「セキュリティに関する実力を証明したい」「国際的に通用するセキュリティ技術を学びたい」とお考えであれば、公認情報セキュリティマネージャー(CISM)の合格を目指してみてはいかがでしょうか。
公認情報セキュリティマネージャー(CISM)はセキュリティマネジメントに関する国際的な認定資格であることから、ご自身のキャリアアップ、社内や組織内のセキュリティ性の向上に役立つのは間違いありません。
今回は公認情報セキュリティマネージャー(CISM)に関する基礎知識や詳細情報、公認情報セキュリティマネージャー(CISM)の資格取得のメリット・デメリット、公認情報セキュリティマネージャー(CISM)合格のための参考書の選び方や勉強方法についてお話しします。
目次
1.公認情報セキュリティマネージャー(CISM)に関する基礎知識
はじめに公認情報セキュリティマネージャー(CISM)に関する基礎知識について解説します。
公認情報セキュリティマネージャー(CISM)とは
公認情報セキュリティマネージャー(CISM:Certified Information Security Manager)とは、ISACA(旧:Information Systems Auditand Control Association)が実施している情報セキュリティマネジメントに関する認定試験です。
ISACAは東京支部も含めて、世界的に情報システム、情報セキュリティ、リスク管理や監査なども含めた技術の専門家が集まる国際的団体であり、公認情報セキュリティマネージャー(CISM)は日本だけでなく世界各国で実施されています。
現代におけるセキュリティリスク、セキュリティインシデント、サイバー攻撃、内部不正などに対するセキュリティ人材としての実力を、国際的に証明することができる認定資格であると言えるでしょう。
公認情報セキュリティマネージャー(CISM)の受験に実務経験は必要か
公認情報セキュリティマネージャー(CISM)の受験に実務経験は必要ありません。ただし、受験の前提条件ではないものの、合格後5年以内に実務経験を得て、所属する企業や組織から正式な実務経験の証明ができないと合格が失効してしまうという点に注意が必要です。
継続維持のための詳細は後述しますが、公認情報セキュリティマネージャー(CISM)として合格し、資格を維持していくことで、結果的に実務経験の証明になります。合格と維持によって、セキュリティのスペシャリストとしての実務経験と実力をアピールできると覚えておきましょう。
公認情報セキュリティマネージャー(CISM)の合格で目指せるキャリア
セキュリティマネージャー
内部監査員及び外部監査員
セキュリティ責任者(CSO:ChiefSecurityOfficer)
情報セキュリティ責任者(CISO:Chief Information Security Officer)
セキュリティコンサルタント
公的機関のセキュリティ対策チーム
上記が公認情報セキュリティマネージャー(CISM)の合格で目指せるキャリアの一例です。まずはセキュリティに強い人材という時点で、すでに希少価値の高い人材になれるということを覚えておきましょう。
そして、エンジニアなどの領域、もしくは管理職としてのポジションなど、ご自身が望むキャリアに合わせて知識やスキルを身につけていくことで、キャリアチェンジもキャリアアップがしやすくなるため、将来的なキャリア形成についてもしっかりと考えていくことが大切です。
2.公認情報セキュリティマネージャー(CISM)の詳細情報
次に公認情報セキュリティマネージャー(CISM)の詳細情報について解説します。
公認情報セキュリティマネージャー(CISM)の詳細
試験名 | 公認情報セキュリティマネージャー(CISM) |
|---|---|
英語名称 | Certified Information Security Manager |
試験会場 | PSI試験会場 自宅PCによるオンライン受験 |
試験日時 | ・ISACA国際本部のWebからオンラインで受験申し込み後、PSI社のサイトで受験会場と試験日を選択 ・自宅の場合はオンライン受験を選択 |
試験時間 | 4時間 |
出題形式 | 多肢選択(四択) |
出題数 | 150問 |
合格基準 | 800点中450点以上 |
合格条件 | 情報セキュリティマネジメントに関する5年以上の実務経験 |
受検料 | ISACA会員:$575 非ISACA会員:$760 |
試験結果 | 試験終了後、アンケートに回答した後に合否が表示 |
上記が公認情報セキュリティマネージャー(CISM)の詳細です。試験日時については、英語のみのISACA国際本部にアクセスし、受験申し込みをした後に確認できるようになっているため、受験を検討する段階で翻訳しながらどのような日程かチェックしておくと良いでしょう。
自宅でのオンライン受験の場合は英語の試験官とのコミュニケーションが必要であるとのことなので、英語は苦手な方は提携するPSI社のサイトの会場を前もって調べておき、ご自宅から遠い場合は遠征することも検討しながら受験計画を練るようにしてください。
公認情報セキュリティマネージャー(CISM)の出題範囲
大分類 | 内容 | 出題割合 |
|---|---|---|
1.情報セキュリティガバナンス | 情報セキュリティ戦略が組織の目標および目的と一致していることを確実にするために、情報セキュリティガバナンスフレームワークおよびサポートプロセスを確立・維持 | 17% |
2.情報リスクの管理 | 組織の目標や目標を達成するために、リスク選好に基づいて情報リスクを許容レベルまで管理 | 20% |
3.情報セキュリティプログラムの開発と管理 | 情報セキュリティ戦略とビジネス目標に沿って組織の資産を特定、管理、保護する情報セキュリティプログラムを開発・維持し、それによって効果的なセキュリティ体制をサポート | 33% |
4.情報セキュリティのインシデントの管理 | ビジネスへの影響を最小限に抑えるために、情報セキュリティインシデントを検出、調査、対応、回復する能力を計画、確立、管理 | 30% |
上記が公認情報セキュリティマネージャー(CISM)の出題範囲です。公式サイトには大分類の大まかな内容しか掲載されていないことから、詳細を知りたい方は「CISM試験ドメイン」のPDFをチェックしてみてください。
さらに詳細を知りたい場合は「ISACA国際本部のCISMページ(英語)」を確認するようにしましょう。受験を前向きに検討されている場合、受験の前にオンラインで利用できる教科書を購入し、自分自身の理解度をチェックした上で、不足している要素の専門書や技術書を読み解くことから始めてみても良いかもしれません。
公認情報セキュリティマネージャー(CISM)の受験者数・合格率・難易度
公認情報セキュリティマネージャー(CISM)の受験者数と合格率は非公開となっており、公式には記載がありません。
難易度については前述した出題範囲、そして試験時間か4時間、問題数が全体で150問、800点中450点以上、パーセンテージにして正答率56.25%以上、約85問以上の正解が必要であることをを踏まえると、出題範囲を網羅的に記憶し、同時に理解を進めていけば、合格は難しくなさそうな試験に見えるかもしれません。
しかし、四択の出題形式ですが150問中約4割を正解しなければならないこと、5年以上の実務経験がある意味前提となっていること、ある程度の英語力も必要なことから、国内のセキュリティマネジメント資格以上の難易度であることが推測されます。
実務経験があり自信がある方は直接受験を検討してみても良いかもしれませんが、初めて情報セキュリティマネジメントを学ぶ場合は、IPAの実施する情報セキュリティマネジメント試験(SG)やシステム監査技術者試験(AU)、情報処理安全確保支援士試験(SC)の受験と合格を経てから、公認情報セキュリティマネージャー(CISM)に挑戦することも検討してみてください。
公認情報セキュリティマネージャー(CISM)の申し込み手順
ISACA国際本部のCISMページ(英語)で登録と受験申し込み
ISACAが提携するPSI社のサイトで試験会場、試験日を選択して予約
指定した受験日に会場もしくは自宅で受験
上記が公認情報セキュリティマネージャー(CISM)の申し込み手順です。予約の際は英語による表記になっていることから、英語が苦手な方は翻訳しながら進めたり、東京支社に連絡を取ったりして着実に申し込みができるようにしましょう。
自宅での受験の場合、受験環境を整える必要があります。公式サイトにはある程度のスペックが求められることが記載されていること、英語での身分証明書の提示が必要であることから、どうしても自宅で受ける場合は前もって問い合わせをして受験できる状態かをチェックしてください。
公認情報セキュリティマネージャー(CISM)の有効期限
公認情報セキュリティマネージャー(CISM)の有効期限、すなわち維持するためには年間20CPE、3年で120CPE以上の継続学習報告、年間維持費用の支払いが必要です。情報セキュリティマネジメントやサイバー攻撃など、日々進化を続ける技術やスキル及び知識に対して、アップデートするために必要な仕組みと言えるでしょう。
情報セキュリティマネジメントに関する講習会や研修会、プレゼンテーションなど継続的な専門教育活動の時間、50分につき、1CPE時間が付与されるようになっています。有効期限ギリギリになってCPEが足りずに資格を失うことのないようにするためにも、CPE獲得できているかどうかも含めて、困った時はISACAの東京支社に連絡を取り、確認するようにしてください。
公認情報セキュリティマネージャー(CISM)の勉強時間
公認情報セキュリティマネージャー(CISM)の勉強時間については、受験される方の情報セキュリティマネジメントに関する理解度、実務経験によって大きく異なります。
前述したように公認情報セキュリティマネージャー(CISM)の受験には実務経験は必要ないものの、合格のために5年の実務経験を申請する必要があることを考えると、実務経験に近い知識やスキルを備えている必要かあることが推測されるのが理由です。
実務経験があり、情報セキュリティマネジメントに関する知識やスキルがある場合において、およその勉強時間は200時間から300時間ほど必要になることが推測されます。
実務経験がなく、情報セキュリティマネジメントについて初めて学ぶ方の場合、セキュリティの基礎に関する土台を身につける段階で100時間以上、実務経験に近しい知識を身につけるために、さらに200時間から300時間以上必要であると見込んでおくと良いでしょう。
3.公認情報セキュリティマネージャー(CISM)の資格取得のメリット
次に公認情報セキュリティマネージャー(CISM)の資格取得のメリットについて解説します。
セキュリティ人材としての実力と実務経験の証明になる
公認情報セキュリティマネージャー(CISM)の資格取得のメリットとして、セキュリティ人材としての実力と実務経験の証明になることが挙げられます。認定試験の受験自体には実務期間は必要ないものの、合格を維持するためには実務経験の証明が必要となるのが理由です。
同様にすでに実務経験が証明できる方であれば、実力と実務経験の両方の証明になるのも大きなメリットと言えるでしょう。また、就職や転職に有利になるだけでなく、所属する企業や組織のセキュリティ性を担保する大事な存在として、上のポジションへの昇格をしやすくなるということも知っておきましょう。
キャリアアップやキャリアパスの向上に繋がる
公認情報セキュリティマネージャー(CISM)の資格取得のメリットとして、キャリアアップやキャリアパスの向上に繋がることが挙げられます。情報セキュリティの専門家としての実力の証明になるということ、実力に合わせた実務経験を増やしていけるのが理由です。
今や日本国内のみならず、海外においても悪意のある第三者によるサイバー攻撃によるリスクからは逃れることは難しくなりました。日本国内においてもセキュリティ人材の不足が懸念されており、高度なセキュリティマネジメントを理解する人材は希少とされています。
認定資格に合格することで、部門やチームの一員としてだけでなく、チームリーダーや管理職、実績の積み上げ方次第で、将には経営に近いポジションも狙えるようになるでしょう。
国内外での転職やプロジェクトに参画する時に有利になる
公認情報セキュリティマネージャー(CISM)の資格取得のメリットとして、国内外での転職やプロジェクトに参画する時に有利になることが挙げられます。認定試験の実施元であるISACAが日本も含む国際的な組織であることが理由であり、海外でのキャリアパスの形成を考えている方におすすめということです。
同時に日本国内に支店や支社を持つ海外の大手ベンダーへの就職や転職も視野に入るようになり、様々な実務経験や実績を増やしていくことも魅力と言えます。もちろん、英語力は必要ですが、自分自身の知識がスキルを日本だけで縛られることなく、海外でも活用していきたい場合にも役立つ認定資格と言えるでしょう。
4.公認情報セキュリティマネージャー(CISM)の資格取得のデメリット
次に公認情報セキュリティマネージャー(CISM)の資格取得のデメリットについて解説します。
資格の取得や維持費にコストがかかる
公認情報セキュリティマネージャー(CISM)の資格取得のデメリットとして、資格の取得や維持費にコストがかかることが挙げられます。受験料、更新維持費用、更新の際に必要なCPEを取得するための継続学習の費用、そして勉強時間が必要になるのが理由です。
ただし、資格の取得と維持するためのコストについては、自分自身のキャリアにポジティブな影響を与えること、継続学習自体が自分自身のスキルアップにつながると考えると、むしろ積極的に投資するべきだと言えます。
同時にその後のキャリア形成やさらなる上のポジションを狙えるというリターンがあることを踏まえて、合格に向けて勉強のモチベーションを高めていくと良いでしょう。
5年以上の実務経験を証明する必要がある
公認情報セキュリティマネージャー(CISM)の資格取得のデメリットとして、5年以上の実務経験を証明する必要があることが挙げられます。前述したように受験自体には実務経験は必要ありませんが、合格を5年以内に実務を証明することができなければ、合格を失効してしまうのが理由です。
もちろん、受験の時点で実務経験が証明できるようであれば問題ありません。しかし、認定の合格によって、新しいキャリアに挑戦し、その先で実務経験を証明できるようしたい場合、タイミングによっては失効してしまう可能性があります。
そのため、合格とセットで転職や就職を計画しておくこと、もしくは所属する企業や組織で前もって実務経験の証明を得るための流れを知っておくことが大切です。
自宅で受験する場合は一定の英語力が求められる
公認情報セキュリティマネージャー(CISM)の資格取得のデメリットとして、自宅で受験する場合は一定の英語力が求められることが挙げられます。自宅でのオンライン受験の場合、英語の試験官と話す必要があることが理由です。
ただし、お住まいの地域の近くに試験会場があれば、直接会場に出向いて受験することで解決できる問題でもあります。また、公認情報セキュリティマネージャー(CISM)に関する情報収集、もしく勉強する場合など、すべてが日本語で記載されているとは限らないため、会場で受験する場合においてもある程度の英語力は必要であることは注意しておきましょう。
5.公認情報セキュリティマネージャー(CISM)合格のための参考書の選び方や勉強方法
次に公認情報セキュリティマネージャー(CISM)合格のための参考書の選び方や勉強方法について解説します。
公式が発行している教科書や問題集を利用する
公認情報セキュリティマネージャー(CISM)の合格に向けて、公式が発行している教科書やオンライン集を利用することから検討しましょう。
「ISACA米国本部のStore」にアクセスして、LanguageでJapaneseを選択すると該当する教材が表示されます。公認情報セキュリティマネージャー(CISM)は国際的な認定資格であることから、情報収集の際に全てが日本語であるとは限りません。
CISM試験レビューコースに参加する
公認情報セキュリティマネージャー(CISM)の合格のためにCISM試験レビューコースに参加する事も検討してみてください。随時開催されているわけではなく、2日間の日程の調整が必要ではあるものの、参加費用はリーズナブルな価格ですし、Zoomによるオンラインでの受講なので、比較的参加しやすいのが理由です。
すでに実務経験のある方、もしくはある程度セキュリティに関しては詳しいものの、試験の詳細をさらに知りたい方におすすめです。ただし、CISM試験レビューコースの参加が合格の前提条件とはならないこと、学習のための情報共有であることを留意しておいてください。
CISM試験レビューコースに参加することで、出題範囲の具体的な内容や学習の方向性が決めやすくなると覚えておきましょう。
出題範囲に関連する専門書や技術を読み解く
公認情報セキュリティマネージャー(CISM)の合格を確実なものにしたいとお考えであれば、取材範囲に関する専門書や技術書を読み解くこともおすすめです。可能であれば英語の書籍、もしくは英語のセキュリティに関する情報を少しずつでも読み解けるようにしていくとさらに合格できる可能性を高めることができるでしょう。
セキュリティマネジメントやセキュリティリスク、各種サイバー攻撃への対策、最新のサイバー攻撃の手法、内部監査や外部監査における内容など、網羅的に基礎から学んでいくことで、説明文や問題文を読み解きやすくなります。
また、リアルタイムで発生しているセキュリティインシデントについても興味を持ち、どのような手法で、どのような対策をすべきだったかなどを意識することが大切です。
関連記事
CISSPはセキュリティエンジニア向けの資格?試験概要や必要な知識、取得するメリット・デメリットを解説!
認定ホワイトハッカー(CEH)とは?基礎知識やメリット・デメリット、対策方法について解説
6.まとめ
今回は公認情報セキュリティマネージャー(CISM)に関する基礎知識や詳細情報、公認情報セキュリティマネージャー(CISM)の資格取得のメリット・デメリット、公認情報セキュリティマネージャー(CISM)合格のための参考書の選び方や勉強方法についてお話ししました。
公認情報セキュリティマネージャー(CISM)の取得は難易度が高く、一定の英語力は必要なものの、これらに見合ったリターンが期待できる認定資格と言えます。所属する企業や組織のセキュリティ性を高めて、従業員や顧客の安全性を確保したい、もしくはキャリアアップやキャリアチェンジ、さらなる上のポジションを目指したい方にもおすすめですので、是非とも合格に向けて頑張ってみてください。
最後までお読みいただきありがとうございました。
本記事が皆様にとって少しでもお役に立てますと幸いです。
