ど文系ど素人の公認情報システム監査人（CISA）合格体験記

公認情報システム監査人（Certified Information Systems Auditor）（以下「CISA」）という資格に、2019年12月に2か月くらいの勉強期間で独学で合格しました。

まだ日本ではメジャーな資格ではないためか、試験概要についての説明や、どのようにすれば合格できるかなどの情報がネット上にあまりなかったので、私の経験を残しておきたいと思います。

＜背景＞
2019年10月に、会社の業務で資格取得の必要に迫られ、急遽、私の他にも数人で受験することになりました。
私自身は今までITコンサル系の業務（業務分析、システム調達、PMOなど）を7年間ほど行ってきましたが、システム監査の経験はなく、コンサルとして支援していたクライアント側の監査対応を支援したことや、社内のISMS対応の手伝いなどをしたことがある程度です。（非IT会社にいた時に会計監査の対応はがっつりやったことがありますが）
また、大学では民俗学を学んでいたど文系の人間で、システム開発経験もありません。
CISA受験については、正直意識したことはなく、今回初めて試験の受験方法から調べました。
つまり、システム監査業務に関してはど素人の人間です。

ちなみに、情報処理推進機構（IPA）の実施する情報処理技術者試験には、「システム監査技術者試験（AU）」というものがあります。
受験料は約5千円と安いですが、高度区分に分類される試験で難易度は高く（論文試験があります）、年1回しか受験タイミングがないため、取得のハードルが高い資格です。

就職・転職や、社内の評価・昇格、入札参加資格など多くの場合は、CISAとシステム監査技術者は同等レベルの資格として扱われるので、業務経験や知識等を証明するための資格としての違いはあまりなく、どちらを取得してもあまり変わらないでしょう。
費用と時間に余裕があるならCISA、記述試験の対策ができて試験タイミングが合えば、システム監査技術者取得を目指すのがよいかもしれません。

また、似たような名前で特定非営利活動法人日本システム監査人協会（SAAJ）が認定する「公認システム監査人」という資格もあり、こちらはシステム監査技術者やCISA、情報処理技術者、公認会計士、中小企業診断士などの資格を既に所有する方を対象として、面接審査等により認定される資格のようです。

今回、私はタイミング的に情報処理試験に間に合わないため、CISA取得を目指すことになりました。

＜試験申し込み＞
10月初めくらいに受験することが決まり、まずはISACA（The Information SystemsAudit and Control Association, Inc. 情報システムコントロール協会）に試験の申し込みを行うところから始めました。

ISACA国際本部
https://www.isaca.org/pages/default.aspx
ISACA東京支部
http://www.isaca.gr.jp/index.html

ISACA国際本部のホームページはすべて英語なので、google翻訳を使用しながら何とか申し込みました。
ISACAに登録しなくてもCISA受験は可能です。
受験料について、ISACA非会員は$760、ISACA会員は$575です。
ISACA会員になるにはISACAへの登録料が別途かかるので、本部への登録料$135、東京支部への登録料$50、新規会員登録料$10に上記の受験料を合計して、$750（日本円で約8万2千円）必要になります。
上記のとおり、会員登録した方が$10程度ですが安くなるのと、ISACA本部及び東京支部のナレッジにアクセスできるようになるメリットがあるため、私は会員登録して受験しました。

試験日程について、テストセンターでのコンピューター試験（Computer Based-Testing）になるので、会場の日程が空いていれば好きな日程で受験できます。
私は北海道札幌市在住で、札幌ではテストセンターが1か所しかなかったので、そこで受験しました。平日の週3回くらいは選択できる日程がありました。
ちなみに、現在は上記のとおりCBT試験なのでいつでも好きな日程で受けられますが、2017年以降の話のようで、それ以前は3カ月間×年3回の日程に限られていたそうです。ネット情報や、参考書でも古いものは2017年以前の情報になっているものが多くありました。

＜試験概要＞
CISA試験は、5つの実務領域（ドメイン）に関する150問の四択問題で構成されています。
本試験での出題順はドメイン毎ではなく、ランダムに出題されます。

試験の合格基準として、CISA試験の得点は200～800ポイントのスケールド・スコアに換算され、合格ラインは450点以上となります。
こちらの合格基準についても、古い情報だとスケールドスコア99点中、75以上のスコアで合格となっていたり、まちまちなのでご注意ください。
ちなみに、私自身の試験結果のところでも記載しますが、ドメインごとに点数が換算されて採点されるため、単純に何割以上正解すれば合格、とはいかないようです。

ドメインごとの出題割合は、下記の試験勉強に記載しているアビタスの問題集（MCカード）や、アビタスのページにも記載されています。
https://cisa.jp.net/examination/system.html

＜試験勉強＞
本当はよくないのですが、会社の先輩で過去にCISA受験し合格した人がいるので、その人にアビタス（Abitus）のテキスト及び問題集を譲ってもらい、それを使用して試験勉強を行いました。

アビタスは、国際資格の専門学校で、CISA以外にもUSCPA（米国公認会計士）やCIA（公認内部監査人）、CFE（公認不正検査士）などの試験対策でも有名です。

アビタスの講座を正規で受講すると20万円くらいかかるようですね・・・。
テキストや問題集（MCカード）は中古品がヤフオクやメルカリで出回っていますが、それでも3万～4万くらいの相場になっているようです。
身近にCISA合格者がいれば、私のようにその方を頼るのがよいかもしれません・・・。

私の勉強法としては、アビタスのテキストを一通り読んで概要を掴んだ後に、ひたすら問題集（MCカード）を解きました。
問題集（MCカード）は、CISAの過去問がベースになっているようです。
過去問のうち、そのまま試験に出るものも少しありましたが、ほとんどは過去問と観点は同様でも異なる問題です。
なので、暗記というよりは、CISA特有の考え方、独特のパターンを覚える形になります。
CISA問題の特徴として、英語の問題を無理やり日本語に直しているので、用語が独特であったり、どの選択肢も間違いではないものの、より重要な選択肢を選ばされたりするものがあります。
問題集を2～3週すれば、考え方のパターンがなんとなく分かるので、繰り返し問題を解くことで、地道ですが合格に近づけるかと思います。

＜受験＞
私は札幌で受験したので、イーエデュケーションズというテストセンターで受験しました。
https://testing.e-educations.net/

試験時間近くにならないと、会場に入ることはできません。
CISA以外にも様々な試験の会場となっているため、けっこう人はいました。
本人確認のために、名前と顔の分かる公的機関発行の証明書と、名前の分かるものの2枚が必要です。私は、運転免許証と健康保険証で大丈夫でした。
試験会場には何も持ち込み不可のため、カバンは入り口でロッカーに預けます。腕時計や携帯電話（スマホ）も持ち込み不可です。
メモ用に、紙と鉛筆はもらえます。
また、席にヘッドフォン型の耳栓があります。

試験は、パソコンで実施されます。
最初にチュートリアルがあり、その後に開始されます。
迷った問題など気になった問題はマークしておき、後で見返すことができます。
また、画面の右上に制限時間が出ているので、試験は進めやすいです。

全部で150問のため、けっこうハードです。
制限時間としては240分（4時間）ありますが、私は見直し含めて2時間半程度で完了しました。

全て問題解答を完了し、終了ボタンを押すと、アンケート画面に進みます。
アンケートの回答も完了すると、試験結果が出てきます。

私は試験に合格していましたが、この時点での結果はあくまでも仮のものであり、10日後に正式な結果連絡があると画面に表示されていました。

＜試験結果＞
案内のとおり、10営業日後に「CISA Exam Result Notification」というタイトルのメールが送付されてきます。そこには、試験結果の詳細が記載されています。
ドメインごとの点数と、合計スコアが記載されています。
正直、ドメインごとの換算係数が分からないので、配点を見てもよく分かりませんが・・・。
合格基準店は450点で、私はぎりぎりの476点でした・・・。
ちなみに、各ドメインのスコアは
SCALED SCORES BY CONTENT AREA:
Information System Auditing Process 444
Governance and Management of IT 538
Information Systems Acquisition, Development, and Implementation 388
Information Systems Operations and Business Resilience 529
Protection of Information Assets 511
という結果でした。

各ドメインで450点を取っていれば安心かもしれません。

メールには、今後の認定プロセスについても記載されています。
CISA認定には、認証の申請と、申請手数料の支払いが必要になります。

＜認定＞
CISA資格認定申請書は以下にあります。
https://m.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Apply-for-Certification/Documents/CISA-Application-2016-Later-frm_Jpn_0918.pdf

こちらにもリンクがありますが、まずはCISA申請手数料$50の支払が必要です。

その後、認定申請書の各項目を記載し、ISACAのページに登録します。
大学の卒業証明書（申請する場合）や、職務経験の証明（監督者や管理者）が必要となるので、事前に用意しておくとよいかもしれません。

申請後すぐに、申請受領の連絡がありその後に認定資格を満たしている旨の連絡があります。
正式な認定はさらにその後になり、申請から4日後くらいに、「CISA Certification Notification」というタイトルのメールが届きます。それにより、CISAの正式認定となります。

私の場合は、試験受験から18日で正式認定されました。
申請書の提出タイミングや、土日祝など営業日の都合はありますが、2～3週間程度で認定されるということでしょう。

＜まとめ＞
私の場合のスケジュールと費用のまとめです。

情報収集、試験申し込み：約1週間
勉強期間：約2か月
結果通知：2週間
申請：4日
認定：4日
---------------------------
合計：約3か月

受験費用：8万2千円（$750）
認定申請費用：6千円（$50）
---------------------------------------
合計：約8万8千円（$800）

冒頭にも記載しましたが、CISAの参考書や問題集はほとんどなく、アビタスの少し高めの講習しかありません。
しかし、逆に言えば上手く環境などを利用して最小の資源で試験に合格できれば、かなりパフォーマンスのよい資格といえます。

今やシステムを使わない組織はほとんどなく、セキュリティインシデントは毎日どこかで発生しています。
セキュリティの問題だけではなく、IT投資の妥当性評価が課題となっている企業も多くあります。
システム監査のニーズは、今後ますます高まっていくでしょう。

みなさまもCISA試験、がんばってください。