DecachiwaのWebログ

【CISA 難易度の感想有り】公認情報システム監査人 資格の概要と疑問点編

こんにちは。

デカチワです。

この記事は

CISA(公認情報システム監査人)の資格概要を解説し、

私がCISAの試験に合格した実体験を踏まえて

  • 難易度ってどんな感じなんだろう
  • CISAとシステム監査技術者どっちを取得するべきなんだろう
  • 参考書や問題集って何を使えば良いんだろう

こういった疑問に答えていこうと思います。

私はSlerで4年間ほどSEとして働き、システム監査人へ転職しました。

その後、約100時間、期間としては約1ヶ月半の独学によりCISAに1発合格しました。

おそらく私と同じく、システム監査人へ転職した方、転職を考えている方、或いは学生で将来的にシステム監査人を目指している方がこの記事を見てくれていると思います。

CISAはシステム監査技術者と比較されることが多い上、情報量が少ないので、この記事が少しでもみなさんのお役に立てることを願っています。

(近い内に、CISAの独学法についても記事を書こうと思っています。)

以下、目次です。

順を追って解説します。

CISAとは

CISAとはCertified Information Systems Auditorの略です

日本語では、公認情報システム監査人と呼ばれています。

ISACA(Information Systems Audit and Control Association:情報システムコントロール協会)という1976年にアメリカで設立された団体が認定している資格であり、国家資格ではありません。

あくまで、民間資格の位置づけです。

ですが、欧米企業での認知度が高く、情報システムの監査、セキュリティ、コントロールに関しての国際標準的な立ち位置となっています。

試験に合格するだけではなく、資格の認定を受ける必要があります。

後述しますが資格認定には、試験合格と5年の業務経験が必要なります。

加えて、資格認定を維持するために単位を取得する必要があり、長期スパンで資格の認定を維持することのハードルが高い資格と言えます。

それもあってなのか、2020年度の平均年収は、欧米で13万2278ドルとなっており、日本円に換算すると1400万円を超えます。

日本でも役職によると思いますが、平均年収としては高い傾向があります。

キャリアパスとしては、事業会社の内部監査室、監査法人、コンサルティング会社での監査業務やITリスクに関するコンサルティング業務に従事する方が多いと思います。

上記のキャリアパスを考えている方は資格を取得しても損はありません。

CISAの受験方法と日程

以前までは、一般的な紙による試験でしたが、2017年度より試験センターでのコンピュータ試験になりました。※2020年4月より、コロナの影響で自宅受験が可能となったようです。

好きな日程を予約することで、受験が可能です。※ただし、試験センターの試験可能日によります

情報処理試験などの国家試験のように、年2回などの受験日程に制約がありません。

受験日程に制約がないことは、受験者にとっては嬉しいですが、受験料が高いので受験回数は1回に抑えたいですね。切実に。

世界80ヵ国で試験をおこなっており、日本でも各都市にある試験センターで受験が可能です。

申込方法は、ISACAのWEBサイトからオンラインでおこないます。

WEBサイトは英語なので、英語が苦手な方は面倒かもしれません。

CISAの受験料 ※2020年5月14日時点

CISAの受験料は、ISACAの会員か非会員かで異なります。

  1. ISACA会員 :$575 = 61,536円
  2. ISACA非会員:$760 = 81,335円

2020年5月14日時点の日本円で差額を計算すると、約2万円の差です。

私はISACA非会員の受験料で受験しましたが、合格したら必ず登録までするよーという方は、会員になって受験する方がお得です。

いや~改めて受験料を見ると、高いな~と思いますよね。

初めて見た時は、二度見しましたね。(笑)

千じゃなくて万なのかと。

CISAの受験資格

学歴や職歴などの受験資格は一切ありません。

ただし、重要なので繰返しますが、試験合格後の資格認定には5年の業務経験証明が必要となります。

※業務経験の代替制度もあります。

したがって、資格認定が目的ならば、認定申請には業務経験が必要となることに留意が必要です。

CISAの試験内容

試験の出題内容は、ドメイン1からドメイン5までの5つに分かれています。

  1. 情報システム監査のプロセス
  2. ITガバナンスとITマネジメント
  3. 情報システムの調達、開発、導入
  4. 情報システムの運用とビジネスレジリエンス
  5. 情報資産の保護

加えて、ドメイン毎の出題割合が公開されています。

それぞれ

  1. 21%
  2. 17%
  3. 12%
  4. 23%
  5. 27%

のようになっています。

出題形式は4択。

問題数は150問となっており、試験時間は4時間が上限です。

上限というのは、コンピュータ試験であるため、自分が解き終わったタイミングで試験を終了することができるためです。

スコアは200~800点のスケールド・スコアに換算され、450点以上で合格となります。

スケールド・スコアって何??って疑問を持たれると思うのですが、ISACAからも具体的には公開されていません。

まあ、標準化された点数っていうことだと思います。

で、標準化の方法は公開されていないという訳です。

出題内容の難易度や正解率により、問題毎の配点が変わっていると思われます。(定かではありません。)

出題問題によって、相対的に配点が変化しているので、思ってた点数より低いなという印象を受けました。

正解だと自信のあった問題の配点が低かったのかもしれません。

また合否が分かるタイミングですが、私が受験した際(2年ほど前)は、試験終了時の画面へ合格と表示されるのみでした。

1~2週間後くらいに、登録したメールアドレス宛にスコアが送られてきましたね。

なので、試験センターで近くに落ちたと思われる方が、ものすごい溜息をついていたのを思い出します。

一回受験するのに、6~8万ですからね。

CISAの合格率と難易度

結論から言うと、合格率は公開されていません。

システム監査の同僚などもだいたい1発で合格しているので、合格率自体はさほど低いとは思われません。

難易度としては、単純に比較することはできませんが、日商簿記2級や基本情報技術者試験よりは高いかなという感想です。

ただ、選択問題の選択肢がちょっとやっかいでして、4択の内、明確な答えが1つだけあるのではなく、どれも正解に近く、最も適切な選択肢を選ばせる出題方法となっています。

そのため、下記の能力が必要となります。

  • 物事をタスクに分割する
  • 重要なタスクを見極める
  • 状況に合わせてタスクに優先度をつける

こういった思考が苦手な方は、難易度が高く感じられると思います。

ここまで聞いて不安に思った方もいるかと思います。

慣れの問題もあるので、問題集を繰り返し解くことで慣れていきます。

安心してください。

CISA合格後の認定と維持

試験合格後に資格認定を受けるためには、ISACAへの認定申請が必要となります。

申請期限は試験合格から5年以内です。

申請のタイミングが、合格から5年を超える場合は無効となってしまいます。(汗)

また、申請には5年分の業務経験の証明が必要です。

業務経験は、申請前の10年以内を条件に、情報システムの監査、コントロール、セキュリティに関する業務に5年以上従事する必要があります。

業務経験は最大3年までの代替が可能です。

詳しくは、ISACAの東京支部が説明資料を公開しているので、こちらをご確認ください。

次に、やっかいなのが、資格の維持です。

基本的に海外の資格は、継続教育(CPE)が当たり前です。

一度取得したら終わりじゃない。

CPEにより、常に情報をアップデートして時代の変化に対応していることへ、資格の価値が見いだされているようです。

考えてみたら、継続教育が必要なのは当たり前ですが、仕事と並行してCPEの単位をとっていくことは結構大変です。

CPEの単位は、3年間で120単位、年間で20単位以上を取得しないと資格が剥奪されます。(汗)

で、50分で1単位認定されるので、3年間で120単位だと250時間以上の時間を資格認定の維持に費やしていく必要があります。

CPEは、ISACA主催の活動に参加する必要があります。

これまた、ISACA東京支部のホームページ上に詳しく記載されていますので、こちらでご確認してください。

CISAの勉強時間

CISAの勉強時間は、一般的に150時間から200時間程度と言われているようです。

ネット上を見ても、だいたいの人が150時間ほどは勉強してから、受験しているようですね。

私の場合、資格の勉強をおこなう時は、標準的な勉強時間の半分を目標勉強時間としています。

なので勉強時間は200時間の半分、100時間でスケジュールを組み実行しました。(期間にすると、1ヶ月半いかないくらいです。)

1発で合格しているので、CISAは100時間の勉強で合格することが可能ですね。

(おそらくCISAは受験料が高いので、十二分に勉強してから受験する人が多いのかもしれません。)

CISAとシステム監査技術者どちらを取得するべきか

結論、「人による」です。

もう少し具体的に言うと、「その人の現状と方向性による」ですね。

メリットとデメリットを比較してみましょう。

CISAのメリット

  • 海外で働く場合、通用する(認知度がある)
  • 国内で働く場合にも通用する
  • 認定と維持のハードルが高いため、希少性がある

CISAのデメリット

  • 認定と維持のハードルが高い(時間を費やす)
  • 受験料と維持費が高い
  • 資格勉強に使うテキスト等の価格が高い

システム監査技術者のメリット

  • 国内で働く場合、通用する(認知度がある)
  • 試験に合格すればOK、認定も維持も必要ない
  • 受験料が安い上、維持費がかからない
  • 資格勉強に使うテキスト等の価格が安い

システム監査技術者のデメリット

  • 海外で働く場合(視野に入れている)、通用しない(認知度がない)

こうして並べてみると、メリットとデメリットは綺麗にトレードオフですね。

学生は、まずシステム監査技術者を取得した方が良いと思います。

コスパでは圧倒的にシステム監査技術者でしょう。

社会人の場合は、キャリアの方向性が見えてくると思うので、経済状況やキャリアの方向性に合わせて取得する資格を決まれば良いかなと。

私の場合、リスク分散の観点から、まずはCISAを選びました。

日本で働いているので、何かあった時の場合、海外で職に就ける可能性が高くなるかなと。ただそれだけ、シンプルな理由です。

もちろん、両方持っていることに越したことはありません。

優先度のお話しです。

CISAとシステム監査技術者どちらが難しいか

先に言うと、私は、CISAの経験はありますが、

システム監査技術者の方は受験したことはありません。

ただ、システム監査の業務をおこなっているので、

試験対策をせずに、実際にシステム監査技術者の午後問題を解いてみました。

【結論】システム監査技術者の問題の方が難しいかなと感じました。

システム監査技術者試験は、論文問題が含まれているため、論文対策に労力を費やす、論文問題の採点は人間がおこなうことが理由です。

一方、CISAは4択の選択問題形式であり、出題方法にクセはあるものの、優先度をつける思考法により問題集を繰返し解くことで慣れていけます。

慣れという点では、システム監査技術者の論文形式も同じです。

ですが、論文形式の場合、事例を読み込んで学習すると同時に文章構成も対策していく必要あります。

総合的に見ると、より労力のかかるシステム監査技術者の方が合格することは難しいと思います。

CISAの参考書と問題集

主流は、アビタスの教材とISACA公式レビューマニュアルの2つです。

それ以外にも、ありますが、圧倒的に上記2つが多いですね。

価格を比較してみましょう。

  • アビタス テキスト&MCカード

参考書としてテキストが上・下巻で2冊、ドメイン毎にMCカードという名のA6サイズの問題集が6つから構成されています。

アビタスはCISAプログラムの受講料の中に、テキストとMCカードの料金も含まれているので、入学金を合わせて20万を超えます。

正直、高いですよね。

私は、知人から譲り受けて、アビタスのテキストとMCカードで勉強していましたが、メルカリでも中古で5万円~8万円で売っているようです。

これでも高額ですが、20万と比較すると安いものです。

  • ISACA公式レビューマニュアル&問題集

ISACA自体が作成しているレビューマニュアル(テキスト)と問題集があります。

合わせて、ISACA非会員は296ドル。会員は225ドルで購入可能です。

2020年5月のレートで、だいたい3万2千円くらいです。会員だともう少し安い。

購入場所は、昔まではISACAのWebブックストアで買えたみたいですが、今は見当たりません。どこで買うのでしょうか。分かりしだい、追記します。

例によって、メルカリやヤフオクでは中古が購入可能のようです。

ただ、一度実物を見たことがありますが、でかい&レビューマニュアルがいまいちです。

正直、通勤電車で勉強したい私にとっては、全然向きませんでした。

なので、内容的にもサイズ的にもアビタスの教材を選びました。