【決定版】CISAに合格した筆者が資格取得の勉強方法やポイントを解説する【公認情報システム監査人】

こんにちは!

このページをご覧の皆様は、おそらく情報セキュリティ系の仕事をしており、CISAの資格取得を検討されている方かと思います。

しかし、CISAは難易度が高い資格です。

かつ、IPA等の資格と違い合格するための情報なんかも、ネットで見ていると少ないですよね。

周りに直近の合格者がいれば、その方に合格するための勉強法を聞くのが一番だと思うのですが、そう都合よくもいかないですよね。

よって、今回は、筆者が直近で、CISAに合格しましたので、合格するための勉強方法などを解説していきたいと思います。

関連:CISMに合格する方法を解説

関連:CEHに合格する方法を解説

関連:内部監査とはどんな仕事かを徹底解説

関連:セキュリティを仕事にしたい人が絶対に読むべきオススメ書籍まとめ

kazna

是非参考にして頂き、CISAに合格してください!

結論:CISAに合格するためはどのように勉強すればよいか

合格するためには、こちらのISACAが出版しているCISAの公式問題集を利用がおすすめです。

CISA®試験サンプル問題&解答・解説集

こちらの問題集ですが過去問が1000問と、サンプルテストが掲載されています。

勉強方法としては以下ようなイメージで行うのが良いでしょう。

1、まず過去問を解いてみる

2、間違えた問題に付箋を貼っていく

3、わからない単語や用語は調べて、自分なりにメモに整理しておく

ーーここまでで過去問1週終了ーー

4、付箋を貼った問題のみ解いていく

5、正解した問題は付箋を外していく

6、わからない単語があれば、どんどんメモに追加していく

以降456を付箋がすべて無くなるまで繰り返す。

ーーー試験2週間前ーーー

7、プラクティステストを解く

8、苦手分野を集中的にトレーニングする

 

サンプル問題集を解いていて、概念的にわからない部分などが出てきましたら、以下のKindle Unlimitedで無料購読できる英語の参考書を参考に勉強してくのがおすすめです。

kazna

個人的には公式の参考書の方は、おすすめしません!内容が体系的に整理されているわけでもなく、全く利用しませんでした。

 

筆者はあまり英語はできませんが、試験勉強としてはなんとなく内容を理解できます。

Kindle Unlimitedの30日無料プログラムをまだ使っていないようでしたら無料で読めますので、それほど英語がわからない人であっても一度目を通してみることをおすすめします。

kazna

無料なので、CISAの受験を検討している方が「CISAってどんな試験なんだ」というのを理解するためにもこちらの書籍はおすすめです。

 

無料のおすすめ書籍

1.CISA: Essential Exam. Notes

試験のポイント集です。重要な概念が簡潔に説明されています。

 

2.Latest Certified Information System Auditor Exam Questions 

問題集です。 Real Testで使用される最新のパターンとトピックがカバーされています。

 

3.CramFLASH Study Flashcards for CISA Exam: 100 “cards” are included

フラッシュカード集です。CISA試験用の100の「フラッシュカード」が読めます。

 

3.WHY DO SO MANY PEOPLE FAIL THE CISA EXAM?

試験のポイント集です。CISA試験のコアな考え方となる、「監査の概念」「監査プロセス」「監査手順」等に関するポイントが整理されています。

Kindle Unlimitedの30日無料登録ページはこちら

※無料キャンペーンに参加できない人も今なら、2ヶ月で299円です。

CISAの勉強時間はどれくらいか

筆者の実績として、150時間程度で合格できたと思います。

勉強期間は2.5か月ぐらいだったと思います。

ただ勉強時間については現状のスキル見合いになりますので、あくまで参考としてご紹介します。

上で少しご紹介しました、入社2年目の新人君は250時間ぐらい勉強したと言っていました。

CISA(公認情報システム監査人)とはどんな資格か

CISAの正式名称は、Certified Information Systems Auditorであり、日本語にすると「公認情報システム監査人」です。

よって「外部監査人や内部監査人としてシステムを監査するための考え方が身につくのかな」と受験前は考えていたのですが、それだけではありませんでした。

セキュリティの仕事をしていると、リスクアセスメントを行う機会というのは監査に限らず発生してくると思います。

CISAに合格することで、企業にとって重要な問題が何か

「アセスメントの対象を特定し」

「リスクを特定し」

「そのリスクの詳細を分析し」

「リスクを受容するか、低減策を検討するか、経営層に判断を仰ぐ」ことで

「組織のリスクを管理していく」という

リスクアセスメントの一連の考え方を学ぶことが出来ます!

また、BCPに関する知識や、開発運用時のリスクにおける考え方なども出題され、企業のあらゆる場面でリスクアセスメントを行っていくための考え方を体系的に学習することが出来るスキルであると感じました。

ISACA公式を見る

CISAに合格すると、どんなスキルがつくのか

筆者の印象として、まず監査人の資格であるため、監査時のヒアリング力が大幅に向上しました。

監査対象のシステムや、監査対象組織のリスクは何か、特に何を深堀して聞くべきか、発見した事象に対してどのように考えて行動していけばよいか等の総合的な考え方をスキルとして習得できると思います。

しかしそれだけでなく、例えばある日、開発の担当者があなたのところに相談にきたとします。

「今こんなシステム作ろうと思ってるんだけど、リスク無いかな?どう思う??」なんていいながら、システムの構成図をあなたに見せてきたとします。

こんな時、どうやってリスクが無いか確認していくか、思考のプロセスを習得できます。

現場にいて急に相談を受けた時、瞬時にリスク分析の思考ができる力があるというのは、セキュリティを担当している身としてはとても重要なスキルだと考えます。

このようなスキルが身につくのが、CISAという資格であると筆者は考えています。

そのほかに、BCPの観点や、開発者としてのセキュリティの考え方というのも試験としては出題されますので、BCP担当者や開発部門の方にとっても有意義な資格であると思います。

あと、CISAに合格するとこちらのバッチがもらえます、筆者は名刺ケースにつけて、名刺交換のときにさりげなくアピールできるようにしています!(笑)

関連:内部監査とはどんな仕事か

CISAを保有していると転職がどのように有利になるのか

CISAという資格は、セキュリティの上位資格であることから、やはり市場価値が高いようです。

エージェントや求人情報を確認していると募集要項に「CISAを取得しているとなお良い」と記載された求人が多く来るようになりました。

具体的には、監査法人系の求人、ITコンサル系の求人に顕著にみられます。

よって、監査法人系、ITコンサル系に転職する際はCISAは特に有利に働くのではないかという印象です。しかしそれだけではなく、事業会社の求人でも「CISAやCISMまたはCISSPを取得している方を探している」という求人が来ることがあり、事業会社に転職を考える方にとっても有意義な資格であるように見えます。

ちなみに、この転職の求人が来るというのが個人的にはかなりモチベーションになりました。

まだ転職サイトに一度も登録したことがない人がいましたらハイクラスの求人が集まっている転職サイトに、登録してみることをオススメします。

そして職務経歴書に「CISA学習中」などと記載してみてください。ヘッドハンターから「あなたのCISAとしての活動経験に着目しました!!」というオファーメッセージが多く来ることにびっくりするはずです!

 

なお、すぐに転職する気はないけど、どれくらい自分の市場価値が高まるかを確認したい場合は、今注目されている新しい転職SNSサービスである、「YOUTRUST」に登録するのがおすすめです!

日本版indeedのようなイメージで、SNS感覚なのですが企業からオファーを受けたり、転職サイトよりもカジュアルに企業の担当者とつながることが出来るのでとてもおすすめです!

YOUTRUST

YOUTRUST

株式会社YOUTRUST無料

関連:セキュリティ人材への転職にオススメな転職サイト、転職エージェントまとめ

関連:セキュリティ人材への転職やスキルアップにオススメな資格まとめ

CISAの難易度はどれくらいか

まず、筆者は「情報処理安全確保支援士」「CISA」「CISM」「CISSP」を取得しています。

よって、この4つで比較していきたいと考えているのですが、まず大きく以下の二つに大別できると考えます。

◆システム系の知識がかなり必要な資格

情報処理安全確保支援士

CISSP

◆システム系の知識はあまり必要ない資格

CISA

CISM

情報処理安全確保支援士やCISSPについては例えば「IPsecのAHとESPの違いは何か」や「Xmasスキャンとは何か」「IaasとSaasとPaasの違いは何か」「PGPの仕組みは何か」といったようなシステム系の知識がかなり多く必要になってきますが、CISAはそうではありません。

CISAで求められるのはあくまで「考え方」がメインであり、あまりシステム系の知識が問われることはない印象です。せいぜいBIAの分野でRTO,RPO,MTD等が出題されたり、SDLCに関するおまかな流れの理解が必要になるぐらいでしょうか。

よって、システム系の知識が苦手な方にとってはCISAは取り掛かりやすく、例えば開発経験者の方など、システム系の知識がある方はCISSPや情報処理安全確保支援士が取り掛かりやすいという印象です

個人的には、以下の順番で難しいのではないかと思います。

CISSP>情報処理安全確保支援士>CISM>CISA

※余談ですがCISSPが一番難しいのは、日本語の過去問が無いというのもあります。

CISAを受験料などはいくらか

では次に、CISAを受験するためにはどれくらい費用が必要か解説します。

CISAを受験し、受験後CISAとして認定されるためには、以下の費用が必要です。

・New Member Fee Online(ISACA会員登録)100$

・089-Tokyo Chapter through 31 Dec 2017(ISACA東京支部会員登録)50$

・CISA Exam(CISA受験料)575$

・Application Processing Fee(合格後認定費用)50$

合計:775$

・・・結構お金かかりますよね。大体8万円ぐらい必要になります。

どのような実務経験があるとCISA取得が楽になるか

まず、実務経験が無くてもCISAには合格できます。筆者の周りで、入社2年目の新入社員が勉強し、CISAに合格していましたので努力次第かと思います。(実務経験が足りず認定はまだ先になりますが)

実務経験としては、内部監査人の経験、外部監査人の経験、リスクアセスメントの経験などがあると、過去問を解いたときに解説がすっと入ってくると思われます。

CISA試験の予備校へ通学したほうがよいか

筆者は通っておりませんでしたが、アビタスという資格予備校があるようです。

かなり実績があるようなので、もし自身が無い方がいましたら一度お話を聞いてみるのもありなのではとおもいます。

関連:内部監査とはどんな仕事か

CISA取得のメリットを確認する方法

CISAが自分のキャリアにどう活かせるかを確認するには、転職サイトに登録するのが最もおすすめです。

転職サービスの結論ですが、転職支援サービスには、必ず3~5サービス以上を登録しましょう。エージェントに利用サービスを1つに絞ったほうが良いと言われても、信用してはいけません!理由は後述します。

実績があり信頼できるのは以下のサービスです。

絶対登録すべきサービス その他にも登録すべきサービスや登録のポイントは、こちらのページで詳しく解説していますのでぜひ併せて読んでください。

関連:セキュリティ人材への転職にオススメな転職サイト、転職エージェントまとめ

上記は、セキュリティ人材として転職をしたいのであれば必ず登録しましょう。

そのうえで、自身が探している転職先の方向性や、自身のスキルに応じて以下のサービスをオプションで登録しましょう。

関連:セキュリティ人材の筆者がなぜDODAをおすすめするのか