1. はじめに
先日晴れて、CRISCに認定を受けて合格証をいただきました。CRISCはまだ日本ではそこまでメジャーではない資格なので、今後受験される方の参考になればと思い勉強記を残しておこうと思います。
※NDAの関係上試験問題の細かい内容に触れることはできませんのでご了承ください
2. CRISCとは
近年は情報セキュリティにおけるリスク管理の重要性が高まっていますが、リスク管理のプロフェッショナルは人材不足とされています。日本においても適切なリスクマネジメントプロセスを理解し、実行に移すことができる方はかなり少ないのではと思います。
CRISCは特定の企業に属さないベンダーフリーな資格で、製品やサービスに縛られない汎用的な情報セキュリティリスク管理資格となっています。
資格保有者は全世界で2.6万人、日本国内では300人程となっており希少性が高い資格です。
より詳細な情報は下記ページにまとめているので是非見てみてください!
3. 筆者について
私は社会人歴7年目のシステムエンジニアです。日本でサーバーの保守・運用に2年ほど携わり、その後オランダに赴任し、セキュリティの業務を振られるようになり大体2年半の間、監査の対応や社内の情報セキュリティのリスク管理などの内部統制業務に携わっていました。
その後、インフラ系の事業会社に転職し、社内のIT部門でCSIRTやリスク管理などを主に担当しています。
資格取得としては、2023年にCISA、CISM、2024年にCISSPなどの様々なセキュリティ関連資格を取りました。
筆者の詳細は下記にまとめてあるので是非ご覧ください!
4. 受験の経緯
現在の業務がCSIRTや内部統制、セキュリティリスク管理などであり、体系的にリスク管理の勉強をしたいなという思いからCRISCの勉強を始めました。
CRISCは英語での勉強、受験となっていてハードルが高いですが、海外駐在経験もありある程度英語が得意なのでチャレンジしてみようと決意しました。
5. 勉強方法
5.1. 独学
私は社内でもまだまだ立場が低いため、60-100万円近くする外部トレーニングを受けさせてもらえるわけもなく、自費で出すわけにもいかずということで独学で試験対策を行いました。
学習時間は大体2か月くらい。通勤時間やお手洗いの時間などの隙間時間を利用して毎日2時間くらい勉強していたと思います。私自身、机に向かって学習することが苦手なのでこのような勉強方法になっています。トータルすると大体100-150時間くらいは勉強してましたね。
勉強方法としては、とにかく問題集を周回しました。設問の意味、および正解の選択肢がなぜ正解なのか、間違った選択肢はなぜ正しくないのかをきちんと理解するようにしました。CRISCは問題集と同じような問題は出ますが、全く同じ問題は出ないので、問題と解答の組み合わせを覚えるような勉強方法は無意味だと思います。
5.2. 問題集、レビューマニュアル
問題集
使用した参考書はISACAが出版している公式問題集1択です。残念ながら日本語の問題集が無いため、英語で頑張って勉強していました。
ISACAの公式ページで購入することが出来ます。価格は$159(会員は$129)となっています。
レビューマニュアル
また、レビューマニュアルというのも同じ価格帯で販売されていて、こちらは日本語となってます。試験合格を目的とするのであれば、特段不要かなと思っています。
6. 受験申込
受験の申し込みはISACAの公式サイトからすることが出来ます。
https://www.isaca.org/credentialing/crisc#register
手順は、
- 「How do I become CRISC certified」の下にある”Register”タブをクリックします
- 受験料の金額が記載されたすぐ下にある”REGISTER”をクリックします
- 画面遷移後、個人情報の入力、および試験規約の同意を行います
- 試験日と試験会場
- 試験の言語を選びます
- 受験料の支払いを済ませます
- 申し込みが完了するとISACA登録時のメールアドレスに通知が届きます
7. 受験日のこと
7.1. 持ち物
絶対に身分証明書を忘れないようにしましょう。最悪試験を受けられずに受験料を捨てることになってしまいます。
身分証明書は1つ持っていく必要があります
1.名前入り、かつ顔写真付きの身分証(パスポート、運転免許、在住カード)
私の場合は念のために、運転免許証とパスポートを両方とも持っていきました。
また、大体テストセンターは寒いのでカーディガン等軽くは折れるモノを用意しておくと温度調節できるので便利です。寒くて試験に集中できないともったいないので万全の用意をしていきましょう。
7.2. 試験会場まで
CRISCの試験時間は4時間もあるので、試験開始は朝9時30分からでした。朝が早すぎる。。。
試験会場も家からまあまあ遠かったため、朝7時に起きてテストセンターの近くへ移動し、カフェなどでリラックスしてから試験会場に向かいました。
こちらは秋原場で試験を受けた際の会場になります。
7.3. 試験開始
会場に到着したら、受付を済ませてから荷物をロッカーにしまうように言われます。試験部屋に持ち込める物は身分証明書のみで、腕時計なども外す必要があります。
準備ができたら、再度受付の担当者へ受験へ開始したい旨を伝え試験部屋へ案内してもらい試験開始となりました。
まず、NDAに同意をする必要があります。間違えて不同意にするとその場試験不合格となるので絶対に間違えないようにしましょう。
NDAに同意後、4時間の試験がスタートです。回答を終えた問題には戻ることができるので、不安な問題はフラグを付けておくといいでしょう。
試験中は基本的に休憩できないといわれたものの、トイレに行くことは可能です。私の場合は75問終えたタイミング、120問終えたタイミングでそれぞれ15分程度の休憩をはさみました。その間試験時間は進みますので、ご注意ください。
7.4. 試験中の所感
特段難しいと感じることはありませんでした。公式問題集と似た問題がとても多く、問題集をやりこんでいた私にとっては既視感のある問題が多かったです。
また、問題集に出てこない単語などは見受けなかったです。
ISACAの試験は答えを1つに絞り切れない問題が基本なので、2択まで絞り込むことができれば問題ないと思いながら回答を進めました。
試験中は正答率が7.5割程度かな~と思っていました。
7.5. 試験後の所感
最後の問題を解き終わり試験終了ボタンを押すと、ISACA特有の質問事項の回答となります。
自身の年齢や職業、試験を受験した理由や学習方法など約30問くらいの質問に回答後、ようやくお疲れ様でしたという表示と共に結果が表示されました。
試験の暫定結果はTemporalily Passedの文字が!見た瞬間に安堵し一気に力が抜けました。
8. 認定
8.1. 登録申請
CRISCは試験に合格するだけでは認定されず、認定のための登録申請をする必要があります。
試験に合格後10営業日以内くらいに、公式結果がメールが届きます。
私の点数は、549点でした!各ドメインの配点は以下の通りです。
公式結果をメールで受け取ると、ISACAのマイページ内の「CERTIFICATIONS」ページから認定申請費用を支払うことができます。
画面下部に進むと、CRISCの右側に”PAY APPLICATION FEE”ボタンがあるのでこちらからまず申請費用($50)を支払います。
申請費用の支払いが完了すると認定申請が可能となります。
申請する際はエンドースメントといって、CRISCが求める業務経験ががあることを認めてくれる方が必要です。エンドーサーの方には名前とメールアドレスを確認してください。私はお客様先のCRISC保持者にお願いしました。
9. 最後に
最後まで読んでいただきありがとうございました。私のCRISC受験記をまとめてみましたが、この記録が他の方を後押しするものとなれば幸いです。
是非あなたもCRISCへチャレンジしてみてください。そして、もし何か気になればご遠慮なく聞いてください。
