はじめに
CRISC(Certified in Risk and Information Systems Control)はISACA(イサカ)が主催する資格の1つで国際的にも権威ある資格の一つとされています。
近年はサイバー攻撃などの情報セキュリティリスクが高まっており、被害にあわないためにも適切なリスク管理が求められます。そのような中でITセキュリティのプロフェッショナルはリスク管理に精通し、企業戦略の立案・実行に参画し問題解決を図ることが期待されます。また、このような役務を担う方にとってCRISCの取得はとても大きな意味を持ちます。
そんなCRISCに関して、
- ISACAとは
- CRISCとは
- CRISCの試験詳細
- CRISC取得のメリット・デメリット
- CRISC試験の対策方法
について語っていきたいと思います。
ISACAとは
ISACAは1976年にアメリカで設立され、「ITガバナンス・コントロール・セキュリティおよび情報システム監査の世界的な指導的役割を担う」ことを目的としているNPO 団体です。
また、企業向けのIT ガバナンスフレームワークである COBIT を提供しており、それに付随する数多くの資格を認定しています。公認情報システム監査人(CISA)や公認情報セキュリティマネージャー(CISM)、公認ITガバナンス専門家(CGEIT)、公認情報システムリスク管理者(CRISC)などが主な認定資格となっています。
現在は、世界180 ケ国に渡り会員がおり、その総数は14 万人を超えるグローバル組織となっています。そして日本にもISACAの日本支部があり、東京支部、大阪支部、名古屋支部、福岡支部があります。ISACAの本会員になると、各支部に所属する権利を得ることができる仕組みとなっています。
出典:https://www.isaca.gr.jp/(ISACA東京支部公式)
CRISCとは
CRISCは特定の企業に属さないベンダーフリーな資格で、製品やサービスに縛られない汎用的なセキュリティ資格となっています。2010年に創設された比較的新しめの資格となっており、組織のITリスク管理に焦点を当てた資格です。
※他に類似する資格は今のところ存在していない
CRISCは以下のリスク管理のベストプラクティスを体系的に学ぶことができる資格となっています。
①リスク特定
②リスク分析
③リスク評価
④リスク評価
⑤リスク優先順位付け
⑥リスク対応
主な対象者は組織におけるリスク管理や情報システムコントロールの設計・導入・運用に携わる専門家としているため、リスク管理業務に携わったことがない方にとっては、難易度が高く馴染みずらい内容となっています。
CRISCの試験詳細
※2025年3月現在、CRISCは日本語で受けることができません
受験資格:特になし ※認定要件は厳しい
試験日程:希望の日時を選択
受験会場:①全国ピアソンVUEの試験センター、②オンライン受験
出題数:150問
試験方法:選択式
試験時間:4時間
回答方法:四者択一
受験言語:英語、スペイン語、中国語
試験範囲:以下の4ドメイン
- ドメイン1:ガバナンス(26%)
- ドメイン2:IT リスクアセスメント(20%)
- ドメイン3:リスク対応および報告(32%)
- ドメイン4:情報技術およびセキュリティ(22%)
合格点:450点(800満点)
受験料:$760(ISACA会員の方は$560)
結果:受験後すぐに暫定結果を確認可能
認定方法:ビジネス業務経験が5年以上かつ、CRISCのいずれか2ドメインにおいて3年以上のリスク管理業務経験 ※2ドメインのうちのどちらかはドメイン1or2である必要がある
出典:https://isaca.gr.jp/crisc/index.html(公式)
試験難易度
CRISCの試験はセキュリティ関連の資格の中でも難易度が高いとされています。試験範囲はそこまで広いわけではなく、知識を問われる問題もあまり多くはありません。
ではなぜ難しいとされているのか。その理由はCRISCは知識ではなく、思考能力や判断能力を問う試験だからです。リスク管理の全体の流れを把握し、各フェーズで実行される施策をどのように実行に移すのかということが試験の中では問われます。リスクマネジメントに携わったことがない方にとっては難易度が高いと感じるかもしれません。
合格のためには100~150時間の学習時間が必要と言われており、リスク業務の経験がない方は200~300時間程度必要かもしれません。
一方で、得点正解率の合格ラインが60%となっていて、そこまで高得点を求められるわけではありません。チャンスが全くないというわけではないのしっかりと準備をすれば合格も可能です!
また、問題数は150問で試験時間は4時間となっていてかなり余裕を持って問題を解くことができます。きちんと問題を読み、与えられたシチュエーションを理解すれば回答を絞ることができるので、合格に近づくことができます。
私たち日本人にとっての一番の壁は英語かもしれません。2025年3月時点ではCRISCは日本での試験を受けることができません。また、問題集も日本語がない(レビューマニュアルは日本語あり)ため、こういった側面も難易度が高い要因ですね。
CRISC取得のメリット・デメリット
メリット
情報セキュリティのリスク管理に関する知識を体系的に学ぶことができる
試験合格のためにはISACAが提供するCOBITのリスク管理フレームワークを理解する必要があります。単語の暗記だけでなくCOBITの考え方を理解することで、置かれた状況に応じて適切なリスク管理行動を実施することができます。
リスク管理の知識と経験の証明となる
CRISCは日本ではあまり有名な資格ではありませんが、世界的に権威のある資格とされており、保有することで情報セキュリティのリスク管理スキルを客観的に証明することが出来ます。また、資格の維持をするためには、継続的に学習を続けてCPEを獲得することが求められるため、CRISCを保有しているということは自己研鑽を続けているという証明となるのです。
転職・キャリアアップに有利
現在日本だけでなく世界的にハイスキルなセキュリティエンジニアは不足しており、東洋経済によると日本ではセキュリティ人材が11万人不足しているとのことです。その中で、リスク管理に関する知識やスキルの証明となるCRISCを保有することで転職やキャリアアップに有利に働く可能性が高いです。
出典:https://toyokeizai.net/articles/-/727210?display=b(東洋経済)
国際的に活躍できる可能性がある
CRISCはベンダーフリーかつカントリーフリーな資格であるため世界的にも有名です。ITの進歩に伴い情報セキュリティのリスク管理の重要性が増している情勢でもあるため、外資系企業や外資監査法人などでCRISC保有者を採用するケースが増えています。
デメリット
高額な受験料、参考書費用、認定費用
CRISCの受験料は$760(ISACA会員は$560)であり、日本円に換算すると11万円程(2025年3月時点)です。合格すればいいですが、落ちた場合は痛い出費となります。
また学習によく利用される公式問題集も$139(ISACA会員は$109)となっており、勉強自体のハードルも高いです。
認定費用も$50となっており、認定までの費用を合計すると約$1000程度かかる計算になりますね。
厳しい認定条件
CRISCの認定には試験の合格と実務経験が必要です。社会人として5年以上のフルタイムの業務経験が必要です。加えて、CRISCの関連ドメインの中で3年以上のフルタイムでの業務経験も必要です。
※ドメイン1or2の業務経験はマストです
また、CRISCは認定のための業務経験の免除がありません。こういった部分もCRISCの認定が難しい要因ですね。
出典:https://support.isaca.org/s/article/What-are-the-requirements-to-become-CRISC-certified(公式)
資格の維持が大変
CRISCの資格の維持には勉強時間が必要です。3年間で120CPE(Continuing Professional Education)を稼ぐ必要があり、時間に換算すると120時間の学習が必要です。セミナーや研修への参加、講演などで稼ぐことが可能です。
出典:https://www.isaca.org/-/media/files/isacadp/project/isaca/certification/crisc/crisc-cpe/crisc-cpe-policy.pdf(公式)
資格更新費用がかかる
認定更新のためには毎年年会費を支払う必要があります。資格更新料は$45となっていて中々に高額です。会社が負担してくれるケースもありますが、そうではない場合は痛い出費となります。
CRISC試験の対策方法
公式トレーニングの受講(現在日本語での研修はない)
残念ながら、2025年4月時点でCRISCの研修は日本では開催されていません。独学で試験に挑む必要がありますね。
独学
恐らく、多くの方が独学で試験の準備をすることになると思います。ISACA公式がCRISCのレビューマニュアル(参考書)と問題集を販売しており心強いです。
レビューマニュアルはISACAが提唱するCOBITの考え方に沿って、どのようにリスク管理を実施していくのかを解説しています。ただし、記載された日本語の文章がおかしかったりする部分もあるようなので、購入される方はご注意ください。
また問題集ですがこちらは英語版のみ入手可となっています。試験も英語なので、勉強の段階から慣れるのにいいですが、勉強のハードルが高くなりますね。問題集はドメイン毎に100-200問程度、別途150問の模擬試験問題が2回分収録されており、800問近くの問題数となっています。
問題を解きつつ分からない問題をレビューマニュアルで参照する、もしくは自分で調べるなどすることで深い理解をすることができるはずです。
出典:https://www.isaca.org/credentialing/crisc(公式)
自身の合格記もまとめているので、よかったらご覧ください。
オンラインプラットフォームを活用する
英語にはなってしまいますが、UdemyでCRISC対策講座をアップロードしている方がいますので、その講座を活用するのも効率的です。また、Youtubeでも対策動画を投稿している方もいますので、有効活用して対策を行いましょう。
私は、セキュリティの専門家であるPrabh Nairさんの動画をいつも出勤時に聞き流していました。インド英語ではありますが、スピードがゆっくりで分かりやすい英語で話してくれるので聞き取りやすいです。
出典:Udemy
まとめ
CRISCは専門知識を求められる大変難易度の高い資格のため、取得すれば情報セキュリティのリスク管理に関する広く深い知識を有することや経験があることを対外的に証明することができます。CRISCの保持者はISMSの認証業務や監査業務などに引っ張りだことという話もあります。
現在、ITは飛躍的に進歩をしている一方で、ブレーキ機能となるリスク管理はどの企業においても必須事項となっています。CRISCを取得することで、キャリアチェンジやキャリアップできることは間違いないので、ぜひ取得することをおすすめします!
