【決定版】CISAに合格した筆者が資格取得の勉強方法やポイントを解説する【公認情報システム監査人】

こんにちは!

このページをご覧の皆様は、おそらく情報セキュリティ系の仕事をしており、CISAの資格取得を検討されている方かと思います。

しかし、CISAは難易度が高い資格です。

かつ、IPA等の資格と違い合格するための情報なんかも、ネットで見ていると少ないですよね。

周りに直近の合格者がいれば、その方に合格するための勉強法を聞くのが一番だと思うのですが、そう都合よくもいかないですよね。

よって、今回は、筆者が直近で、CISAに合格しましたので、合格するための勉強方法などを解説していきたいと思います。

CISA(公認情報システム監査人)の概要

そもそもCISAとはどんな資格か

CISAの正式名称は、Certified Information Systems Auditorであり、日本語にすると「公認情報システム監査人」です。

よって「外部監査人や内部監査人としてシステムを監査するための考え方が身につくのかな」と受験前は考えていたのですが、それだけではありませんでした。

セキュリティの仕事をしていると、リスクアセスメントを行う機会というのは監査に限らず発生してくると思います。

CISAに合格することで、企業にとって重要な問題が何か

「アセスメントの対象を特定し」

「リスクを特定し」

「そのリスクの詳細を分析し」

「リスクを受容するか、低減策を検討するか、経営層に判断を仰ぐ」ことで

「組織のリスクを管理していく」という

リスクアセスメントの一連の考え方を学ぶことが出来ます。

また、BCPに関する知識や、開発運用時のリスクにおける考え方なども出題され、企業のあらゆる場面でリスクアセスメントを行っていくための考え方を体系的に学習することが出来るスキルであると感じました。

CISAに合格すると、どんなスキルがつくのか

筆者の印象として、まず監査人の資格であるため、監査時のヒアリング力が大幅に向上しました。

監査対象のシステムや、監査対象組織のリスクは何か、特に何を深堀して聞くべきか、発見した事象に対してどのように考えて行動していけばよいか等の総合的な考え方をスキルとして習得できると思います。

しかしそれだけでなく、例えばある日、開発の担当者があなたのところに相談にきたとします。

「今こんなシステム作ろうと思ってるんだけど、リスク無いかな?どう思う??」なんていいながら、システムの構成図をあなたに見せてきたとします。

こんな時、どうやってリスクが無いか確認していくか、思考のプロセスを習得できます。

現場にいて急に相談を受けた時、瞬時にリスク分析の思考ができる力があるというのは、セキュリティを担当している身としてはとても重要なスキルだと考えます。

このようなスキルが身につくのが、CISAという資格であると筆者は考えています。

そのほかに、BCPの観点や、開発者としてのセキュリティの考え方というのも試験としては出題されますので、BCP担当者や開発部門の方にとっても有意義な資格であると思います。

CISAを保有していると転職がどのように有利になるのか

CISAという資格は、セキュリティの上位資格であることから、やはり市場価値が高いようです。

エージェントや求人情報を確認していると募集要項に「CISAを取得しているとなお良い」と記載された求人が多く来るようになりました。

具体的には、監査法人系の求人、ITコンサル系の求人に顕著にみられます。

よって、監査法人系、ITコンサル系に転職する際はCISAは特に有利に働くのではないかという印象です。しかしそれだけではなく、事業会社の求人でも「CISAやCISMまたはCISSPを取得している方を探している」という求人が来ることがあり、事業会社に転職を考える方にとっても有意義な資格であるように見えます。

ちなみに、この転職の求人が来るというのが個人的にはかなりモチベーションになりました。

まだ転職サイトに一度も登録したことがない人がいましたら、たとえばビズリーチやキャリアカバーなどのハイクラスの求人ばかりが集まっている転職サイトに、登録してみることをオススメします。

そして職務経歴書に「CISA学習中」などと記載してみてください。ヘッドハンターから「あなたのCISAとしての活動経験に着目しました!!」というオファーメッセージが多く来ることにびっくりするはずです!

転職サイトへの登録は無料で、ビズリーチもキャリアカバーも、面倒なエージェントからの電話なども特に来ませんので、転職を考えていなくてもモチベーションアップを目的に試しに登録してみることをオススメしますよ。気に入らなかったらアプリをアンインストールしてしまえば、その後はなんの連絡も来ない無害なものになりますしね。

CISA(公認情報システム監査人)に合格する方法

CISAが情報セキュリティを担当する人間にとって、有意義な資格であることはここまでで解説しました。

では、試験を受験し合格するためにはどうすればよいのか。ここからは筆者の合格までの実績をベースに記載していきたいと思います。

CISAの難易度はどれくらいか

まず、筆者は「情報処理安全確保支援士」「CISA」「CISM」「CISSP」を取得しています。

よって、この4つで比較していきたいと考えているのですが、まず大きく以下の二つに大別できると考えます。

◆システム系の知識がかなり必要な資格

情報処理安全確保支援士

CISSP

◆システム系の知識はあまり必要ない資格

CISA

CISM

情報処理安全確保支援士やCISSPについては例えば「IPsecのAHとESPの違いは何か」や「Xmasスキャンとは何か」「IaasとSaasとPaasの違いは何か」「PGPの仕組みは何か」といったようなシステム系の知識がかなり多く必要になってきますが、CISAはそうではありません。

CISAで求められるのはあくまで「考え方」がメインであり、あまりシステム系の知識が問われることはない印象です。せいぜいBIAの分野でRTO,RPO,MTD等が出題されたり、SDLCに関するおまかな流れの理解が必要になるぐらいでしょうか。

よって、システム系の知識が苦手な方にとってはCISAは取り掛かりやすく、例えば開発経験者の方など、システム系の知識がある方はCISSPや情報処理安全確保支援士が取り掛かりやすいという印象です

個人的には、以下の順番で難しいのではないかと思います。

CISSP>情報処理安全確保支援士>CISM>CISA

※余談ですがCISSPが一番難しいのは、日本語の過去問が無いというのもあります。



CISAを受験料などはいくらか

では次に、CISAを受験するためにはどれくらい費用が必要か解説します。

CISAを受験し、受験後CISAとして認定されるためには、以下の費用が必要です。

・New Member Fee Online(ISACA会員登録)100$

・089-Tokyo Chapter through 31 Dec 2017(ISACA東京支部会員登録)50$

・CISA Exam(CISA受験料)575$

・Application Processing Fee(合格後認定費用)50$

合計:775$

・・・結構お金かかりますよね。大体8万円ぐらい必要になります。

どのような実務経験があるとCISA取得が楽になるか

まず、実務経験が無くてもCISAには合格できます。筆者の周りで、入社2年目の新入社員が勉強し、CISAに合格していましたので努力次第かと思います。(実務経験が足りず認定はまだ先になりますが)

実務経験としては、内部監査人の経験、外部監査人の経験、リスクアセスメントの経験などがあると、過去問を解いたときに解説がすっと入ってくると思われます。

CISAに合格するためはどのように勉強すればよいか

筆者の実績として、こちらのISACAが出版しているCISAの公式問題集を利用しました。

Japanese: CISA®試験サンプル問題&解答・解説集 第11版 

こちらの問題集ですが過去問が1000問と、サンプルテストが掲載されています。

勉強方法としては以下の通り行いました。

1、まず過去問を解いてみる

2、間違えた問題に付箋を貼っていく

3、わからない単語や用語は調べて、自分なりにメモに整理しておく

ーーここまでで過去問1週終了ーー

4、付箋を貼った問題のみ解いていく

5、正解した問題は付箋を外していく

6、わからない単語があれば、どんどんメモに追加していく

以降456を付箋がすべて無くなるまで繰り返す。

ーーー試験2週間前ーーー

7、プラクティステストを解く

8、苦手分野を集中的にトレーニングする

 

以上です。

よって、ISACA公式でレビューマニュアルという名称で解説書も出版されているのですが、解説書は使用しませんでした。

CISA合格に要した勉強時間はどれくらいか

筆者の実績として、150時間程度で合格できたと思います。

勉強期間は2.5か月ぐらいだったと思います。

ただ勉強時間については現状のスキル見合いになりますので、あくまで参考としてご紹介します。

上で少しご紹介しました、入社2年目の新人君は250時間ぐらい勉強したと言っていました。

CISA試験の予備校へ通学したほうがよいか

筆者は通っておりませんでしたが、アビタスという資格予備校があるようです。

かなり実績があるようなので、もし自身が無い方がいましたら一度お話を聞いてみるのもありなのではとおもいます。

↓その他学習のヒントを記事にしました。

2018年:CISA試験に合格するための学習のヒント

 

4 COMMENTS

CH

こんにちは、CISAの資格を取得したいと考えております。本記事を丁度拝読しましたので、コメントにて質問させて頂ければと思います。

2019年分のスケジュールを確認したいのですが、以下のリンクより国内で試験会場となるところが今年・来年と検索結果がが表示されませんでした。
https://isacaavailability.psiexams.com/isaca/testdate/post_testdate.jsp

初歩的な質問で大変恐縮なのですが、できれば関東内での受講を検討しておりますが、試験の開催頻度や検索方法等を可能な範囲でご教示いただけませんでしょうか。

返信する
change you

こんにちは
CISAの試験会場はこちらから検索できますよ。オレンジ色のサーチボタンをクリックです。
http://www.isaca.org/certification/pages/exam-locations.aspx

試験は5〜6月、8〜9月、11〜12月の間であれば、都内であればほぼ毎日どこかの会場で受験できると思ってよいはずです。
検索結果でKioskと出る場所は、無人の試験センターのような場所で、海外のオペレーターと試験当日はWEBカメラで会話をする必要があるという話を聞いたことがありますので、英語に自身が無い場合はkiosk以外の、有人の試験センターで受験することをオススメします。

返信する
NI

こんにちは
CISAに挑戦しようと考えているのですが、テキストはどのように購入しましたか?

Japanese: 26th Edition年公認情報システム監査人(CISA)レビューマニュアル
料金 会員:US$105.00 非会員:US$135.00

Japanese: CISA®試験サンプル問題&解答・解説集 第11版
料金 会員:US$120.00 非会員:US$156.00

上記のテキストを購入したいのですが、以下のリンク先を探しても見つけることができませんでした。
https://www.isaca.org/bookstore/Pages/default.aspx?

ご教示いただけると幸いです。

返信する
change you

こんにちは!
確かに、今無いですね・・・・

ISACA公式に、以下のような周知があります。
日本語版は、大体遅れて出版されるので、ちょうど本がない時期なのかもしれませんね。。。。

ーーーー
CISA試験の領域(Job Practice Area)の変更と日本語版教材の在庫について (2019.1.10更新)
2019年6月より、新しいCISA試験の領域(Job Practice Area、以下Job Practice Area)による試験が実施される予定です。
一方で、現行のJob Practice Areaに基づくCISA試験は以下の受験枠まで実施予定です。
1 October 2018 – 24 January 2019
1 February 2019 – 24 May 2019
現行のJob Practice Areaに準拠したCISA日本語教材は、2019年1月3日の段階で国際本部Bookstoreに在庫があると報告を受けております。
CISA Review Manuals : CRM26EDJ – Japanese
QAE問題集 : QAE11EDJ – Japanese
2019年5月期までにCISA受験をお考えの方はお早めに上記マテリアルをご購入ください。
教材の詳細についてはこちらを参照ください。

返信する

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です