見出し画像
Photo by kaede5557

システム監査技術者試験の勉強内容

るみおかん

2022年秋季IPA試験でシステム技術者試験を受けてきました。結果はまだ先ですが、勉強してきた内容とその評価をしておきます。
20221222更新)合格してました!

はじめに

受験のきっかけ

システム監査技術者試験の対象者は、システム監査を担当する担当者や管理者。システム監査を実施する会社は多くはないでしょうから、システム関連の何らかの内部監査の担当者になるかと思います。ISMSとか、QMSとか。

私はこれまで所属したいくつかの会社(SIer)でISO 9001の認証を取得していたので、品質マネジメントシステムの内部監査に関わったことがありました。転職した先で内部監査員としての業務があることがわかったので、取得しようと思ったのか受験のきっかけです。

試験構成

他の高度情報処理技術者試験と同じく午前の選択問題と午後Ⅰ記述問題、午後Ⅱ論文の構成です。時間配分も同じです。

他の高度試験を受けず、初の高度試験がシステム監査と言う方はほぼいらっしゃらないと思いますので、ここは割愛します。

システム監査技術者試験に向けた勉強内容

ではシステム監査技術者試験に向けて私がやってきたことをまとめておきます。

受験開始時点の私のスペック。

- 1年前にプロジェクトマネージャー試験合格
- 半年前にシステムアーキテクト試験合格
- システム監査に関する業務知識はほぼゼロ

買った本・やったこと

  • 翔泳社「うかる!システム監査技術者」

  • TAC「ALLONEシステム監査技術者試験」

  • ITEC「システム監査技術者合格論文の書き方」

  • 翔泳社「高度試験午後Ⅰ記述」(1年前PMの時に購入)

  • 翔泳社「高度試験午後Ⅱ論述」(1年前PMの時に購入)

  • 午前Ⅱ過去問7年分

  • 午後Ⅰ過去問7年分

  • 午後Ⅱ過去問7年分(章立てとネタ構想のみ

  • 実務参考書として「よくわかるシステム監査の実務解説」

  • 実務参考書として「内部監査人のためのIT監査とITガバナンス」

  • 経済産業省「システム管理基準」

  • 経済産業省「システム監査基準」

模擬試験

受験の約1ヶ月前にTACの模試を自宅受受験で受けました。
会場で受けた方が緊張感もシミュレーションできていいんですが、他の試験(FP試験)と被ってしまった。。。まあ、自宅でよかったかなと思います。会場受験日の2週間前には問題が届いたので、早めに受験できて気持ちの余裕ができました。

総勉強時間・期間

約260時間でした。
5月・6月に知識を詰め込むため一気に資料と実務参考書を読みましたね。

午前Ⅱの対策と評価

午前Ⅱの勉強内容

午前Ⅱ対策としてはほとんどやってないかな?過去問7年分やって、丸々覚えただけ。6月と試験直前にそれぞれ7年分やりました。

システム監査の午前Ⅱはシステム監査領域は10問くらいしか出ないし再出題もめちゃくちゃ多いので、7年分やっても50問くらいしかない。丸々覚えてしまえる量です。

とは言え、関連知識が無いと午後が解けないだろうと思ったので、インプットはそこそこ時間かけてやりました。業務に活かせるように実務知識は絶対入れたかったし。システム監査基準とシステム管理基準を熟読したのと、業務参考書をじっくり読んでます。

印刷して通勤中や昼休みにずっと読んでた

出題内容と自己採点

本試験の午前Ⅱ出題内容はかなり難しかったです(^^;; 
下手したら足切りある?と思ったけど公式解答で自己採点したら72点でクリアしてました。やばかったー!
→(合格後追記)実際の結果も72点でした。

受験後の感想

午前舐めすぎた(^^;;
システム監査領域も3問くらい落としてるし、セキュリティで3問落とした。経営分野の知識がなかったらほんまにやばかったです。
システム管理試験の過去問だけでは不十分でしたね。

やっとけばよかったこと

とは言えシステム監査領域の新規出題内容は、事前に勉強できる内容じゃなかったなと思いました。範囲が広すぎるんよ!金融庁の改正まで拾いに行けんよ。。。

準備が足らなかったのはセキュリティ関連の過去問チェックですね。安全確保支援士試験の午前Ⅱはざっとやっとくべきでした。あと、他区分の午前Ⅱ過去問の再出題が結構あったので、5年分くらいはみとかなあかんかったな。

午後Ⅰの対策と評価

午後Ⅰの勉強内容

午後Ⅰはひたすら過去問をやりました。問題文を全部印刷して、解いて、解答と照らし合わせて自己採点。公式解答と違うものは公式解答の表現が問題文のどこに出てきたかを確認して、導く方法を読み解きました。

最初は紙だったけど後半はiPadでやった

過去問さえあれば参考書はいらなかったかなと言う感じ。公式解答を見て、どうやってもそれが導けないと言う問題はほとんどない。問題文に書いていないことを書く問題はほぼないです。
強いて言えば、監査手続を書きなさいと言われたら監査観点と監査証拠をセットで書くといった絶対条件があるくらい。まあ、それもIPAの「講評」に書いてあるので読み解けます。

問題文の中でネガティブな表現とか怪しい文にマーキングしておけば、それが全て設問に出る。完全に読解力の国語の試験です。正直、システム監査特有の知識もそんなにいらないかなと。プロジェクトマネージャ試験みたいに知識を問われる問題は無い。

ただもちろん監査対象に関する知識は要ります。開発プロセスだったり情報セキュリティだったりの。そこは経済産業省の「システム管理基準」や「セキュリティ管理基準」で補えます。

出題内容と自己採点

過去問と傾向が違う問題はなかった印象。問1が個人情報管理の問題で、もしかしたら専門知識が必要かなと言う気がしたので避けました。

システム監査の午後1はだいたい、業務システムの監査、開発プロセスの監査、情報セキュリティの監査、システム運用の監査、に分かれます。私はセキュリティの監査がどうしても苦手で出てきたら避けようと思ってたので、その通りにした感じです。

TACの解答例が出たので照らし合わせて自己採点しましたが、そんなに高得点にはならないかな。。。書いてることは全て外してないんですけど、具体的に書いたところが解答例では抽象的に書いてあったり、逆もあったかな。まぁ気楽に待ちます(^^;;

→(合格後追記)89点でした!高得点!だいぶ採点基準広かったんだろな。

受験後の感想

勉強内容は充分だったかなと思います。ひたすら過去問。過去問5年分位で解答プロセスが導出できないものを潰しておけば、本番にもほぼ対応できると思いました。

やっとけばよかったこと

午前と同じく午後でもセキュリティの知識が足らない。3問中2問選択なのでセキュリティが出れば避けると言う戦略が取れますが、2問セキュリティ関連が出てしまうと致命的。セキュリティ監査の知識はいるなと思いました。

午後Ⅱの対策と評価

午後Ⅱの勉強内容

午後Ⅱ論文対策も結局過去問です。過去問の問題文の読み込みをして何を問われる傾向にあるのかを把握し、章立てまで全問作成。ここまでは6月時点で終わってた。
ただし中身が書けないので(書くネタを思いつかない)、サンプル論文からネタを拾って書き出していきました。

サンプル論文はほぼ翔泳社の「うかる」から拾いました。Webで全問分見れるので、翔泳社の参考書はこれまで全区分買ってますね。ITECのはあんまり読まなかったな。

もちろんサンプル論文そのままってわけにいかないし、同じ問題は出ないので自分で題材を用意しとかないといけない。サンプル読んで拾ってたり午後Ⅰ過去問進めるうちにだいたいイメージが掴めてくるので、経験から当てはまりそうなものを題材に選んで設計書を作っておきました。業務システム、要件定義、開発プロセス監査、プロジェクト監査、セキュリティ監査、運用監査。題材は、DX、AI、IoT、ノーコード、クラウド、あたりで。

当てはまる経験がないものは、企業サイトを探ってテーマをつくりました。IoTは全く経験がないので、過去経験がある病院システムと絡められないか検索。IoT介護ベッドがあったのでそれで想像して書きました。中身はサンプルから拾ってます。

出題内容と自己採点

過去の傾向から2問中1問は旬のネタが来ると思ってDXとクラウドで用意してあったんですが、見事に外れましたw 旬感全くなかったw 用意してあったネタも全然被らず。

まあでも、過去問7年分全部なんらかのネタを思い浮かべてはあったので、テーマから題材を思いつくスキルは充分ついてたと思います。すんなりネタは思いつきました。

自己採点はしようがないんでもう結果を待つだけですが、問題の要求事項は全部拾ってますし、具体例も盛り込みまくりました。ウを1200文字書いたかんなw

→(合格後追記)Aで合格してました!

ちなみに、模試はAだったのでスキル的には達してると思います。点数はギリギリだけどw

論文丸々手書きで書いたのは2本だけかな。模試で1回ともう1本。
PCに打ち込んでほぼ完成させたのは4本くらいあります。

受験後の感想

論文設計20分、ア700字、イ850字、ウ1200字書いて、時間残り2分でしたよwwwやばかったーー!論文設計をもっと短時間でやらなあかんのかな。。でも設計削って論理破綻したら致命傷やし、自分はこれ以上短くできない。

書くスピードか。。。いや、そろそろ入力式に変えていただけないものでしょうかww

やっとけばよかったこと

勉強内容は大きくずれてはないと思います。4ヶ月前には論文問題文の読み込みをして、そこからの数ヶ月でネタを集めて完成させていくプロセス。三好先生メソッドです。

強いて言えば、用意してたコントロールの例が貧弱だったかなという気はする。レビューばっかり当てたんで、もっとバリエーション作らないとね。実務にも役立つだろうし、継続して勉強しておきます。

もう1年受けるならどうするか

さて、不合格だったらどうするか。

まあ、来年も受けると思います。業務に関係するので。今年は試験までに内部監査業務を経験できなかったのだけど、来年はもう何件か内部監査に立ち会うのでもっとイメージできるようになってると思う。

あと、セキュリティだなー!!!ISMS委員に立候補して、積極的に情報取りに行くことにするわw

以上、システム監査技術者試験の勉強内容についてまとめました。合否判定が出ればまた更新します。

結果

バーン!合格しました〜。午後1すご!!(笑)

この記事が気に入ったらサポートをしてみませんか?