公認情報システム監査人(CISA)-徹底解説-
公認情報システム監査人(CISA)とは?
公認情報システム監査人 (Certified Information Systems Auditor/CISA) とは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能および経験を有するプロフェッショナルとして情報システムコントロール協会(The Information SystemsAudit and Control Association, Inc. /ISACA)が認定する国際資格です。
日本では1980年代から紹介されだしましたが、いわゆるJ-SOX制度が施行された2008年前後からCIAと並んで知名度が上がってきた資格です。国際的な知名度は高く世界では14万人以上のCISAホルダーがいるとされています。
[4月27日追記]
2020年4月末頃より、試験のリモート監視体制の整備が完了次第CISAを始めとするISACA資格が自宅から受験可能になるそうです。
もちろん従来の試験センターの利用も並行して可能です。詳しくは下記を参照ください。(英語サイト)
https://www.isaca.org/credentialing/remote-testing
公認情報監査人(CISA)の認定要件
公認情報システム監査人としてISACAに認定を受けるためには下記の4つの要件をすべて満たす必要があります。
試験要件
ISACAが定めるCISA試験に合格する必要があります。試験の詳細はこの後すぐ記載します。
実務経験
「実務経験」の要件は、過去 10 年以内に5年以上の情報システム監査、コントロール、アシュアランスまたはセキュリティの実務経験を持つことです。詳しく記載します。
必要な業務経験とその領域
ISACAが指定する5つのCISA実務ドメインから、合計5年以上の実務経験が必要になります。一つのドメインで5年でもよいしt各ドメイン1年ずつの計5年でも理論上は問題ないことになります。
内部監査・内部統制・セキュリティ等の実務では事実上複数のドメインに跨る経験を持つことが多いと思います。
以下CISAの資格認定申請書類の記載をベースに各ドメインが要求する業務内容と筆者の補足を記載します。
ドメイン1:情報システム監査のプロセス
- 情報システムが保護・管理され、組織に価値をもたらしているか否かを判断するため、監査を計画する。
- 情報システム監査基準およびリスクベースの情報システム監査戦略に従い、監査を実施する。
- 監査の進捗、発見事項、結果および提案を関係者に連絡する。
- 監査のフォローアップを行い、リスクへの対策が十分であるか否かを評価する。
- データ分析ツールを活用し、監査プロセスを効率化する。
- 情報システムの品質と統制を改善するため、組織にコンサルティングサービスおよびガイダンスを提供する。
[補足]
いわゆる「システム監査」に関する経験が問われています。データ分析ツールの活用など字義通りの活動を全て経験があるかとうことでなく、システム監査の計画・実施・報告という一連のプロセスの経験があれば、本ドメインの経験を申請できるでしょう。
ドメイン2:ITガバナンスとITマネジメント
- 組織の戦略および目的と足並みをそろえてIT戦略を評価する。
- ITガバナンス構造およびIT組織構造の有効性を評価する。
- 組織のITポリシーおよび実践手法の管理を評価する。
- 組織のITポリシーおよび実践手法が規制要件や法的要件に準拠しているかを評価する。
- 組織の戦略および目的と足並みをそろえてITリソースおよびポートフォリオ管理を評価する。
- 組織のリスク管理ポリシーおよび実践手法を評価する。
- ITマネジメントおよびコントロールのモニタリング体制を評価する。
- IT部門の重要目標に対する重要業績評価指標(KPI)を評価する。
- ITサプライヤの選別および管理プロセスがビジネス要件に準拠しているか否かを評価する。
- 組織のITポリシーおよび実践手法において、プロセスを改善する機会を識別すること。
- 新しいテクノロジー、規制、業界の実践手法に関連する潜在的な機会と脅威を評価する。
- 情報システムおよびエンタープライズアーキテクチャの定期レビューを実施する。
- 情報セキュリティプログラムを評価し、その有効性や組織の戦略および目標との整合性を検証する。
- ITサービスの管理実践手法がビジネス要件に準拠しているか否かを評価する。
[補足]
日本の事業会社では情報システム企画、CIOオフィス等の情報化戦略等の業務経験が該当するでしょう。
またコンサルティングファームでのいわゆるシステムコンサルティング等の業務も相当します。
ドメイン3:情報システムの調達・開発・導入
- 情報システムに対して提案した、変更のビジネスケースが、ビジネス目標を満たしているか否かを評価する。
- 組織のプロジェクト管理ポリシー、および実践手法を評価する。
- 情報システム開発ライフサイクルのあらゆる段階でのコントロールを評価する。
- 情報システムの導入、および本番環境への移行の準備状況を評価する。
- システムの導入事後評価を実施し、プロジェクトの成果物、コントロール、要件が満たされているか否かを判定する。
[補足]
システムエンジニアの開発業務、システム開発プロジェクトのマネジメント業務などの経験が該当するでしょう。
ドメイン4:情報システムの運用とビジネスレジリエンス
- IT運営を評価し、それが効率的に管理され、組織の目標を支援し続けているか否かを判定する。
- IT保守の実践手法を評価し、それが効率的に管理され、組織の目標を支援し続けているか否かを判定する。
- データベース管理実践手法を評価する。
- データガバナンスのポリシーと実践手法を評価する。
- 問題/インシデント管理のポリシーおよび実践手法を評価する。
- 変更、構成、リリース、パッチ管理ポリシーおよび実践手法を評価する。
- エンドユーザーコンピューティングを評価し、プロセスが効率的にコントロールされているか否かを判定する。
- 組織がビジネス運営を継続する能力を評価する。
- 資産ライフサイクル管理に関連するポリシーおよび実践手法を評価する。
[補足]
ドメイン3は開発系のエンジニア業務でしたが、こちらは運用・保守系のエンジニア業務が該当するでしょう。
サーバ・ネットワーク管理、データベース管理、本番環境への移行等のシステム運用業務が相当します。
ドメイン5:情報資産の保護
- 組織の情報セキュリティおよびプライバシーポリシー/実践手法を評価する。
- 物理的コントロールと環境コントロールを評価し、情報資産が適切に保護されているか否かを判定する。
- 論理的セキュリティコントロールを評価し、情報の機密性、完全性、可用性を検証する。
- 組織の方針と該当する外部要件に合わせてデータ分類実践手法を評価する。
- 技術的セキュリティテストを実行し、潜在的な脅威と脆弱性を特定する。
- 新しいテクノロジー、規制、業界の実践手法に関連する潜在的な機会と脅威を評価する。
[補足]
セキュリティ管理部門系の業務経験が該当するでしょう。
例えば、セキュリティ企画・推進業務、CSIRTでの脆弱性対応、SOCでの監視業務、ISMSやプライバシーマークの内部監査やモニタリング業務経験が相当します。
業務経験の一部免除制度
認定には原則上記の経験が必要ですが、一部代替・免除が認められています。ただし複数該当する場合でも最大「3年間」までしか免除されません。
一般職務経験免除
最大1年間の情報システムに関する経験、または1年間のシステム監査「以外」の監査業務経験がある場合は、1年分の実務経験に代替するすることができます。
教育経験免除
特定の専門資格を持つ場合や大学・大学院を卒業している場合は、それぞれ所定の範囲で実務経験に代替することができます。
- 1 年間免除-準学士号
- 2 年間免除-学士号、修士号または博士号(分野問わず)
- 3 年間免除-情報システムまたは関連分野の修士号
- 2 年間免除-CIMA(公認管理会計士教育機関)フル認定
- 2 年間免除-ACCA(英国勅許公認会計士)会員
倫理要件
「倫理要件」はISACAが制定の「職務倫理規定」(code-of-professional-ethic)を遵守することです。
法令の遵守・専門的能力の発揮や保持・基準に即した業務遂行・ハラスメントの防止等の職務やモラルに関する倫理的な要件が規定されています。
この「職務倫理規定」を順守しない場合は、行動の調査と合わせて最終的には懲戒処分を受ける可能性があると記載されています。
[職務倫理規定]ISACAサイト
https://www.isaca.org/credentialing/code-of-professional-ethics
情報システム監査基準への遵守
ISACAが定めた「情報システム監査基準」(Information Systems Auditing Standards)を順守することに同意する必要があります。
なお倫理要件とこの基準の順守については、CISA認定の申請書で内容を確認して署名すればよいです。特別事前に内容確認や把握をする必要はありません。
補足
要件を満たした場合は下記の認定証明書を記載し、現職の上司等経歴を証明できる人物のサインをもらいメールに添付して国際本部に申請します。
書類の作成は日本語で可能です。なおこの認定の際に50USドルが必要です。
[CISA資格認定申請書」ダウンロードリンク※日本語版もあります。
https://www.isaca.org/credentialing/cisa/get-cisa-certified#download-pdfs
公認情報監査人試験の受験方法
受験方式・期間
従来は定期的に開催される試験会場での筆記試験でしたが、現在は所定のテストセンターでオンライン形式になっています。
また試験センターの予約ができれば、基本的に1年間いつでも受験できます。
受験の申込(登録)
試験を申し込むにはISACAのサイトから対象試験を選び受験申込(登録)をする必要があります。この際アカウントを登録することも必要です。
https://www.isaca.org/
登録が完了すると12カ月間の受験可能期間が設定されるので、この期間内に試験センターを予約して受験することができます。この期間を延長したり延期することはできません。登録が起点になります。
なお受験料金は受験の有無に関わらず原則返金されません。試験登録および支払の後、1 営業日以内に予約通知メールが届くので申請内容を確認することができます。
受験登録の詳細は以下ISACAサイトからの日本語版受験ガイドにて具体的に纏められています。ページ下部の「Exam Candidate Information Guide」から「Japanese」を選択してください。
https://www.isaca.org/credentialing/cisa/cisa-exam
公認情報監査人試験の詳細
認定に必要な4つの要件のうち最もキーとなるのは、やはり「試験」でしょう。ここでは試験制度や内容について具体的に紹介します。
試験制度の詳細
受験費用
ISACA 会員か否かで費用が異なります。費用はISACAサイトからオンライン上で支払うことができます。(クレジットカード決済等)
・ISACA 会員:575ドル(US)
・ISACA 非会員:760ドル(US)
なお会員費用はISACA国際本部の会費は135ドル(US)です。また支部年会費も支払う必要があり、東京支部の場合は30ドル(US)になっています。
出題形式・試験時間
出題形式は4択の問題のみとなっています。情報処理技術者試験のように筆記問題はありません。
問題数は150問です。
試験時間は4時間(240分)です。
試験方式
前述のとおりテストセンターでのオンライン受験となります。具体的にはセンター内に設置されたPC端末を操作して問題を回答していきます。
試験場所
2020年4月19日現在確認した範囲では、東京・神奈川・大阪・札幌・福岡・名古屋・福島・京都・広島等にテストセンターが設置されています。
試験はPSIというベンダーが運営しており、下記のサイトから試験センターの場所を確認することが可能です。
https://isacaavailability.psiexams.com/isaca/testdate/post_testdate.jsp
試験言語
日本語で受験可能です。また英語を含む複数の言語でも受験可能です。なお受験登録の際にテストでの言語を選択できます。
試験結果
オンライン試験なので終了後すぐに結果を確認できます。
テストセンターの試験エリアで試験完了後、受付に戻ると担当者が試験結果を渡してくれます。
合格スコア
CISA試験の得点は200~800ポイントのスケールド・スコアに換算され、合格ラインは450点以上です。スケールドスコアは各設問の難易度により得点の高低が出る方式ですが採点方法や点数配分は公開されていません。
一般的には7~8割程度の正答が必要とされています。
試験の出題範囲と内容
出題範囲と区分、出題割合は下表のとおりです。近年のサイバー攻撃の高まりを受けてかセキュリティに関する出題比率が高くなっています。
| 区分 | ドメイン名 | 概要(筆者によるイメージ記載) | 出題割合 |
|---|---|---|---|
| ドメイン1 | 情報システム監査のプロセス | 情報システムに対する監査業務のプロセス・技法・データ分析等 | 21% |
| ドメイン2 | ITガバナンスとITマネジメント | ITガバナンスとフレームワーク、品質管理・品質保証等 | 17% |
| ドメイン3 | 情報システムの調達・開発・導入 | システム企画・開発・リリース等 | 12% |
| ドメイン4 | 情報システムの運用とビジネスレジリエンス | システムの構成管理・変更管理等の運用管理、事業継続計画(BCP)等 | 23% |
| ドメイン5 | 情報資産の保護 | サイバーセキュリティ管理を含むセキュリティマネジメント、技術対策等 | 27% |
公認情報システム監査人試験の勉強方法
学習方法は独学か、専門学校に通うかの2択になります。
独学の場合
テキストと問題集を購入して自分で学習するスタイルです。
しかし筆者が知る限り公認内部監査人(CIA)と異なり、一般に日本語で市販されるテキストや問題集でCISA試験に合格できる水準のものはあまり無いようです。
このため、ISACAのサイトから公式の問題集やレビューマニュアルを購入して試験対策をすることが必要になります。
専門学校に通う場合
アビタスで公認情報システム監査人試験の対策講座が開設されています。
アビタス
公認情報システム監査人試験の予備校として有名なのは「アビタス」です。東京の八重洲・新宿そして大阪で開講しています。
また通学コース、通信コース(通学併用)、通信限定コースなど受講者のライフスタイルに合わせた受講形態をサポートしています。
気になる費用ですが、2020年4月現在は下記となっています。教育訓練給付制度の利用などもできますが、それでも中々高額です。
ただ合格実績は高く短期で確実に試験に合格したい方は検討してもよいのではないでしょうか。
- 入学金:11,000円
- 公認情報監査人 通学コース:193,600円
- 公認情報監査人 通信コース(通学併用可):205,700円
- 公認情報監査人 通信限定コース(eラーニング):193,600円
参考:アビタスCISAサイト
関連した資格である、公認内部監査人(CIA)の記事はこちらです。なおアビタスではCIAコースも開催しています。ダブルホルダーとなることも検討してもよいかもしれません。
アビタスの公認内部監査人コース継続教育制度(CPE)
公認情報監査人の資格を維持するためには、所定の更新手続きが毎年必要です。
年間必要CPE単位の獲得
CISAのCPEは3年間トータルで最低120単位が必要です。また毎年最低20単位はCPEが必要です。
例)下記いずれでもCISA認定は維持することができます。
・1年目:20単位、2年目:20単位、3年目:80単位
・1年目:120単位、2年目:0単位、3年目:0単位
CPEとして具体的に認定される活動はCPEポリシーの中で規定されています。
例えば、ISACAでの専門教育活動や、記事・研究論文・書籍の執筆、研修の受講、教育や講義等があります。
CPEの申請はISACA公式サイトのマイページからオンライン上で行います。
具体的に認定される活動と算入方式や計算方法は下記のCPEポリシーを参照してください。
https://www.isaca.org/credentialing/how-to-earn-cpe
※「READ OUR CPE POLICY」から「CISA CPE Policy」>「Japanese」を選択してください。
またCPE活動を証明する記録(研修の受講記録)などは保持しておく必要があります。
具体的な方法は不明ですが、ISACA国際本部では年次でCPEに不正がないかを監査しており、その対象に選ばれた場合はCPE記録の提出が求められます。
資格維持手数料の支払い
毎年国際本部に対して資格維持の手数料を支払う必要があります。ISACA 会員か否かで費用が異なります。
支払い方法は受験料等と同様ISACAサイトからクレジットカード等でオンライン決済ができます。
・ISACA 会員:45ドル(US)
・ISACA 非会員:85ドル(US)
最後に
内部監査以外にもセキュリティ管理やリスクマネジメント部門等の2ndライン、金融系の業務企画部門、コンサルティングファームでのシステムリスクアドバイザリー等の幅広い業務において活用可能であり人気の資格です。
費用面などコストはかかりますが、一生使える資格と思うと取得する価値はある資格だと思います。この記事が公認情報監査人の認定を検討している方の参考になれば嬉しいです。
【重要】
新型コロナウイルスの影響により試験の実施要領やテストセンターの運営について影響を受けています。
ISACAサイトにおいて最新情報を配信しているので、受験を検討される方は必ず一読ください。
https://www.isaca.org/go/covid19
Follow me!
投稿者プロフィール
- ネット系事業会社 内部監査室 室長
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員
