CISA試験合格記録 - 勉強方法から資格認定まで(2019年)

CISA試験合格記録 - 勉強方法から資格認定まで(2019年)

October 4, 2019

2019 年に CISA(Certified Information Systems Auditor)試験を受験し合格しました。その後、認定手続きを経て CISA と認定もされました。今後受験される方のために、受験に向けた勉強方法や認定の申請方法をまとめます。

以下、私が経た流れに沿って「受験申込 ~ 勉強方法 ~ 受験当日 ~ 合格」の流れで記載します。

なお、私は同年に PMP (Project Management Professional) も取得しています。順序としては、先に PMP を取得し、その後、CISA を取得しました。PMP は IT 業界で働いている多くの方が取得する資格ですが、PMP 取得後の次なる資格として、CISA を取得するのも良いのではないかと感じています。以下では時おり PMP と CISA を比較しつつ、話を進めていきたいと思います。

それでは、まずは CISA の概要から説明を始めていきます。

0.CISA とは #

CISA とは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能および経験を有するプロフェッショナルとして ISACA(The Information SystemsAudit and Control Association, Inc. 情報システムコントロール協会)が認定する国際資格で、日本語では「公認情報システム監査人」と称します。

CISA(公認情報システム監査人)とは | 国際資格専門校アビタス(Abitus)

情報システム監査およびコントロールの専門家資格としては最も長い歴史を持ち、かつ最も国際的に普及している資格です。情報システム監査に関わる専門家自身による団体が認定しているもので、いわゆる「国家資格」ではありませんが、欧米の企業社会では広く認知されています。

ISACA 東京支部

上記引用の通り、CISA はシステム監査の資格です。ちなみに、CISA は「シーサ」と読みます。

CISA は、ISACA という情報システム監査、セキュリティ、IT ガバナンスなどに関する国際的団体が認定・運営しています。米国の ISACA のサイトは以下です。

ISACA - https://www.isaca.org/

PMP と同様に歴史ある資格で、資格の運用も似ています。下記の通り、 並べてみるとよくわかります。

PMP 資格の概要・認定 #

  • PMP はプロジェクトマネジメントの資格
  • PMP を認定している団体は米国の PMI
  • PMI の設立は 1969 年
  • 資格認定のためには試験合格に加え実務経験の証明が必要
  • 資格維持のためには継続的学習が必要(3年で 60PDU の取得義務)

CISA 資格の概要・認定 #

  • CISA はシステム監査の資格
  • CISA を認定している団体は米国の ISACA
  • ISACA の設立は 1969 年
  • 資格認定のためには試験合格に加え実務経験の証明が必要
  • 資格維持のためには継続的学習が必要(3年間で 120CPE の取得義務)

なんと団体の設立年も同じです。2019 年の現在、PMI と ISACA のどちらも創設 50 年というアニバーサリーイヤーとなっており、いずれのウェブサイトでも、創設 50 年が祝われています。

PMP 取得者は CISA の実務経験要件を満たしていることが多い #

IT 業界で働いている方で PMP を取得された方は、自然と CISA の実務経験要件を充足していることが多いです。以下で説明します。

まずは、CISA の資格認定に必要な実務経験を引用します。

CISA(公認情報システム監査人)と認定されるには、最低 5 年間の情報システム監査、コントロール、保証あるいはセキュリティ分野での実務経験を証明する必要があります。5 年間の実務経験の一部を代替することが可能です。

CISA(公認情報システム監査人)とは | 国際資格専門校アビタス(Abitus)

上記の通り5年間の実務経験が必要とされますが、4年制の大学を卒業している場合「実務経験の一部を代替することが可能」に該当し、2年間の実務経験の代替とすることができます。つまり、実際の実務経験は3年間あれば良いというわけです。

では、その3年間の実務経験として、どのような業務経験があれば良いのか。CISA の実務経験(ジョブ・プラクティス)は5つの領域(ドメイン)で構成されており、5つのドメインのどれかに該当する業務であれば実務経験とみなすことができます。ドメインは下記のとおりです。

  1. The Process of Auditing Information Systems …情報システムの監査プロセス
  2. Governance and Management of IT …IT ガバナンスと IT マネジメント
  3. Information Systems Acquisition, Development and Implementation …情報システムの調達、開発、導入
  4. Information Systems Operations, Maintenance and Service Management …情報システムの運用とビジネスレジリエンス
  5. Protection of Information Assets …情報資産の保護

IT 業界の PMP 取得者のほとんどは、3番目のドメイン「情報システムの調達、開発、導入」の経験があるのではないでしょうか。PMP を取得しているということは、36 カ月間(=3年間)のプロジェクトマネジメント経験を有しているわけですが、IT 業界であればその多くはシステム開発のプロジェクトだと思われます。

CISA というと、どうしても監査だけのイメージが強いかもしれませんが、監査だけに限定された資格ではありません。先に引用した CISA の概要説明にもあるとおり、CISA は「監査」「セキュリティ」「コントロール」に関するプロフェッショナル認定資格です。そして、CISA のいう「コントロール」はプロジェクトマネジメントと重なる部分もあります。

また、CISA では、システム監査も1つのプロジェクトと捉えており、したがって監査員にはプロジェクトマネジメントの能力も要求されるとしています。実際、CISA の試験問題集では、下記のような問題も見受けられます。

(問)システム監査を定められた費用・期限内に完了するために必要な能力は何か

(答)プロジェクトマネジメント

少し話がそれましたが、要するに、PMP 取得者の多くは CISA の実務経験も満たしていることが多いということです。

1.受験申請をする #

私の場合、まず試験日を決めてから勉強を始めるため、最初に受験申請の手順を記載します。なお、試験は CBT 方式ですので、日程は自分で決めることができ、場所も全国のテストセンターで受験可能です。

また、CISA はすぐに受験申請をすることが可能です。PMP の場合、実務経験の証明と 35 時間の公式な事前学習を行わなければ試験を受けることすらできませんでしたが、CISA の場合は、公式な事前学習という要件はなく、また、実務経験の証明は試験合格後の認定プロセスの中で行うため、受験時点では不要です。

受験申請は米国 ISACA のサイトから行います。英語ですがなんとか読めると思いますし、どうしても困ったらグーグル翻訳を使いましょう。受験申請に手間取った記憶はないので、心配せずとも普通に申し込めば大丈夫です。

ISACA Certifications - https://www.isaca.org/credentialing/certifications

2.勉強をする(勉強方法) #

私の勉強期間は1カ月でした。平日2時間、土日は各4時間くらいの勉強ペースでしたので、合計で70時間くらい勉強しました。

教材は下記を利用しました。

「CISA Review Questions, Answers & Explanations Manual」

利用した教材はこの1つだけ。上記は ISACA が発行している CISA 試験の問題集です。ISACA のサイトから購入可能です。

ISACA CISA Certification Exam Prep Resources - https://www.isaca.org/credentialing/cisa/prepare-for-the-cisa-exam

なお「CISA Review Manual」という教科書にあたるものも存在しますが、CISA 試験に合格するだけであれば、こちらは不要です。問題集のみで大丈夫です。

勉強方法は非常にシンプルです。問題集を3周解くだけ。具体的には下記です。

  1. 「CISA Review Questions, Answers & Explanations Manual」を1周する。
  2. もう1周しつつ、間違えたところには付箋をつける。
  3. 付箋がついたところをもう1回解く。

問題集そのままの問題が試験に出ることはありませんので、問題集を解きながら解説をしっかりと読み、知識をインプットしてください。

ちなみに、CISA 問題作成者のための試験問題作成ガイドも公表されています。どのような観点で問題が作成されているか知ることも、勉強の助けになるかもしれません。必須ではありませんが、気分転換がてら読んでみることをおすすめします。

ISACA Write An Exam Question - https://www.isaca.org/credentialing/write-an-exam-question

上記ページにある「Item Development Guides(試験問題作成ガイド)」です。

3.受験当日の様子 #

テストセンターへ行って受験をするだけです。身分証明書(パスポート等)だけはお忘れなく。

私は中央区の歌舞伎座タワーにあるテストセンターで受験しました。 テストセンターへ行って受付を終えると、そのまますぐにテストルームに案内され、すぐに試験開始です。 きれいなテストセンターで、落ち着いて試験を受けることができました。

なお、試験時間は4時間です。私は1時間半ほどで回答し、30 分かけて見直しましたので、約2時間で試験を終えました。

試験終了後は仮判定結果がすぐ表示されます。「コングラチュレーション!」と書いてあったのでほっとして席を立ちました。

ちなみに、テストルームから退出する際、ほかの方の画面がちらっと見えたのですが、その方は AWS(Amazon Web Services)の試験を受けているようでした。きっと、CISA を受験する人の方が珍しいでしょうね。

4.合格メールを受領する #

試験日の 10 日後にメールが届きました。メールには CISA 試験に正式に合格した旨「you successfully PASSED the exam」と、自分の合計点や各ドメインの得点といった成績が書いてあります。私の成績は下記の通りでした。

total scaled score : 581

  1. Information System Auditing Process : 643
  2. Governance and Management of IT : 590
  3. Information Systems Acquisition, Development, and Implementation : 573
  4. Information Systems Operations and Business Resilience : 450
  5. Protection of Information Assets : 643

CISA 試験はトータル・スケールド・スコアで 450 点以上取れれば合格です。

5.CISA 資格の認定申請をする #

CISA 試験に合格しただけでは CISA 資格の認定とはなりませんので、認定申請を行います。

概要は下記の通りです。

(1)申請の必要書類の PDF を作成する。 #

下記3点を用意しましょう。

  • 大学の卒業証明書(英文)
  • 大学の成績証明書(英文)
  • CISA 資格認定申請書

私の場合、大学の証明書をスキャンして PDF にした際、偽造防止の背景文字(COPY といった文字)が入ってしまいましたが、特に問題ありませんでした。

CISA 資格認定申請書は下記からダウンロードできますので、記入後にスキャンし PDF 化してください。

ISACA Apply for Certification - https://www.isaca.org/credentialing/cisa/get-cisa-certified

「Applications for CISA Exam Passers」がそれです。英語版をダウンロードして使用するのが良いと思います。なお、日本語版も用意されていますので、参考資料として日本語版を片手に持ちつつ、英語版のシートに記入するのが良いでしょう。

CISA 資格認定申請書の中で、実務経験を記載する箇所があります。PMP の場合は自分の経験を文章で記載しなければならず、これがなかなか面倒なのですが、CISA の場合は、基本的にチェックボックスを埋めていくだけです。なお、実務経験の証明者として、上司に署名してもらう欄があります。

(2)ISACA のサイトにある申請フォームから審査申請する。 #

申請フォーム画面にて、PDF のアップロードし、審査を依頼します。

申請コメントを記入する必要がありますが、私は下記の通り記入しました。ご参考としてください。(XXX の部分は名前が入ります。合格日は書き換えてくださいね。)

To whom it may concern,

Hello, this is XXX, who passed CISA exam in August 2019.

I would like to apply for CISA Certification.

I would appreciate it if you could refer to attached documentation for approval.

Sincerely, XXX

(3)審査手数料を支払う。 #

CISA の認定審査には審査手数料(Application Processing Fee)の 50 米ドルが必要となります。忘れずに支払いましょう。忘れている場合は、申請後何日か経った時点で手数料が支払われていない旨の通知メールが来ると思います。その時点で支払っても間に合いますので慌てずに。

6.CISA の認定メール、認定証を受領する #

CISA に認定されたメールが届きます。下記のようなことが書いてあります。

「You have been granted certification as a Certified Information Systems Auditor (CISA).」

私の場合は、認定審査依頼をした3日後に認定メールが届きました。

そして、認定から1カ月弱後に認定証が届きました。忘れたころにやってきます。どんなものなのか、ご参考までに私のものを載せておきます。

CISA認定証

7.終わりに、CISA&PMP ダブルライセンスのすすめ #

以上、CISA の受験から認定までの流れでした。なお認定後は、資格維持の活動 (CPE の取得) が必要になります。これについては別記事で整理しようと思います。

最後に、PMP と CISA のダブルライセンス取得の提案をして、この記事を終わりにします。

記事の途中でも触れましたが、CISA と PMP は実は隣接した分野を扱う資格です。

PMP は主としてマネジメントに関する資格であり、イメージするなら、なんとかして実行し、物事を前に進める能力を扱います。

それに対して CISA は主としてコントロールに関する資格です。実行している内容が効果的なのかをチェックし、問題点・改善策を発見する能力を扱います。

この通り、両者は相互補完的な能力なのです。PMP と CISA の両方の能力が発揮された時、物事の前に進めながら、同時にその実行内容が正しいかを確認し、問題があれば改善したうえでさらに効果的に前へ進む、ということができるようになります。

スキルアップを目指す方は、ぜひダブルライセンスを取得してみてはいかがでしょうか。

それでは以上で終わります。CISA 試験の受験を予定されている方、応援しております。頑張ってください。