情報システムの監査、管理、セキュリティに関する専門資格であり、ISACA(情報システムコントロール協会)によって認定されています。
目次
CISAの概要
- 認定団体: ISACA(Information Systems Audit and Control Association)
- 対象者: IT監査、リスク管理、セキュリティ管理、ガバナンスの専門家
試験の申し込み方法
- ISACA公式サイトで試験登録
- 受験料の支払い(ISACA会員の方が割引あり)
- 試験予約(Pearson VUEテストセンターまたはオンライン)
受験資格と難易度
受験資格
CISA試験自体には受験資格の制限はありません。誰でも受験できますが、資格取得には以下の実務経験要件を満たす必要があります。
実務経験要件
- 情報システム監査、管理、セキュリティに関連する実務経験が5年以上必要
- ただし、最大3年の免除が可能(以下のいずれかで短縮)
- 大学・専門学校卒業(1~2年の免除)
- 関連資格(CISSP, CISM, CPA など)保有で1年の免除
- 情報システム・監査・セキュリティ分野での講師経験(最大2年の免除)
試験合格後に認定を受けるために必要な手順
- CISA試験に合格する(合格点450/800以上)
- 実務経験を証明(経験を満たしている場合はすぐ申請可能)
- ISACAの倫理規定・継続教育(CPE)要件を遵守することに同意
- 認定申請し、年会費を支払う
試験は誰でも受けられるが、資格取得には実務経験が必要なので、監査・セキュリティ業務の経験を積むことが重要。
難易度
CISAの難易度は、中~高レベルと言われている。
合格率
- 約50~60%(ISACA非公開だが、一般的な推測)
難易度の理由
- 専門知識が広範囲にわたる(IT監査、リスク管理、情報セキュリティ、システム開発など)
- 実務経験がある前提の問題が多い(用語や概念の理解が必要)
- 試験時間が4時間で150問(時間管理が重要)
試験内容
試験の構成
| ドメイン | 出題割合 |
|---|---|
| 1. 情報システム監査プロセス | 21% |
| 2. ITガバナンスとマネジメント | 17% |
| 3. 情報システムの取得、開発、導入 | 12% |
| 4. 情報システムの運用と事業継続管理 | 23% |
| 5. 情報資産の保護 | 27% |
合計150問の選択式問題で構成され、試験時間は4時間。合格基準は450/800点以上。
各ドメインの詳細
1. 情報システム監査プロセス(21%)
情報システムの監査計画、実施、報告に関する知識が問われる。
- リスクベースの監査アプローチ
- 内部統制の評価
- 監査証拠の収集と分析
- 監査報告とフォローアップ
2. ITガバナンスとマネジメント(17%)
組織のIT戦略、ポリシー、コンプライアンス管理についての理解が求められる。
- ITガバナンスの概念(COBITフレームワークなど)
- ITリスク管理とコンプライアンス
- 組織のIT戦略とビジネス目標の整合性
- ITパフォーマンス管理
3. 情報システムの取得、開発、導入(12%)
新しい情報システムの導入に関する監査と評価を行うための知識。
- システム開発ライフサイクル(SDLC)
- プロジェクト管理とリスク評価
- アプリケーション開発とセキュリティ
- ITベンダー管理
4. 情報システムの運用と事業継続管理(23%)
IT運用の管理やインシデント対応、事業継続計画(BCP)に関する知識が必要。
- ITサービス管理(ITSM)
- システムの変更管理とリリース管理
- インシデント管理と復旧計画
- 事業継続管理(BCP)と災害復旧計画(DRP)
5. 情報資産の保護(27%)
情報セキュリティ管理に関する知識が最も多く問われる領域。
- 情報セキュリティ管理フレームワーク(ISO27001など)
- アクセス制御と認証(ID管理、RBACなど)
- ネットワークセキュリティと暗号化技術
- データ保護とプライバシー対策
試験対策
1. 学習計画を立てる
学習期間の目安
| 受験者のレベル | 推奨学習期間 |
|---|---|
| IT監査・セキュリティ経験者 | 3~6か月 |
| 未経験者 | 6か月~1年 |
学習の進め方
- 試験範囲を把握する(5つのドメインを理解)
- 公式教材・参考書を入手する
- 問題演習を重視する(模擬試験を繰り返し解く)
- 弱点分野を重点的に復習する
2. 推奨教材
ISACA公式教材(最も信頼性が高い)
- CISA Review Manual(試験範囲の解説書)
- CISA Review Questions, Answers & Explanations(過去問集)
- CISA Online Review Course(オンライン講座)
補助教材(理解を深めるために活用)
- 「情報システム監査の基礎」
- 「CISA受験対策講座」(オンラインスクールやセミナー)
- COBIT、ISO27001、NISTなどのフレームワーク資料
3. 効果的な学習方法
① ドメインごとに学習する
5つのドメインを順番に学び、重要ポイントを整理する。
② 過去問を解き、試験形式に慣れる
- 1回分の模擬試験(150問)を通しで解く
- 間違えた問題の解説を読み、理解する
- 苦手分野を重点的に復習
③ 実務経験と結びつけて理解する
- 「この監査手順は実務でどう使われるか?」を考えながら学ぶ
- セキュリティ管理、リスク評価、IT監査の事例を調べる
④ 用語やフレームワークを暗記する
- COBIT、ISO27001、NISTなどのフレームワークの基本を理解
- IT監査、セキュリティ、リスク管理の専門用語を覚える
4. 模擬試験の活用
試験直前は模擬試験を繰り返し解き、合格ライン(450/800点以上)を安定して超えるようにする。
| 時期 | 目標 |
|---|---|
| 試験3か月前 | 公式教材を一通り学習 |
| 試験2か月前 | 過去問演習を開始 |
| 試験1か月前 | 模擬試験を繰り返し、450点以上を目指す |
| 試験直前 | 弱点分野を集中復習 |
取得後に出来ること
1. IT監査業務
CISAはIT監査の専門資格であり、監査法人や企業の内部監査部門で活躍できる。
主な業務
- 内部監査(情報システムのリスク評価・管理状況の監査)
- 外部監査(監査法人でのシステム監査・法規制対応)
- IT統制の評価(SOX法対応、内部統制評価)
- コンプライアンス監査(ISO27001、GDPR、PCI-DSSなど)
就職・転職先の例
- 監査法人(Big4など)
- 金融機関(銀行・証券・保険)
- 大手企業の内部監査部門
2. 情報セキュリティ・リスク管理
CISAは、セキュリティ管理やリスクマネジメント分野でも評価される。
主な業務
- 情報セキュリティ監査(システムの脆弱性評価、セキュリティポリシー監査)
- リスク管理(企業のITリスク評価・対策の策定)
- サイバーセキュリティ対策(インシデント対応、BCP/DRP計画の策定)
就職・転職先の例
- 企業のCISO(最高情報セキュリティ責任者)候補
- ITコンサルティング会社
- セキュリティ専門企業
3. ITガバナンス・IT戦略立案
CISA取得者は、ITガバナンスやシステム戦略の分野でも活躍できる。
主な業務
- ITガバナンスの構築(COBITやISO27001を活用)
- ITポリシー・標準の策定(社内の情報セキュリティ基準作成)
- システム導入監査(クラウド導入・ERP導入時のリスク評価)
就職・転職先の例
- ITマネージャー・CIO候補
- 大手企業のIT統制・IT戦略部門
4. キャリアアップ・年収向上
CISAを取得すると、専門性の高い職種への転職や昇進が有利になる。
期待できる年収(目安)
| 職種 | 年収の目安 |
|---|---|
| IT監査人(監査法人) | 600万~1,200万円 |
| 内部監査(大手企業) | 700万~1,500万円 |
| CISO(セキュリティ責任者) | 1,000万~2,000万円 |
CISAは、監査・セキュリティ分野でのキャリアアップを狙う人にとって非常に価値が高い資格。特に監査法人や金融業界では、CISAの取得が昇進の要件になることもある。
財務・経営系資格一覧
公認会計士
税理士
中小企業診断士
簿記検定
ファイナンシャル・プランニング技能士
証券アナリスト
簿記能力検定
建設業経理検定
経営士
ファイナンシャル・プランナー
実用数学技能検定
DCプランナー
DCアドバイザー
マーケティング・ビジネス実務検定
MBA
不動産証券化協会認定マスター
モーゲージプランナー
銀行業務検定試験
BATIC(国際会計検定)
CPA(米国公認会計士)
米国公認管理会計士
米国税理士(EA)
PMP試験
CISA(公認情報システム監査人)
CIRP(サーティファイド・IRプランナー)
シニアリスクコンサルタント
ITコーディネータ資格認定制度
ファイナンシャル・リスクマネージャ
アクチュアリー資格試験
二種外務員資格試験
CIA(公認内部監査人)
CFA(CFA協会認定証券アナリスト)
ホスピタリティ検定試験
イベント業務管理者
ファシリティマネージャー
PRプランナー資格認定制度
プロジェクトマネジメント資格
VEリーダー認定試験
販売士検定
セールススキル検定試験
セールスレップ資格認定制度
販路コーディネータ資格認定制度
交渉アナリスト
CISM(公認情報セキュリティマネージャー)
