- 1. CISA(公認情報システム監査人)とは?
- 2. CISA vs 主要資格(難易度・領域の徹底比較)
- 3. CISA試験の「難易度」と「合格率」
- 4. CISA試験の概要(出題分野・形式・試験日)
- 5. CISA合格に向けた「勉強方法」と「必須教材」
- 6. CISAの「費用」全解説(受験料・維持費)
- 7. 最難関?CISAの「認定要件」と「実務経験」
- 8. CISA取得のメリット(年収・転職)
- 9. まとめ
こんにちは。東証プライム上場企業で情報システム部のセキュリティ担当をしている、城咲子です。私はCISSP、CCSP、情報処理安全確保支援士(登録セキスペ)として、日々セキュリティの実務に携わっています。
近年、サイバーセキュリティの重要性が高まる中で、CISA(公認情報システム監査人) という資格が注目を集めています。あなたも「CISSPとはどう違うの?」「難易度は?」「監査の経験がないと取れない?」といった疑問をお持ちかもしれません。
この記事は、CISA資格に関するあらゆる疑問に答えるための総まとめ(ピラー記事)です。
私自身、セキュリティ(守る側)の実務家として、ガバナンスやアシュアランス(保証する側)の視点を持つことの重要性を痛感しており、CISAは常に注目している資格の一つです。
現役のセキュリティ専門家である私の視点から、CISAの価値、他の資格との明確な違い、そして合格への最短ルートを徹底的に解説します。
1. CISA(公認情報システム監査人)とは?
まず、CISAがどのような資格なのか、その基本から押さえましょう。
CISA(ISACA) vs CISA(米政府機関)- 決定的な違い
CISAの学習を始める前に、非常に重要な曖昧さの解消をしておく必要があります。日本語で「CISA」と検索すると、現在2つの全く異なる組織がヒットします。
【本記事のトピック】ISACA®の CISA
- 正式名称: Certified Information Systems Auditor(公認情報システム監査人)
- 発行団体: ISACA®(イサカ:情報システムコントロール協会)
- 概要: 情報システムの監査およびコントロールに関する国際的な専門家認定資格。本記事で解説するのはこちらです。
【別モノ】米政府機関の CISA
- 正式名称: Cybersecurity and Infrastructure Security Agency
- 概要: アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁。米国の重要インフラをサイバー攻撃から守る政府機関。
- (補足) セキュリティ実務でよく聞く「CISA KEV(Known Exploited Vulnerabilities Catalog)」は、この米政府機関が公開している「実際に悪用が確認された脆弱性リスト」のことで、資格試験とは一切関係ありません。
この記事では、ISACAが認定する資格のCISAについて解説します。
CISA資格の概要と国際的評価
CISAは、1978年から続く歴史ある資格であり、情報システム監査、ガバナンス、リスク管理、セキュリティの分野における専門知識とスキルを証明する世界的な「デファクトスタンダード(事実上の標準)」 です。
特に、監査法人(Big4など) や、企業の内部監査部門、ITガバナンス部門で働くプロフェッショナルにとって、ほぼ必須とも言える資格として認知されています。
なぜ今、セキュリティ担当者がCISAに注目するのか
私はCISSPや登録セキスペとして「守る側」の実務にいますが、それでもCISAに強く惹かれます。なぜなら、現代の企業経営において、「セキュリティ対策をやっている」こと(Implement) と 「それが有効であると証明できる」こと(Assurance) は、全く別のスキルだからです。
- CISSP/登録セキスペ: セキュリティ対策を「どう設計し、導入し、運用するか」という実装・運用のプロ。
- CISA: その対策が「経営目標や法的要求事項に照らして、適切かつ有効か」を独立した立場で評価・保証するプロ。
経営層や株主は、「セキュリティ対策にこれだけ投資したが、本当に有効なのか?」を常に知りたがっています。CISAの知識は、この問いに答えるための「監査人の視点(Auditor's Eye)」を与えてくれます。
2. CISA vs 主要資格(難易度・領域の徹底比較)
CISAは、しばしば他のIT系・監査系資格と比較されます。それぞれの思想と守備範囲の違いを明確にしましょう。
| 資格名 | 発行団体 | 主な領域 | 視点・思想 |
|---|---|---|---|
| CISA | ISACA | 情報システム監査・保証 | 評価・保証する(監査人) |
| CISM | ISACA | 情報セキュリティ管理 | 管理する(管理者・マネージャー) |
| CISSP | ICS2 | 情報セキュリティ全般 | 実装・運用する(実務家・管理者) |
| システム監査技術者 | IPA(日本) | 情報システム監査 | 評価・助言する(国内・論述式) |
| CIA | IIA(国際) | 内部監査全般 | 評価・助言する(経営全般・IT含む) |
CISA vs CISM(ISACA兄弟資格)
- CISA (監査人): 「システムや管理体制が適切か」を評価・保証します。
- CISM (管理者): 「セキュリティ体制をどう構築・維持するか」を主導・管理します。
CISAが「評価者」なら、CISMは「当事者(管理者)」です。ISACAは両者のキャリアパスを明確に分けています。
CISA vs CISSP(監査 vs セキュリティ)
これは最も重要な比較です。私(城咲子)はCISSP保有者として、この違いを明確に意識しています。
- CISSP (セキュリティ実務): セキュリティを「広く・深く」扱います。8ドメイン(セキュリティとリスク管理、資産のセキュリティ、セキュリティアーキテクチャ…)にわたり、対策をどう実装・運用するかを問われます。「How(どのように)」 の資格です。
- CISA (監査実務): セキュリティを「監査のプロセス」という特定の視点から見ます。CISAのドメイン(後述)を見ればわかる通り、CISAにとってセキュリティ(ドメイン5)は5つのドメインのうちの1つに過ぎません。「Is it right?(それは適切か?)」 を問う資格です。
難易度は同等(どちらも非常に難しい)ですが、求められる思考が全く異なります。
CISA vs システム監査技術者(国際 vs 国内)
- CISA (国際): 国際標準の監査プロセスに基づき、CBT(多肢選択式)で知識を問われます。グローバルで通用します。
- システム監査技術者 (国内): 日本の国家資格(高度区分)。午後は論述式で、具体的な状況に対する監査計画や助言を記述させます。国内(特に官公庁案件など)で強いです。
監査実務未経験者の場合、具体的な事例を論述する必要があるシステム監査技術者試験の方が難しく感じるケースも多いです。
3. CISA試験の「難易度」と「合格率」
CISA試験の難易度
CISAは、CISSPやCISMと並び、IT・セキュリティ・監査分野における最難関の国際資格の一つです。
- 知識範囲: 監査プロセス、ITガバナンス、リスク管理、プロジェクト管理、システム開発、運用、セキュリティ、DR/BCPなど、非常に広範です。
- 思考法: 単なる知識の暗記ではなく、「ISACAが考える監査人として最も適切な判断はどれか?」という独特の思考(通称 "ISACA-ism")を身につける必要があります。これが最大の壁です。
合格率と合格ライン
ISACAは、CISA試験の合格率を公式に発表していません。
ただし、一般的には45%〜60%程度ではないかと推定されています(予備校データなどによる)。情報処理安全確保支援士の合格率(約20%)より高く見えますが、CISAは受験料が高額(後述)であり、受験者の多くが実務経験者や予備校(アビタスなど)利用者であるため、母集団のレベルが非常に高い点に注意が必要です。
- 合格ライン: 200〜800点のスケールドスコア方式で採点され、450点以上で合格です。
必要な勉強時間(目安)
- 監査・IT実務経験者: 150〜250時間
- 未経験者・独学: 300時間以上
監査経験者でも、CISA独特の考え方を学ぶ時間は必須です。未経験者は、まずITと監査の基本用語を理解するところからスタートになります。
4. CISA試験の概要(出題分野・形式・試験日)
試験形式と試験日
- 試験形式: CBT(Computer Based Testing)。4択の多肢選択式です。
- 問題数: 150問
- 試験時間: 4時間(240分)
- 試験日: 通年受験可能。全国のピアソンVUEテストセンターで、自分の都合の良い日時を予約して受験します。
- 言語: 日本語での受験が可能です。(ただし、翻訳のニュアンスが微妙な場合、英語原文を併記して確認できます)
CISA試験の5つのドメイン(出題分野)
CISA試験は、以下の5つの「ドメイン(業務領域)」から出題されます。
- ドメイン1: 情報システム監査のプロセス (21%)
- 監査計画、監査の実行、報告、フォローアップなど、監査の一連の流れ。
- ドメイン2: ITガバナンスとITマネジメント (17%)
- IT戦略、IT投資対効果、リスク管理、IT関連の法規制(例:GDPR、個人情報保護法など)。
- ドメイン3: 情報システムの調達、開発、導入 (12%)
- システム開発プロジェクトの管理、要件定義、テスト、移行プロセスが適切かの監査。
- ドメイン4: 情報システムの運用とビジネスレジリエンス (23%)
- システム運用、インシデント管理、DRP/BCP(事業継続・災害復旧)の監査。
- ドメイン5: 情報資産の保護 (27%)
- ここがセキュリティ分野。アクセス制御、ネットワークセキュリティ、暗号、物理セキュリティなどの監査。
ドメイン5(セキュリティ) が最大の割合ですが、それ以外の監査プロセスやガバナンス、運用に関する知識が7割以上を占めることがCISAの大きな特徴です。
5. CISA合格に向けた「勉強方法」と「必須教材」
CISA合格には王道の学習方法があります。
王道①:公式レビューマニュアル(通称:CRM)
- 『CISA レビューマニュアル』 ISACAが発行する公式テキストです。CISAの全ドメインを網羅しており、合格に必須の知識が詰まっています。ただし、非常に分厚く、文章も難解です。辞書のように使うのが現実的です。
王道②:公式問題集(通称:QAE)
- 『CISA サンプル試験問題&解答・解説集』(書籍版)
- 『CISA レビュー質問・解答・解説データベース』(Web/アプリ版、通称 QAEデータベース)
CISA学習の「核」となるのが、この問題集(特にQAEデータベース)です。
CISA試験は、過去問が公開されません。そのため、ISACAが本番に準拠して作成したこの公式問題集(QAE)を解き、「なぜその選択肢が正解で、他が不正解なのか」 を完璧に理解することが、合格への最短ルートです。
多くの合格者は、このQAEデータベースを最低3周は行い、全ドメインで90%以上の正答率を目指します。
独学 vs 予備校(アビタスなど)
- 独学のメリット: 費用を抑えられる(教材費のみ)。
独学のデメリット:
- 「ISACA-ism」という独特の思考法を一人で掴むのが難しい。
- 教材(特にCRM)が難解で挫折しやすい。
- 最新の試験傾向が掴みにくい。
予備校(アビタスなど)のメリット:
- CISA対策で圧倒的な実績を持つアビタス(Abitus) などが有名です。
- 難解なCRMを噛み砕いた日本語テキストが手に入る。
- 「ISACA-ism」を効率的に学べる講義がある。
- (私見)特に監査実務未経験者は、予備校を利用する方が合格の確実性と効率性は格段に上がると感じます。
6. CISAの「費用」全解説(受験料・維持費)
CISAは取得にも維持にも高額な費用がかかります。
ISACA会員と非会員の価格差
CISA関連の費用は、ISACAの「会員」か「非会員」かで大きく異なります。結論から言うと、受験時点で会員になる方がトータルで安くなります。
(※料金は変動する可能性があるため、最新情報はISACA公式サイトでご確認ください)
① 初期費用(受験〜認定まで)
| 項目 | ISACA会員 | 非会員 | 備考 |
|---|---|---|---|
| ISACA年会費 | $135 | - | ※東京支部会費($50)等が別途必要 |
| CISA受験料 | $575 | $760 | 会員の方が$185安い |
| 認定申請料 | $50 | $50 | 合格後に必要 |
| 初期費用 合計 (目安) | 約$810 | 約$810 | ほぼ同額。会員は特典あり |
| (参考)予備校費用 | 10万〜20万円 | 10万〜20万円 | 別途 |
※受験料だけで見れば、会員になった方が($135 + $575 = $710)非会員($760)より安くなります。
② 維持費用(認定後、毎年)
CISA資格を維持するためには、「ISACA会員であり続ける」ことと、「CPE(継続的専門教育)ポイント」を取得・報告することが必要です。
| 項目 | 年額 | 備考 |
|---|---|---|
| ISACA年会費 | 約$135 | ※東京支部会費($50)等が別途必要 |
| CPE維持管理費 | $45 | |
| 年間維持費 合計 (目安) | 約$230 (約3.5万円) |
CISAは合格して終わりではなく、年間約3〜4万円の維持費がかかる資格であると認識しておく必要があります。
7. 最難関?CISAの「認定要件」と「実務経験」
CISAは、試験に合格しただけでは「CISA」と名乗れません。合格後、5年以内に以下の実務経験要件を満たし、「認定申請」を行う必要があります。
5年間の実務経験(原則)
CISAの5つのドメインに関連する5年間の実務経験が必要です。 (例:情報システム監査、ITコンサル、セキュリティ運用、ITガバナンス業務など)
実務経験の「免除(Waiver)」制度
「5年間も監査経験がない」という方でも、以下の免除(代替)制度が利用できます。これが非常に重要です。
| 免除(代替)となる経験 | 免除期間(最大) |
|---|---|
| 情報セキュリティ実務経験 | 最大1年 |
| 情報システム(IT)実務経験 | 最大1年 |
| 大学の学位(4年制) | 2年 |
| 大学の学位(2年制) | 1年 |
| 関連資格(CISSP, CISM, 登録セキスペ等) | 2年 |
| (参考)公認会計士 | 2年 |
免除は組み合わせて最大3年間まで認められます。
例えば、私(城咲子)のように「CISSP(または登録セキスペ)を保有(2年免除)」し、「情報セキュリティ実務経験(1年免除)」があれば、合計3年間の免除が受けられます。
この場合、残りの2年間分のCISAドメインに関連する実務経験(IT運用や監査業務など)を証明すれば、認定要件を満たせることになります。
8. CISA取得のメリット(年収・転職)
では、高額な費用と時間をかけてCISAを取得するメリットはどこにあるのでしょうか。
転職市場での圧倒的優位性
- 監査法人(Big4): Big4(デロイト、PwC、KPMG、EY)のシステム監査部門やリスクアドバイザリー部門では、CISAは必須または強力に推奨される資格です。
- 事業会社の内部監査室: 上場企業がITガバナンスを強化する中で、専門知識を持つCISA保有者の需要は非常に高いです。
- コンサルティングファーム: ITガバナンスやGRC(ガバナンス・リスク・コンプライアンス)のコンサルタントとして高い評価を得られます。
CISA保有者の年収目安
CISA保有者の年収は、その人の実務経験や役職に大きく左右されますが、一般的に非常に高い水準にあります。
- 監査法人(シニア〜マネージャークラス): 800万〜1,500万円
- 事業会社(内部監査・ITガバナンス): 700万〜1,200万円
特に、監査未経験であっても、私のようなセキュリティやITインフラの実務経験者がCISAを取得すると、「実務がわかり、かつ監査もできる人材」として、極めて希少価値の高い存在となり、キャリアアップや年収交渉で強力な武器となります。
9. まとめ
CISA(公認情報システム監査人)は、単なるIT資格ではなく、ITガバナンスとアシュアランス(保証)のプロフェッショナルであることを証明する、世界標準の国際資格です。
- CISA(ISACA) とCISA(米政府機関)は別物。
- 難易度は非常に高いが、「ISACA-ism」を理解することが鍵。
- 学習の核は公式問題集(QAE) の徹底的な周回。
- 合格後、5年間の実務経験(最大3年の免除あり)が必要。
- 年間3〜4万円の維持費がかかるが、それ以上のキャリアメリット(年収・転職)が期待できる。
セキュリティ担当(守る側)の視点からも、CISAが持つ「監査人の視点」は、自社のセキュリティ対策を客観的に評価し、経営層に説明責任を果たす上で、計り知れない価値があります。
この記事が、あなたのキャリアを次のステップへ進めるための一助となれば幸いです。
(関連情報)
- 近年、CISAが評価する対象である情報システムへの脅威は増大しています。最新の攻撃事例については、こちらのまとめ記事もご参照ください。
- 監査やガバナンスの基盤となる法律・ガイドラインの動向も重要です。
