資格の有効性や「資格がどうあるべきか」は,常に筆者の"研究テーマ"だった。資格の有効性については,筆者は「資格は体系的な知識を身につける有効なパッケージだ」と考えている。

 ただ,「実務経験」を資格の中でどう位置づけるかは難しい。「実務経験がないと受験できない」となれば,優秀な受験者を排除してしまう。その結果受験者が減ってしまえば,資格自体を維持できない可能性がある。かといって実務経験を考慮しないと,「実務能力」を担保できない。

 理想的なのは,試験に合格するとともに実務経験を証明することで資格を取得できる制度だろう。この制度を採用しているのが,システム監査に関する国際資格「CISA(Certified Information Systems Auditor,公認情報システム監査人)」であり,以前から大きな興味を持っていた。2002年から,システム監査関係の実務経験を積んでいた筆者は, 2005年にこの資格の取得を目指すことを決断した。

分厚い教材をこなせず

 CISAは6つのドメイン(科目)から成り,

(1) IS Audit Process(情報システム監査のプロセス)10%
(2) IT Governance(ITガバナンス)15%
(3) Systems and Infrastructure Lifecycle(システムとインフラストラクチャーのライフサイクル管理)16%
(4) IT Service Delivery and Support(ITサービスの提供と支援)14%
(5) Protection of Information Assets(情報資産の保護)31%
(6) Business Continuity and Disaster Recovery(災害復旧と業務継続)14%

という比率で出題される。

 教材としては,CISAを認定する「ISACA(Information Systems Audit and Control Association,情報システムコントロール協会)」が販売している「レビューマニュアル」,「試験サンプル問題&解答・解説集」(625問),「試験サンプル問題&解答・解説集(追加)」(100問)がある。

 受験申込みに先駆けて,2006年1月にISACAに入会した。というのも,入会金30ドル,年会費200ドルを支払えば,受験料480ドルが 360ドル,レビューマニュアル135ドルが105ドル,試験サンプル問題&解答・解説集130ドルが100ドル,試験サンプル問題&解答・解説集(追加)60ドルが40ドルになるからだ。200ドル割引されるので,30ドルだけで入会できることになる。会員になるとインターネットから受験申込みもできる。その場合さらに50ドル割引してくれる。さらに「月例会」と呼ぶISACAのセミナーも無料で受講できる。

 2月に,入会金や年会費,受験料,教材代を米国のISACA国際本部に送金(クレジット決済も可能)。その数日後,入会確認のメールが米国から,その翌日にはISACA東京支部から確認メールが来た。そして数週間後,日本語の教材が米国から届いた。

 教材が届いて,まず感じたのは,600ページを超えるレビューマニュアルの厚さである。通勤に持ち運べるような大きさ・重さではない。そこで筆者は,「試験サンプル問題&解答・解説集」を通勤に持ち歩き,レビューマニュアルは家で辞書がわりに使う程度にとどめた。

 しかし,勉強はいっこうにはかどらなかった。まず,翻訳であるためサンプル問題が理解しにくい。また,日本のように「引っかけ問題」が少ない分,何を問いたいのかが分からない。日本の試験のように試験委員の色が出ないため,解いていて統一感がない。そして,何よりも圧倒的なボリュームである。

 分厚いレビューマニュアルを熟読することは最初から考えていなかったが,サンプル問題も「ITサービスの提供と支援」までしか終わらず,結局「情報資産の保護」と「災害復旧と業務継続」は手つかずだった。それでも,「自分は合格率6.9%のあの難しい『システム監査技術者試験』に受かっているのだから」と甘く考えていた。

長時間の試験で集中力が切れる

 5月になると受験票のメールと現物が米国から届いた。受験票には,「試験開始の30分前(8時30分)に主任試験官が口頭で試験の説明(Instruction time)を始めると試験会場への入場はできない(受験もできず受験料も払い戻しされない)」と明記されていた。これは,受付が込み合って試験場への入室が8時30分を超えたら受験できない,という意味だ。交通事情による遅刻も理由にならない。このため,毎年多くの人が受験できずに帰っているらしい。

 6月8日の試験当日。筆者は8時に試験会場に着くよう家を出たが,試験会場に向かう間,「万一電車が止まったら」と考えると不安だった。試験会場には無事8時に到着。9時に試験が開始されたが,なにぶん200問・4時間の長丁場である。トイレ退出の人が多く,落ち着かない。筆者は「特定社会保険労務士」の午前1時間半・午後3時間半とか「中小企業診断士」の丸二日という長丁場の試験の経験が活きて途中退出はしなかったが,疲労のため集中力が切れてしまい,眠りそうになった。前日は夜遅くまで働いていたからだ。それでも,自分なりに「そこそこはできただろう」と感じながら帰途についた。

 そして7月27日,試験結果のメールが届いた。「不合格」だった。「Your total scaled score is 72. A scaled score of 75 is required to pass.」とある。72点。合格ラインの75点に対して,わずか3点の不足である(ちなみにこの点数は科目ごとの得点の単純平均や加重平均ではない)。 6つの科目の得点は以下の通りだった。

73 IS Audit Process
75 IT Governance
76 Systems and Infrastructure Lifecycle
75 IT Service Delivery and Support
69 Protection of Information Assets
66 Business Continuity and Disaster Recovery

 後半の「情報資産の保護」と「災害復旧と業務継続」の2科目の得点が悪いのは,勉強不足と集中力が切れたことが原因であることは明らかだった。

早期の学習開始と体調管理でリベンジ

 2度目の受験は,8月に申し込んだ。試験は12月の予定だったが,今回は9月と,早めに勉強をスタート。問題集も2回解いた。レビューマニュアルにもざっと目を通し,キーワードを理解した。

 11月に入ると受験票のメールと現物が届き,2006年12月9日に2度目の試験を受験。前回の反省から,前日は早く帰って体調を整えていたため集中力は途切れず,「8割くらいはできたかな」と自信を持って試験会場を後にすることができた。

 そして2007年2月2日,試験結果のメールが届いた。合格だった。「We are pleased to inform you that you successfully PASSED the exam with a total scaled score of 78.」とある。78点と,点数は思っていたよりも低かった。6つの科目の得点は以下の通りである。

73 IS Audit Process
80 IT Governance
75 Systems and Infrastructure Life Cycle
81 IT Service Delivery and Support
75 Protection of Information Assets
90 Business Continuity and Disaster Recovery

 科目で見ると,「災害復旧と業務継続」が前回よりも大きく得点を伸ばした。勉強不足を解消した結果と言える。この科目は,日本のIT関連の試験ではあまり馴染みがないだけに,勉強しないと点が取れない。逆に勉強さえすれば点が取れる科目と言えよう。

 合格のメールを受け取った後,申請書をISACA本部に提出。筆者の誕生日である3月31日に,CISA資格が正式に認定されたというメールが届き,その後認定証が送られてきた。

 こうして,何とかCISA資格を手にすることはできたが,これで終わりというわけではない。CISA資格を維持するには,1年で20単位,3年で 120単位(1単位は50分)の研修受講などの「継続教育活動」が必要だからだ。維持手数料も毎年40ドル支払う必要がある。

 今後は,CISA資格を維持しながら,この資格を大いに活用していきたいと考えている。さらにCISAとともに内部統制の面で注目を集める「CIA(Certified Internal Auditor,公認内部監査人)」の取得も目指している。CIAは,米国フロリダに本部がある「IIA(内部監査人協会)」が実施している資格で,この5月に初めて受験したところである(なお,この試験もまる2日間で3.5時間×4科目という長丁場だ)。

試験概要:CISA(Certified Information Systems Auditor,公認情報システム監査人)
情報システムの監査,セキュリティ,コントロールに関する高度な知識,技能と経験を持つプロフェッショナルとして,ISACA(情報システムコントロール協会,本部は米国イリノイ)が認定する国際資格。毎年2回,6月と12月の第2土曜日に,全世界約70カ国180都市(日本は東京,名古屋,大阪,福岡)で試験を実施。全試験会場で日本語,オランダ語,英語,フランス語,ドイツ語,ヘブライ語,イタリア語,韓国語,中国語,スペイン語で受験可能。資格取得には,最低5年間の情報システム監査,コントロール,セキュリティ分野の実務経験の証明が必要。

新福 保隆(しんふく やすたか)
1983年大学卒業後,教育系出版社の編集記者,大手予備校・資格スクールの出版部門などに勤務。その後,FC経営コンサルタントやIT講習講師,書籍執筆,内部監査,システム監査,ISOコンサルティングなどを経験。趣味は資格取得で,上級システムアドミニストレータ,第一種情報処理技術者,DB2エンジニア,MOT(Microsoft Official Trainer )といったIT関連資格のほか,特定社会保険労務士,宅建,行政書士,衛生工学衛生管理者,一般旅行業務取扱主任者,防災士など134の資格を取得している。現在はCISA,簿記などの資格試験受験対策講座の講師,ハローワークの若年者向け公共職業訓練メイン講師,小中学校教職員向けICT講師,ITサポートエンジニアとして幅広く活動中。