【決定版】CISAに合格した筆者が資格取得の勉強方法やポイントを解説する【公認情報システム監査人】

こんにちは!

このページをご覧の皆様は、おそらく情報セキュリティ系の仕事をしており、CISAの資格取得を検討されている方かと思います。

しかし、CISAは難易度が高い資格です。

かつ、IPA等の資格と違い合格するための情報なんかも、ネットで見ていると少ないですよね。

周りに直近の合格者がいれば、その方に合格するための勉強法を聞くのが一番だと思うのですが、そう都合よくもいかないですよね。

よって、今回は、筆者が直近で、CISAに合格しましたので、合格するための勉強方法などを解説していきたいと思います。

関連:CISMに合格する方法を解説

関連:CEHに合格する方法を解説

関連:内部監査とはどんな仕事かを徹底解説

関連:セキュリティを仕事にしたい人が絶対に読むべきオススメ書籍まとめ

CISA(公認情報システム監査人)の概要

そもそもCISAとはどんな資格か

CISAの正式名称は、Certified Information Systems Auditorであり、日本語にすると「公認情報システム監査人」です。

よって「外部監査人や内部監査人としてシステムを監査するための考え方が身につくのかな」と受験前は考えていたのですが、それだけではありませんでした。

セキュリティの仕事をしていると、リスクアセスメントを行う機会というのは監査に限らず発生してくると思います。

CISAに合格することで、企業にとって重要な問題が何か

「アセスメントの対象を特定し」

「リスクを特定し」

「そのリスクの詳細を分析し」

「リスクを受容するか、低減策を検討するか、経営層に判断を仰ぐ」ことで

「組織のリスクを管理していく」という

リスクアセスメントの一連の考え方を学ぶことが出来ます。

また、BCPに関する知識や、開発運用時のリスクにおける考え方なども出題され、企業のあらゆる場面でリスクアセスメントを行っていくための考え方を体系的に学習することが出来るスキルであると感じました。

英語が分かる人でしたら、こちらの動画を見るとどんな問題が出るのかイメージできると思います!

また、公式HPはこちらです。

ISACA公式を見る

CISAに合格すると、どんなスキルがつくのか

筆者の印象として、まず監査人の資格であるため、監査時のヒアリング力が大幅に向上しました。

監査対象のシステムや、監査対象組織のリスクは何か、特に何を深堀して聞くべきか、発見した事象に対してどのように考えて行動していけばよいか等の総合的な考え方をスキルとして習得できると思います。

しかしそれだけでなく、例えばある日、開発の担当者があなたのところに相談にきたとします。

「今こんなシステム作ろうと思ってるんだけど、リスク無いかな?どう思う??」なんていいながら、システムの構成図をあなたに見せてきたとします。

こんな時、どうやってリスクが無いか確認していくか、思考のプロセスを習得できます。

現場にいて急に相談を受けた時、瞬時にリスク分析の思考ができる力があるというのは、セキュリティを担当している身としてはとても重要なスキルだと考えます。

このようなスキルが身につくのが、CISAという資格であると筆者は考えています。

そのほかに、BCPの観点や、開発者としてのセキュリティの考え方というのも試験としては出題されますので、BCP担当者や開発部門の方にとっても有意義な資格であると思います。

あと、CISAに合格するとこちらのバッチがもらえます、筆者は名刺ケースにつけて、名刺交換のときにさりげなくアピールできるようにしています!(笑)

関連:内部監査とはどんな仕事か

CISAを保有していると転職がどのように有利になるのか

CISAという資格は、セキュリティの上位資格であることから、やはり市場価値が高いようです。

エージェントや求人情報を確認していると募集要項に「CISAを取得しているとなお良い」と記載された求人が多く来るようになりました。

具体的には、監査法人系の求人、ITコンサル系の求人に顕著にみられます。

よって、監査法人系、ITコンサル系に転職する際はCISAは特に有利に働くのではないかという印象です。しかしそれだけではなく、事業会社の求人でも「CISAやCISMまたはCISSPを取得している方を探している」という求人が来ることがあり、事業会社に転職を考える方にとっても有意義な資格であるように見えます。

ちなみに、この転職の求人が来るというのが個人的にはかなりモチベーションになりました。

まだ転職サイトに一度も登録したことがない人がいましたらハイクラスの求人が集まっている転職サイトに、登録してみることをオススメします。

そして職務経歴書に「CISA学習中」などと記載してみてください。ヘッドハンターから「あなたのCISAとしての活動経験に着目しました!!」というオファーメッセージが多く来ることにびっくりするはずです!

関連:セキュリティ人材への転職にオススメな転職サイト、転職エージェントまとめ

関連:セキュリティ人材への転職やスキルアップにオススメな資格まとめ

CISA(公認情報システム監査人)に合格する方法

CISAが情報セキュリティを担当する人間にとって、有意義な資格であることはここまでで解説しました。

では、試験を受験し合格するためにはどうすればよいのか。ここからは筆者の合格までの実績をベースに記載していきたいと思います。

CISAの難易度はどれくらいか

まず、筆者は「情報処理安全確保支援士」「CISA」「CISM」「CISSP」を取得しています。

よって、この4つで比較していきたいと考えているのですが、まず大きく以下の二つに大別できると考えます。

◆システム系の知識がかなり必要な資格

情報処理安全確保支援士

CISSP

◆システム系の知識はあまり必要ない資格

CISA

CISM

情報処理安全確保支援士やCISSPについては例えば「IPsecのAHとESPの違いは何か」や「Xmasスキャンとは何か」「IaasとSaasとPaasの違いは何か」「PGPの仕組みは何か」といったようなシステム系の知識がかなり多く必要になってきますが、CISAはそうではありません。

CISAで求められるのはあくまで「考え方」がメインであり、あまりシステム系の知識が問われることはない印象です。せいぜいBIAの分野でRTO,RPO,MTD等が出題されたり、SDLCに関するおまかな流れの理解が必要になるぐらいでしょうか。

よって、システム系の知識が苦手な方にとってはCISAは取り掛かりやすく、例えば開発経験者の方など、システム系の知識がある方はCISSPや情報処理安全確保支援士が取り掛かりやすいという印象です

個人的には、以下の順番で難しいのではないかと思います。

CISSP>情報処理安全確保支援士>CISM>CISA

※余談ですがCISSPが一番難しいのは、日本語の過去問が無いというのもあります。



CISAを受験料などはいくらか

では次に、CISAを受験するためにはどれくらい費用が必要か解説します。

CISAを受験し、受験後CISAとして認定されるためには、以下の費用が必要です。

・New Member Fee Online(ISACA会員登録)100$

・089-Tokyo Chapter through 31 Dec 2017(ISACA東京支部会員登録)50$

・CISA Exam(CISA受験料)575$

・Application Processing Fee(合格後認定費用)50$

合計:775$

・・・結構お金かかりますよね。大体8万円ぐらい必要になります。

どのような実務経験があるとCISA取得が楽になるか

まず、実務経験が無くてもCISAには合格できます。筆者の周りで、入社2年目の新入社員が勉強し、CISAに合格していましたので努力次第かと思います。(実務経験が足りず認定はまだ先になりますが)

実務経験としては、内部監査人の経験、外部監査人の経験、リスクアセスメントの経験などがあると、過去問を解いたときに解説がすっと入ってくると思われます。

CISAに合格するためはどのように勉強すればよいか

筆者の実績として、こちらのISACAが出版しているCISAの公式問題集を利用しました。

Japanese: CISA®試験サンプル問題&解答・解説集 第11版 

こちらの問題集ですが過去問が1000問と、サンプルテストが掲載されています。

勉強方法としては以下の通り行いました。

1、まず過去問を解いてみる

2、間違えた問題に付箋を貼っていく

3、わからない単語や用語は調べて、自分なりにメモに整理しておく

ーーここまでで過去問1週終了ーー

4、付箋を貼った問題のみ解いていく

5、正解した問題は付箋を外していく

6、わからない単語があれば、どんどんメモに追加していく

以降456を付箋がすべて無くなるまで繰り返す。

ーーー試験2週間前ーーー

7、プラクティステストを解く

8、苦手分野を集中的にトレーニングする

 

以上です。

よって、ISACA公式でレビューマニュアルという名称で解説書も出版されているのですが、解説書は使用しませんでした。

CISA合格に要した勉強時間はどれくらいか

筆者の実績として、150時間程度で合格できたと思います。

勉強期間は2.5か月ぐらいだったと思います。

ただ勉強時間については現状のスキル見合いになりますので、あくまで参考としてご紹介します。

上で少しご紹介しました、入社2年目の新人君は250時間ぐらい勉強したと言っていました。

CISA試験の予備校へ通学したほうがよいか

筆者は通っておりませんでしたが、アビタスという資格予備校があるようです。

かなり実績があるようなので、もし自身が無い方がいましたら一度お話を聞いてみるのもありなのではとおもいます。

関連:内部監査とはどんな仕事か

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です