報処理技術者試験の高度試験(レベル4)に分類される国家資格で企業の情報システムのリスク管理・内部統制・セキュリティ監査を専門とし、ITガバナンスの向上を担う役割を持ちます。
システム監査技術者試験の概要
| 項目 | 詳細 |
|---|---|
| 試験名 | システム監査技術者(AU) |
| 試験区分 | 高度情報処理技術者試験(レベル4) |
| 実施時期 | 年1回(4月の第3日曜日) |
| 試験時間 | 午前Ⅰ(50分)、午前Ⅱ(40分)、午後Ⅰ(90分)、午後Ⅱ(120分) |
| 受験資格 | なし(誰でも受験可能) |
| 合格率 | 約15%(高度試験の中では難関) |
| 主な出題範囲 | ITガバナンス、リスク管理、内部統制、システム監査 |
【他の情報処理試験との比較】
| 試験名 | 合格率 | 難易度(目安) | 主な対象者 |
|---|---|---|---|
| ITパスポート | 50%前後 | ★☆☆☆☆(入門) | IT初心者 |
| 基本情報技術者 | 25%前後 | ★★☆☆☆(中級) | ITエンジニア・新卒 |
| 応用情報技術者 | 20%前後 | ★★★☆☆(上級) | ITエンジニア・管理者 |
| システム監査技術者 | 10〜15% | ★★★★★(難関) | 監査人・CIO・ITコンサルタント |
特徴
- 応用情報よりも圧倒的に難しく、実務的な知識が求められる
- 高度試験の中でも、監査・リスク管理を専門とする数少ない試験
- 情報セキュリティスペシャリスト(SC)やITストラテジスト(ST)と並ぶ難関資格
目次
受験資格と難易度
1. 受験資格
システム監査技術者試験には受験資格の制限がなく、誰でも受験可能です。
- 学歴・職歴・年齢の制限なし
- 情報処理技術者試験の他の資格がなくても受験可能
ただし、高度な知識と実務経験が求められるため、IT・監査・リスク管理に関する一定の知識が必要です。
2. 試験の難易度と合格率
システム監査技術者試験の合格率は**約10〜15%**で、高度情報処理試験(レベル4)の中でも難関です。
| 年度 | 受験者数 | 合格率 | 合格者数 |
|---|---|---|---|
| 2023年 | 約2,500人 | 15.2% | 約380人 |
| 2022年 | 約2,400人 | 14.8% | 約350人 |
| 2021年 | 約2,300人 | 13.5% | 約310人 |
試験の難易度のポイント
- 技術知識よりも監査・経営管理の知識が重要
- 午後試験(記述・論述)が難しく、文章力が求められる
- 情報システムだけでなく、法務・内部統制・ITガバナンスの知識が必要
3. 難易度のポイント(科目別)
| 試験区分 | 難易度 | 内容 |
|---|---|---|
| 午前Ⅰ(多肢選択式) | ★★☆☆☆(普通) | IT全般(他の高度試験と共通) |
| 午前Ⅱ(多肢選択式) | ★★★☆☆(やや難) | 監査・リスク管理の専門知識 |
| 午後Ⅰ(記述式) | ★★★★☆(難) | 事例をもとに監査計画・リスク評価などを記述 |
| 午後Ⅱ(論述式) | ★★★★★(最難関) | システム監査の課題と解決策を論述(600~1,200字) |
ポイント
- 午前試験は過去問対策で比較的対策がしやすい
- 午後Ⅰ(記述式)は文章力が必要で、事例問題の対策が必須
- 午後Ⅱ(論述式)は論理的な文章構成力が求められ、試験の最大の難関
試験内容
1. 試験概要
| 試験区分 | 試験時間 | 出題形式 | 配点 |
|---|---|---|---|
| 午前Ⅰ | 50分 | 多肢選択式(四肢択一) | 100点満点(基準点60%) |
| 午前Ⅱ | 40分 | 多肢選択式(四肢択一) | 100点満点(基準点60%) |
| 午後Ⅰ | 90分 | 記述式(2問解答) | 100点満点(基準点60%) |
| 午後Ⅱ | 120分 | 論述式(1問解答) | 100点満点(基準点60%) |
合格基準
- 各試験区分ごとに60%以上の得点が必要(1つでも60%未満だと不合格)
- 全体で60%以上の得点を獲得する必要がある
2. 午前試験(選択式)
午前試験は「午前Ⅰ」と「午前Ⅱ」に分かれており、どちらも**多肢選択式(マークシート方式)**です。
午前Ⅰ(IT基礎知識:四肢択一 30問 50分)
午前Ⅰは、他の高度試験と共通問題のため、システム監査以外のIT知識も問われます。
- 情報セキュリティ(暗号化、アクセス制御、認証)
- ネットワーク(TCP/IP、ファイアウォール、VPN)
- データベース(SQL、正規化、トランザクション管理)
- システム開発(ウォーターフォール、アジャイル、DevOps)
対策方法
- 「高度試験 午前Ⅰ 共通問題」の過去問を解く(5年分推奨)
- 応用情報技術者試験レベルの知識を復習する
午前Ⅱ(システム監査知識:四肢択一 25問 40分)
午前Ⅱは、システム監査に特化した専門問題が出題されます。
- システム監査の基本概念(監査の種類、監査証拠、監査報告書)
- リスクマネジメント(リスクアセスメント、BCP、内部統制)
- 内部統制とコンプライアンス(J-SOX法、COBIT、ITIL)
- 情報セキュリティ監査(アクセス制御、ログ監査、セキュリティポリシー)
例題
「COBITに基づくITガバナンスの適切な説明はどれか。」
対策方法
- 「情報処理教科書 システム監査技術者試験」などの専門書で学習
- COBIT・J-SOX・ISO 27001(ISMS)などの監査フレームワークを理解する
3. 午後Ⅰ試験(記述式:90分)
午後Ⅰ試験は事例をもとに、監査の視点から適切な対応を記述する問題が出題されます。
- 業務システムの監査計画を作成する
- 監査対象システムのリスクを特定し、適切な監査手続きを記述する
- 監査結果の評価と対応策を説明する
例題
「クラウドサービスを導入した企業のシステム監査を行う場合、監査人としてどのようなリスクを考慮し、どのような監査手続きを実施すべきか説明せよ。」
対策方法
- 過去3年分の記述問題を解き、監査の視点を身につける
- 監査手続きを簡潔に説明できるようにする(200~300字程度)
4. 午後Ⅱ試験(論述式:120分)
午後Ⅱ試験は、システム監査に関するテーマについて、600~1,200字の論文を書く問題です。
- 課題の分析(システム監査に関する問題点)
- 監査手法の適用(リスク評価・監査計画)
- 解決策と提言(監査結果の活用、改善策の提案)
例題
「DX(デジタル・トランスフォーメーション)推進に伴うシステム監査の課題と対応策について論じなさい。」
論述の流れ(テンプレート)
- 序論(課題の背景・重要性を説明)
- 本論(システム監査の手法、具体的な対応策を提示)
- 結論(監査の改善策や今後の展望)
対策方法
- 過去問をもとに、論述の型を決めて練習する
- COBIT・J-SOXなどのフレームワークを具体的に説明できるようにする
- 600字以上をスムーズに書けるように、模範解答を参考にする
試験対策
1. 効果的な学習スケジュール(6ヶ月プラン)
| 期間 | 学習内容 |
|---|---|
| 1〜2ヶ月目 | 午前Ⅰ・午前Ⅱの対策(IT基礎・監査知識の習得) |
| 3〜4ヶ月目 | 午後Ⅰの記述対策(事例問題の解答練習) |
| 5ヶ月目 | 午後Ⅱの論述対策(論述のテンプレート作成と練習) |
| 6ヶ月目 | 過去問演習+模試(時間を測って本番形式で解く) |
2. 科目別の試験対策
午前Ⅰ(IT基礎知識)対策
午前Ⅰは、他の高度試験と共通であり、過去問演習が有効です。
出題範囲
- 情報セキュリティ(暗号技術・アクセス制御・認証)
- ネットワーク(TCP/IP・VPN・ファイアウォール)
- データベース(SQL・正規化・トランザクション管理)
- システム開発(ウォーターフォール・アジャイル)
対策方法
- 過去5年分の問題を解き、頻出分野を重点的に学習
- 「応用情報技術者試験」の参考書を活用し、基礎を復習
午前Ⅱ(システム監査知識)対策
午前Ⅱはシステム監査に特化した専門問題が出題されます。
出題範囲
- システム監査の基本(監査の種類・監査証拠・監査報告書)
- リスクマネジメント(リスクアセスメント・BCP・内部統制)
- 情報セキュリティ監査(アクセス制御・ログ監査)
- 監査フレームワーク(COBIT・J-SOX・ITIL)
対策方法
- COBIT・J-SOX・ISO 27001(ISMS)などの監査フレームワークを理解する
- 過去問の類似問題が多いため、午前Ⅱの過去問演習を徹底
- 「情報処理教科書 システム監査技術者試験」などの専門書を活用
午後Ⅰ(記述式)対策
午後Ⅰは事例をもとに、監査の視点から適切な対応を記述する問題が出題されます。
出題範囲
- 業務システムの監査計画の立案
- 監査対象システムのリスク評価と監査手続きの説明
- 監査結果の評価と対応策の提案
例題
「クラウドサービスを導入した企業のシステム監査を行う場合、監査人としてどのようなリスクを考慮し、どのような監査手続きを実施すべきか説明せよ。」
対策方法
- 過去3年分の記述問題を解き、監査の視点を身につける
- 監査フレームワーク(COBIT・J-SOX)を具体例とともに説明できるようにする
- 簡潔に記述できるよう、200~300字で解答をまとめる練習をする
午後Ⅱ(論述式)対策
午後Ⅱはシステム監査に関するテーマについて、600~1,200字の論文を書く問題です。
出題範囲
- システム監査の課題分析と解決策の提案
- 監査フレームワークの適用
- 監査手続きと評価の具体的な事例
例題
「DX(デジタル・トランスフォーメーション)推進に伴うシステム監査の課題と対応策について論じなさい。」
論述の流れ(テンプレート)
- 序論(課題の背景・重要性を説明)
- 本論(システム監査の手法、具体的な対応策を提示)
- 結論(監査の改善策や今後の展望)
対策方法
- 過去問をもとに、論述の型を決めて練習する
- COBIT・J-SOXなどのフレームワークを具体的に説明できるようにする
- 600字以上をスムーズに書けるように、模範解答を参考にする
取得後に出来ること
1. システム監査技術者の主な業務(できること)
① IT監査業務
システム監査技術者は、企業のITシステムに関する内部監査・外部監査を担当できます。
- ITシステムの監査計画・実施・報告書作成
- 業務システムのリスク評価(セキュリティ・障害対策・データ保護)
- クラウド・オンプレミス環境の監査・コンプライアンスチェック
- システム変更管理・運用監査(システム改修やデータ移行の適正性評価)
活躍できる分野
- 監査法人(外部監査)
- 企業の内部監査部門(内部監査)
- 金融機関・公共機関のIT監査部門
② 内部統制・コンプライアンス対応
企業が法令遵守(コンプライアンス)を徹底するための内部統制の構築・監査を行います。
- J-SOX(日本版SOX法)対応の監査
- COBITやISO27001(ISMS)に基づくITガバナンス評価
- リスクマネジメント・セキュリティポリシーの策定と運用支援
- ITシステムの不正利用やデータ改ざん防止の監査
活躍できる分野
- 大手企業のIT統制部門・コンプライアンス部門
- 公的機関(個人情報保護・政府系IT監査)
- 金融・証券業界のリスク管理部門
③ 情報セキュリティ監査
情報システムのセキュリティ対策が適切に行われているかを監査します。
- ネットワーク・システムの脆弱性評価
- アクセス管理・認証システムの適正性チェック
- インシデント対応プロセスの監査(サイバー攻撃・データ漏えい対策)
- SOC2・ISO27001・NISTフレームワークに基づく監査
活躍できる分野
- CISO(最高情報セキュリティ責任者)としてのキャリア
- セキュリティコンサルタント(サイバーセキュリティ監査)
- クラウドセキュリティ監査(AWS・Azure・Google Cloud)
④ ITコンサルティング業務
システム監査技術者の知識を活かし、IT戦略やリスク管理のコンサルティングを行います。
- 企業のデジタル・トランスフォーメーション(DX)監査
- ERP・クラウド導入プロジェクトのリスク分析と監査
- ITサービスマネジメント(ITIL・COBIT)の適用支援
- 内部統制を強化するための業務フロー改善
活躍できる分野
- ITコンサルティング企業(監査・ガバナンス支援)
- DX推進部門(データ活用・システム最適化)
- 外資系コンサルティングファーム(リスクアドバイザリー)
2. 活躍できる職種・業界
① 企業のIT監査部門・リスク管理部門
- 大手企業・金融機関・公的機関のIT監査担当者
- CISO(最高情報セキュリティ責任者)として企業の情報セキュリティを統括
② 監査法人・コンサルティングファーム
- 監査法人のIT監査部門(KPMG、PwC、EY、デロイトなど)
- ITガバナンス・内部統制コンサルタントとして活躍
③ システム開発企業・SIer
- 開発・運用プロジェクトの監査業務
- クラウド・AIシステムのリスク評価・ガバナンス強化
④ 官公庁・公共機関
- 政府のIT監査部門(デジタル庁・総務省など)
- 公共システム(マイナンバー・自治体システム)の監査業務
3. システム監査技術者資格のキャリアアップ
① 上位資格・関連資格の取得
システム監査技術者を取得後、以下の資格を取得するとより専門性が高まり、キャリアの幅が広がります。
| 資格 | 主な業務内容 |
|---|---|
| CISA(公認情報システム監査人) | 国際的なIT監査資格、金融機関・監査法人での評価が高い |
| CISM(公認情報セキュリティマネージャー) | 情報セキュリティ監査・リスク管理に特化 |
| CISSP(公認情報システムセキュリティ専門家) | サイバーセキュリティ監査の専門資格 |
| CIA(公認内部監査人) | 一般的な内部監査のプロフェッショナル資格 |
② システム監査技術者の上位職種
資格取得後、以下のようなキャリアパスが考えられます。
- IT監査マネージャー(企業の監査部門リーダー)
- CISO(最高情報セキュリティ責任者)
- 内部統制アドバイザー(J-SOX・コンプライアンス支援)
- セキュリティコンサルタント(ISMS・NIST対応)
コンピューター系資格一覧
応用情報技術者試験
基本情報技術者
エンベデッドシステムスペシャリスト試験
ITストラテジスト試験
システムアーキテクト試験
システム監査技術者
ITサービスマネージャ試験
ITパスポート試験
ネットワークスペシャリスト試験
プロジェクトマネージャ
情報処理安全確保支援士試験(RISS)
データベーススペシャリスト試験
Accessビジネスデータベース技能認定試験
Excel表計算処理技能認定試験
Word文書処理技能認定試験
PowerPointプレゼンテーション技能認定試験
Javaプログラミング能力認定試験
COBOLプログラミング能力認定試験
パソコン検定(P検)
C言語プログラミング能力認定試験
情報処理技術者能力認定試験
VisualBasicプログラミング能力認定試験
マイクロソフトオフィススペシャリスト(MOS)
VBAエキスパート
IC3
ワードプロセッサ技能認定試験
パソコン技能検定Ⅱ種試験
EC(電子商取引)実践能力検定
OracleApplication認定コンサルタント
CAD利用技術者試験
ORACLE MASTER(オラクルマスター)
会計ソフト実務能力試験
Server+
A+
コンピュータサービス技能評価試験
J検(情報検定)
Linux+
Network+
UBA能力検定
マイクロソフト認定トレーナー(MCT)
マイクロソフト認定資格プログラム
Linux技術者認定試験
情報セキュリティ検定試験
UMLモデリング技能認定試験
Oracle Certified Java Programmer(OCJP)
CGエンジニア検定
画像処理エンジニア検定
シスコ技術者認定
インターネット検定 .com Master
Cisco技術者認定資格(CCIE)
Turbo-CE/Pro/CI
CIW
RHCE(Red Hat認定エンジニア)
Oracle Solaris 11 System Administrator
PostgreSQL CE
情報ネットワーク施工プロフェッショナル(INIP)
Zend PHP 5 Certification
商PC検定試験
