうにはかどらなかった。まず,翻訳であるためサンプル問題が理解しにくい。また,日本のように「引っかけ問題」が少ない分,何を問いたいのかが分からない。日本の試験のように試験委員の色が出ないため,解いていて統一感がない。そして,何よりも圧倒的なボリュームである。
分厚いレビューマニュアルを熟読することは最初から考えていなかったが,サンプル問題も「ITサービスの提供と支援」までしか終わらず,結局「情報資産の保護」と「災害復旧と業務継続」は手つかずだった。それでも,「自分は合格率6.9%のあの難しい『システム監査技術者試験』に受かっているのだから」と甘く考えていた。
長時間の試験で集中力が切れる
5月になると受験票のメールと現物が米国から届いた。受験票には,「試験開始の30分前(8時30分)に主任試験官が口頭で試験の説明(Instruction time)を始めると試験会場への入場はできない(受験もできず受験料も払い戻しされない)」と明記されていた。これは,受付が込み合って試験場への入室が8時30分を超えたら受験できない,という意味だ。交通事情による遅刻も理由にならない。このため,毎年多くの人が受験できずに帰っているらしい。
6月8日の試験当日。筆者は8時に試験会場に着くよう家を出たが,試験会場に向かう間,「万一電車が止まったら」と考えると不安だった。試験会場には無事8時に到着。9時に試験が開始されたが,なにぶん200問・4時間の長丁場である。トイレ退出の人が多く,落ち着かない。筆者は「特定社会保険労務士」の午前1時間半・午後3時間半とか「中小企業診断士」の丸二日という長丁場の試験の経験が活きて途中退出はしなかったが,疲労のため集中力が切れてしまい,眠りそうになった。前日は夜遅くまで働いていたからだ。それでも,自分なりに「そこそこはできただろう」と感じながら帰途についた。
そして7月27日,試験結果のメールが届いた。「不合格」だった。「Your total scaled score is 72. A scaled score of 75 is required to pass.」とある。72点。合格ラインの75点に対して,わずか3点の不足である(ちなみにこの点数は科目ごとの得点の単純平均や加重平均ではない)。 6つの科目の得点は以下の通りだった。
73 IS Audit Process
75 IT Governance
76 Systems and Infrastructure Lifecycle
75 IT Service Delivery and Support
69 Protection of Information Assets
66 Business Continuity and Disaster Recovery
後半の「情報資産の保護」と「災害復旧と業務継続」の2科目の得点が悪いのは,勉強不足と集中力が切れたことが原因であることは明らかだった。
早期の学習開始と体調管理でリベンジ
2度目の受験は,8月に申し込んだ。試験は12月の予定だったが,今回は9月と,早めに勉強をスタート。問題集も2回解いた。レビューマニュアルにもざっと目を通し,キーワードを理解した。
11月に入ると受験票のメールと現物が届き,2006年12月9日に2度目の試験を受験。前回の反省から,前日は早く帰って体調を整えていたため集中力は途切れず,「8割くらいはできたかな」と自信を持って試験会場を後にすることができた。
そして2007年2月2日,試験結果のメールが届いた。合格だった。「We are pleased to inform you that you successfully PASSED the exam with a total scaled score of 78.」とある。78点と,点数は思っていたよりも低かった。6つの科目の得点は以下の通りである。
73 IS Audit Process
80 IT Governance
75 Systems and Infrastructure Life Cycle
81 IT Service Delivery and Support
75 Protection of Information Assets
90 Business Continuity and Disaster Recovery
科目で見ると,「災害復旧と業務継続」が前回よりも大きく得点を伸ばした。勉強不足を解消した結果と言える。この科目は,日本のIT関連の試験ではあまり馴染みがないだけに,勉強しないと点が取れない。逆に勉強さえすれば点が取れる科目と言えよう。
合格のメールを受け取った後,申請書をISACA本部に提出。筆者の誕生日である3月31日に,CISA資格が正式に認定されたというメールが届き,その後認定証が送られてきた。
こうして,何とかCISA資格を手にすることはできたが,これで終わりというわけではない。CISA資格を維持するには,1年で20単位,3年で 120単位(1単位は50分)の研修受講などの「継続教育活動」が必要だからだ。維持手数料も毎年40ドル支払う必要がある。
今後は,CISA資格を維持しながら,この資格を大いに活用していきたいと考えている。さらにCISAとともに内部統制の面で注目を集める「CIA(Certified Internal Auditor,公認内部監査人)」の取得も目指している。CIAは,米国フロリダに本部がある「IIA(内部監査人協会)」が実施している資格で,この5月に初めて受験したところである(なお,この試験もまる2日間で3.5時間×4科目という長丁場だ)。
試験概要:CISA(Certified Information Systems Auditor,公認情報システム監査人)
情報システムの監査,セキュリティ,コントロールに関する高度な知識,技能と経験を持つプロフェッショナルとして,ISACA(情報システムコントロール協会,本部は米国イリノイ)が認定する国際資格。毎年2回,6月と12月の第2土曜日に,全世界約70カ国180都市(日本は東京,名古屋,大阪,福岡)で試験を実施。全試験会場で日本語,オランダ語,英語,フランス語,ドイツ語,ヘブライ語,イタリア語,韓国語,中国語,スペイン語で受験可能。資格取得には,最低5年間の情報システム監査,コントロール,セキュリティ分野の実務経験の証明が必要。
新福 保隆(しんふく やすたか)
1983年大学卒業後,教育系出版社の編集記者,大手予備校・資格スクールの出版部門などに勤務。その後,FC経営コンサルタントやIT講習講師,書籍執筆,内部監査,システム監査,ISOコンサルティングなどを経験。趣味は資格取得で,上級システムアドミニストレータ,第一種情報処理技術者,DB2エンジニア,MOT(Microsoft Official Trainer )といったIT関連資格のほか,特定社会保険労務士,宅建,行政書士,衛生工学衛生管理者,一般旅行業務取扱主任者,防災士など134の資格を取得している。現在はCISA,簿記などの資格試験受験対策講座の講師,ハローワークの若年者向け公共職業訓練メイン講師,小中学校教職員向けICT講師,ITサポートエンジニアとして幅広く活動中。
********2006******************************************************************************************************************
Microsoft Office Master体験記
※試験実施元のオデッセイさんのHPです。
以前は質問していた自分が質問される立場に。
Office Masterへの取り組みで知識とスキルの”漏れ”を一掃!
埼玉県川越市在住
新福 保隆さん(45歳)
社会保険労務士・編集者
2005年8月 Microsoft Office Master 取得
今や就・転職の現場において、企業が求める人材の条件に“Word、Excelが使える”というのは当然で、PowerPointやAccessについてもWord、Excel同様に必須スキルとして求められつつあると思います。そんなご時世に、私自身も「長年、自己流で使用してきたけど、果たして自分は本当に“Officeを使える”と言えるのだろうか?」という疑問を持つようになりました。
そこで、自分の実力を確認するとともに自分に不足している知識・スキルを補うため、Officeのアプリケーションソフトの勉強に着手。Microsoft Office Specialistを受験しようと思った理由は、資格制度の体系化された内容をパッケージとして学ぶ方が、市販の参考書を片手に独学するよりも効率的で漏れがないと考えたからです。
実際の勉強に際しては、自宅での勉強時間があまりとれないため通勤電車のなかでの勉強に頼らざるを得ないなど苦労しました。しかし、苦労を重ねた結果、以前は簡単な作表くらいしかできなかったExcelで、複雑なグラフや図表も簡単に作成できるようになるなど、Expertレベルでの勉強を中心に、以前はできなかった操作を数多く習得することができました。高度な機能が使えるようになったため、以前は人に操作方法を聞く側だった私が、逆に人から質問されるようになったのは大きな変化ですね。
Office 2003 Editionsの全科目やIC3に合格し、IC3認定インストラクターの認定も受けた現在は、VBAの勉強に取り組みながら、新しいバージョンのOfficeのリリースを楽しみに待とうと思います。
(2006年10月取材)
********2005******************************************************************************************************************
日経BP社「ITプロフェッショナルweb版・IT資格ゲッターの不合格体験記」第37回 「MCA Security」(2005/6/16)
ITプロフェッショナルweb版
※雑誌本体ではなく、Web上の記事です。
第37回 MCA Security
厳しかったセキュリティ資格4連戦
試験の名称と概要: MCA Security
MCA(Microsoft Certified Associate)の4つの資格のうちの1つ。MCA プログラムは,ITを理解し組み立てて活用できるスキルを認定する資格制度で,ITを活用するあらゆる分野の人を対象としている。資格の種類は,MCA Database,MCA Platform,MCA Application,MCA Securityの4つがあり,すべてに合格するとMCA Masterとなる。MCA全部の資格者数は1万6千人(2004/11現在)。
筆者略歴: 新福 保隆(しんふく やすたか)
社会保険労務士・テクニカルライター・教材編集者・講師。金融雑誌の編集記者,大手資格スクールの雑誌・書籍編集長を経て,現在はIT関連資格試験教材の執筆・編集・講師などの教育事業,雑誌執筆などに従事。保有する資格はシステム監査技術者,上級システムアドミニストレータ,DB2エンジニア,NACSE NWT,NASKAエキスパート,パソコン財務会計主任者,MOTといったIT資格のほか,宅建,行政書士,DCアドバイザー,1級建設業経理事務士,1級販売士,ビジネスキャリアマスター(5部門)などのビジネス資格や一般旅行業務取扱主任者,衛生工学衛生管理者他多数。共著・雑誌執筆も多数。近著に「どこでも速習ハンドブック社会保険労務士(全2冊)」,「どこでも速習ハンドブック宅建(全2冊)」(ローカス,2005年5月刊)がある。
最近,IT関連資格の中で最もホットなのは「セキュリティ」に関する資格だろう。次々と新しい試験が登場しており,受験者数も急増中だ。例えば情報処理技術者試験の「情報セキュリティアドミニストレータ」は,他の受験者数の伸び悩みを尻目に,1万人単位で急上昇している。昨年秋ごろ,IT関連資格試験の教育事業に携わる身として,セキュリティ関連の資格を取ろうと考えた。
セキュリティ試験4週連続受験を敢行
まずはメジャーな試験をいくつか受けることにした。各試験の出題内容には共通する部分も少なくないので,まとめて受ければ効率が良いはずだ。だが,「情報セキュリティアドミニストレータ」の試験は年に1度しかないから,それに合わせて他の試験の受験日を決めなくてはいけない。そう考えて,次のようなスケジュールを立てた。セキュリティ試験の「4週連続受験」である。
10月17日 情報セキュリティアドミニストレータ
10月24日 SEA/J CSBM(Certified Security Basic Master)
10月31日 CompTIA Security+
11月 7日 MCA Security
Webの情報や試験概要などを見て,「情報セキュリティアドミニストレータ」と「CompTIA Security+」は1度で合格するのは難しいと思ったが,「SEA/J CSBM」と「MCA Security」は易しそうなので受かるだろうと,高をくくっていた。まずは「情報セキュリティアドミニストレータ」に目標を定め,全体的に勉強することにした。そのうえで,勉強したことを忘れないうちに「SEA/J CSBM」と「CompTIA Security+」を受験する,という作戦を立てた。「MCA Security」はいつでもいいと思っており,「CompTIA Security+」を申し込んでから受験を決めたので最後になったが,後から考えれば,受験順序は逆にすべきだった。
それぞれに特色があるセキュリティ試験
第1戦目の「情報セキュリティアドミニストレータ」は午後I試験の選択を失敗し,惜敗した。問3のウイルス対策の図が難しそうだったので問4のデータセンター選定時の要件定義を選んだのだが,設備関係の知識に乏しくチンプンカンプンだったのだ。午後試験の出題範囲は,情報セキュリティシステムの「企画・設計・構築」から「運用・管理」,「技術」までと広範囲にわたる。技術問題,管理問題,設備関係などの業務問題が混在し,広く深く出題されるうえに解答も見つけにくい。利用者側の試験なのでセキュリティポリシーやISMSは当然だが,難解と言われる「テクニカルエンジニア(ネットワーク)」に匹敵する深い技術知識も必要で,これは数あるセキュリティ試験の中で最も総合力が必要だと感じた。
第2戦目の「SEA/J CSBM」は,大半の人が教育コースを受講してから受験する。私は教育コースを受講せず,しかも市販の教材もなかったため,厳しい環境下の受験になった。しかし辛くも合格した。おそらく「PKI(Public Key Infrastructure)」について重点的に学習したのが良かったのだろう。実はこの試験の出題範囲を見たとき,「情報セキュリティアドミニストレータ」の知識を基礎にすればほぼ十分で,中でもPKI関係に重点がありそうだと感じたのだ。複数のセキュリティベンダーのアライアンスが実施している試験だけあり,「情報セキュリティアドミニストレータ」より理論が少なく実務知識が多く,即戦力のセキュリティ人材を養成する色合いが強かった。
次は第3戦目の「CompTIA Security+」。これにはまったく歯が立たず惨敗した。100点~900点のスコアで764点が必要なのに,604点しか取れなかった。勉強に使ったTAC教材の読み込みが足りなかったこともあるが,それ以上に,この試験は極めて実務的なのだ。例えば任意アクセス制御(DAC)を実装したシステムの動作などは,実際に自分の手で設定してみないと理解は難しい。今回受験した4試験の中で,最も実務に即した試験だと言えるだろう。試験終了後にすぐ表示される得点レポートでは,「以下の試験目的の分野で,1問以上の設問に正解しませんでした」という箇所が,32分野中で19分野もあった。
個別では合格だが,なぜか総合不合格
ここまで3戦で1勝2敗。最後は「MCA Security」だ。前の週の試験が終わった後,大急ぎで受験対策本「MCA教科書 Security」(翔泳社)を1週間でこなして試験に臨んだ。
これまでベンダー試験やベンダーニュートラル試験をたくさん受けてきたが,マイクロソフトの試験は初めてだったせいか,解きながらどうにも自信が持てない。翻訳調の問題文も気になる。特に法律系では「ひっかけ」が多く,疑心暗鬼にもなった。「たぶん大丈夫だ」と自分に言い聞かせながら何とか終了した。その結果は……。
IT理論 合格
製品技術 合格
ソリューション 合格
総合判定 不合格
合計スコア 536(合格ライン560)
なんで個別分野は3つとも合格なのに,総合判定では不合格なのか。よく分からないが,おそらく個別分野ごとのボーダーラインは超えていたが,総合で見ると合格点に達していなかったのであろう。あまりにも悔しかったので,受験の帰り道でインプレスの対策本を購入しリベンジを誓った。このままでは終われない。
ギリギリで冷や汗のリベンジ
敗因は「MCA Security」を甘く見ていたことにある。受験する試験について過去問や受験者の話から難しいと判断した場合は,過去問を何度も解いて間違いがなくなるまで勉強してきた。また選択式試験ならば,解答の選択肢を全部調べて,正誤とその理由が言えるようにした。しかし「MCA Security」はそれほど難しい試験だと思わなかったので,過去3戦で蓄積した知識で大丈夫だろうと思い,上っ面の勉強しかしなかった。実際には「Windows File Protection」や「Windows Rights Managementサーバー」などマイクロソフト特有の知識が出題され,他の試験の知識が役に立たなかったのだ。
既に買った「MCAセキュリティ問題集」(インプレス)に加えて,「MCAセキュリティ標準問題集」(リックテレコム)を購入し,前回から使っている翔泳社の本と合わせて3冊を隅から隅まで学習した。このとき分かったことは,「MCA Security」のようなベンダー試験は,「情報セキュリティアドミニストレータ」ほど理論重視ではなく,頭の中を機能的・スペック的に整理することが重要ということだ。
そして昨年暮れの12月26日に,2度目の受験をした。
IT理論 合格
製品技術 合格
ソリューション 合格
総合判定 合格
合計スコア 560(合格ライン560)
ギリギリで合格し,リベンジを果たせた。合格できた要因は,1問ずつ丁寧に解いて理解する,という基本に忠実な学習を繰り返したからだと思う。それにしても,合格ラインぴったりとは,冷や汗ものである。
まだまだあるセキュリティ資格
セキュリティに関する資格は,私が挑戦したもの以外にも,「CIWセキュリティ・プロフェッショナル」「Virus Protection & Integrated Client Security Solutions」「CCSP(Cisco Certified Security Professional)」,「ネットワーク情報セキュリティマネージャー(NISM:Network Information Security Manager)」「情報セキュリティ検定」など,たくさんある。
情報処理技術者試験では,来春から新しく「テクニカルエンジニア(情報セキュリティ)」が新設されるそうだ。これは開発者の試験で,前からある「情報システムアドミニストレータ」は利用者の試験であると,明確に位置づけが示された。つまり,一言でセキュリティといってもさまざまな観点があり,試験の内容もその観点に応じて違うのだ。
私はシステム監査技術者のはしくれである。今後は監査の観点で「情報セキュリティ専門監査人」や「公認情報セキュリティマネージャー(CISM:Certified Information Security Manager)」といった試験にも挑戦したいと考えている。その前にまず,「CompTIA Security+」に再挑戦しなければならないが……。
[2005/06/16]
© Rakuten Group, Inc.
