CISA（公認情報セキュリティ監査人）合格体験記

CISA（公認情報セキュリティ監査人）という資格に合格した。その合格体験記を残しておく。

試験の概要

CISA（Certified Information Systems Auditor）は、情報システム監査、制御およびセキュリティの分野における専門知識を証明するための国際的な資格である。この資格は、情報システム監査、管理、およびセキュリティに関連する専門家のためのものであり、ISACA（Information Systems Audit and Control Association）によって運営されている。以下にCISA試験の概要を示す。

試験の目的

CISAの資格は、情報システムの監査、制御、およびセキュリティにおける高い専門知識と技能を持つことを証明することを目的とする。

試験内容

CISA試験は以下の5つのドメイン（領域）から構成されている。それぞれのドメインの詳細は次の通りとなる：

1. 情報システム監査プロセス
  - 情報システム監査の基礎知識、監査計画の策定、実施、報告、フォローアップを含む。
 
2. ガバナンスおよびマネジメント
  - 企業のガバナンス構造、情報システムの管理、リスク管理、制御の設計と実装をカバーする。

3. 情報システムの取得、開発、および実装
  - システム開発ライフサイクル（SDLC）、プロジェクト管理、システムの導入とメンテナンスに関する知識。

4. 情報システムの運用、ビジネスレジリエンス
  - システムの運用、ハードウェアおよびソフトウェアの管理、バックアップと復元、インシデント管理。

5. 情報資産の保護
  - 情報資産のセキュリティ、物理的および環境的な保護、アクセス管理、データ保護の手法。

ちなみにドメインごとに出題率が決まっている。
2024年にアップデートがあった。

https://support.isaca.org/s/article/CISA-Job-Practice-Update-2024

試験形式

- 形式　4肢選択問題
- 問題数　150問
- 試験時間　4時間
- 合格基準　スコアが450点（スケールスコアで800点満点中）以上
- 会場　テストセンターまたは自宅

試験の受験資格

以下の条件を満たす必要がある：
- 職歴　最低5年間の情報システム監査、管理、セキュリティの実務経験。特定の条件下で最大3年間の代替経験が認められる場合がある。

受験料

ISACA会員　U.S.$575（約92,000円）
ISACA非会員　U.S.$760（約123,000円）
ゼロの数間違ってない？というくらい高い。

勉強方法

CISAの勉強方法としてメジャーなのは以下のふたつの方法である。

①公式の過去問題集で勉強する

ISACA Portal

ISACA公式から過去問題集が発売されている。
2024年6月現在で159.00ドル、日本円にして25,000円程度だ。高いと思うだろうが、Amazonで買うともっと高い。

こちらの公式過去問題集で勉強するのが、もっとも安上がりな勉強方法と言える。実際に、わたしの同僚はこの過去問題集を使って勉強し、合格した人も多い。

ただ、話を聞くには解説はあまり充実していないとのことだ。わたしの同僚はシステム監査人で、システム監査の業務経験がある人たちである。システム監査未経験の人がこちらの解説が不親切な過去問題集だけで勉強するのは大変かもしれない。

②予備校を利用する

CISA®（公認情報システム監査人）合格ならアビタス/Abitus

アビタスという予備校がCISAコースを開講している。情報システム監査人の経験がない人はこちらを利用したほうがよいと思う。

受講料は通学・通信ともに20万円程度で決して安くはないのだが、そもそもCISAの受験料は（2024年現在）12万円程度である。過去問題集のみで勉強し、一度不合格となって二度目を受けるハメになるのであれば、絶対に始めから20万円払ってアビタスに通ったほうがよい。

アビタスといいところは、問題集のアプリ版を用意してくれているところだ。通勤中などの隙間時間にポチポチ勉強できる。

さらに、わたしはあまり利用しなかったのだが、講師による動画講座もよいらしい。CISAで問われやすいポイントを解説してくれるようだ。

勉強時間

真面目に勉強をしたのは2ヶ月くらいだと思う。1日2時間ほど×60日で、120時間くらい勉強したと思う。
一般的にはCISAの勉強時間は200時間程度が目安といわれている。
わたしは情報セキュリティ監査人の実務経験があるので、未経験者よりかは勉強時間が少なくて済んだというところだ。

難易度

CISAの合格率は公表されていない。
また、採点もスケールドスコア形式を取っているため、「何問正解したら合格」という明確な合格ラインがない。

体感でいうと、CISAで問われる知識はそう高度なものではない。
しかし、問題文と選択肢がものすごく曖昧でわかりにくい。
まず翻訳の問題もあろう。CISAの問題は、原文では英語だ。それを日本語訳にしたものを我々は受験する。この日本語訳がいかんせんイケていない。

例えば、問題文で
「情報システム監査人が最も懸念しなければならないことは次のうちどれか。」
という言い回しがあった。
「懸念する」とは、日本語では「心配する」と同義だから、わたしは「情報セキュリティ監査人的に最も心配なこと」にあたる選択肢で回答した。誤っていた。

正答は、「情報セキュリティ監査人的に最も重要なこと」にあたる選択肢だった。
問題文の「懸念する」だが、原文はconcernだったと思われる。concernは懸念する、心配するといった意味の他に、重視する、注視する、気を払うといった意味合いが大きい。
したがって、問題文では「懸念する」といっておきながら、問題の意図は「重視する」であった、ということだ。翻訳の限界を感じる。

このような翻訳の限界に試験中何度も遭遇する。
AWS資格のように、受験中に日英を切り替えられたらよかったのだが、残念ながらCISAにその機能はない。

さらに、CISAは「最も正しい選択肢を選ばせる」試験だ。
つまり他の選択肢も正しいといえば正しいのだ。
ある場面において、情報システム監査人として、最も正しい選択はどれか（他の選択も別に間違っちゃいないけどね）を問われる、消去法が効かない試験だ。
こんな試験なので、誤答した問題の解説を見ても納得がいかないことが多い。わたしとISACAで見解がどうしても合わない、分かり合えないというところなのだろう。

試験当日

テストセンターで受験した。
テストセンター受験では、お手洗いなどの一時退室が可能である。ただし、一時退室の間、試験時間タイマーは進み続ける。

ちなみに、テストセンターの他に自宅受験も可能だそうだ。その場合は、終始試験官とカメラを繋げて受験するため、途中退室は不可とのことだった。

150問を240分で解けばよい。合格者の誰に聞いても、2時間くらいで問題は解き終わっていたとのことだ。わたしもそうだった。試験時間が足りなくなる心配はいらない。

試験だが、先ほど述べたように、とにかく曖昧で、正答でない選択肢も別に間違いではないというフンワリ試験であるため、最初から最後まで手応えが不明だった。手応えがあるとかないとかではなく、「わからない」という状態だ。たぶん合格してそう、これはたぶん不合格、といった予感が一切ないまま2時間問題を解き続け、30分ほどかけて見直しをしたところで試験終了ボタンを押した。

テストセンター試験では、その場で合否が表示される。
早く合否が知りたいのに、なぜかまあまあな分量のアンケートが始まった。
「テストセンターの試験は便利でしたか？」はい。
「問題文はわかりやすかったですか？」いいえ。
「問題は難しかったですか？」わからない
「テストセンターの係員の対応は良かったですか？」はい
勘弁してくれ。早く結果を教えてくれ！12万円がかかってるんだぞ！
アンケートは30問くらいあった。なんでこのタイミングでアンケート受けさせるの？早く合否知りたいんだけど。

アンケート終了のボタンも押す。合否が表示されるまでの数秒間、マジで手応えが不明なためわたしは祈っていた。祈る以外に特にできることがなかった。

「あなたは合格です」と画面に表示されてホッとした。ホッとしたが、「やっぱりなんであのタイミングでアンケート受けさせたん？」のほうが心に残っていた。

合格その後

試験当日テストセンターで合否を知ることはできるが、これは暫定の結果である。
試験の1週間ほど後に、正式なスコアレポートがメールで送られてくるらしい。これを書いているわたしはこのスコアレポートを待っているところである。
暫定合格が覆ることはまずないと思われるが、もし「やっぱりあなたは不合格です」とか言われたら普通にキレると思う。