目次
はじめに:CISA試験に挑戦する前に知っておくべきこと
「CISA試験は本当に難しいのか?」「合格率はどのくらいなのか?」——これからCISA(Certified Information Systems Auditor:公認情報システム監査人)の取得を目指す方にとって、試験の難易度と合格率は最も気になるポイントではないでしょうか。
私はIT監査・セキュリティの分野で15年以上の実務経験を持ち、CISA資格を保有しながら多くの後進の指導にも携わってきました。本記事では、公式データや受験者の声、そして私自身の経験を踏まえて、CISA試験の「リアルな実態」を徹底的に解説します。
結論から言えば、CISA試験は決して簡単ではありません。しかし、正しい準備と戦略があれば、十分に合格可能な試験です。この記事を読み終える頃には、CISA試験の全体像を把握し、効果的な学習計画を立てられるようになっているはずです。
背景と概要:CISA試験とは何か
CISAの位置づけと価値
CISA(Certified Information Systems Auditor)は、ISACA(Information Systems Audit and Control Association)が認定する国際的な資格です。1978年に創設されて以来、情報システム監査、統制、セキュリティの分野で最も権威ある資格の一つとして認知されています。
2024年時点で、世界中に約17万人以上のCISA保有者が存在し、日本国内でも約8,000人以上が資格を保有しています。特に以下のような職種で高く評価されています:
- IT監査人(内部監査・外部監査)
- 情報セキュリティ管理者
- ITガバナンス担当者
- リスク管理専門家
- システム管理者・コンサルタント
試験の基本情報
CISA試験の概要は以下の通りです:
| 項目 | 内容 |
|---|---|
| 問題数 | 150問(選択式) |
| 試験時間 | 4時間(240分) |
| 合格ライン | 450点以上(200〜800点のスケール) |
| 試験形式 | コンピュータベース(CBT) |
| 受験料 | ISACA会員:575ドル、非会員:760ドル |
| 試験言語 | 日本語・英語など多言語対応 |
| 受験場所 | 世界各地のピアソンVUEテストセンター |
試験は年間を通じて受験可能で、予約も比較的取りやすいのが特徴です。
CISA試験の難易度:5つの観点から分析
1. 出題範囲の広さと深さ
CISA試験は以下の5つのドメイン(領域)から出題されます:
ドメイン1:情報システム監査プロセス(約21%)
- 監査計画の策定
- 監査の実施方法
- 監査報告と是正措置のフォローアップ
ドメイン2:ITガバナンスとマネジメント(約17%)
- ITガバナンスフレームワーク
- IT戦略とポリシー
- 組織構造と責任
ドメイン3:情報システムの取得、開発、導入(約12%)
- システム開発ライフサイクル(SDLC)
- プロジェクト管理
- システム導入とテスト
ドメイン4:情報システムの運用とビジネスレジリエンス(約23%)
- ITサービス管理
- 障害管理と問題管理
- 事業継続計画(BCP)と災害復旧(DR)
ドメイン5:情報資産の保護(約27%)
- 情報セキュリティポリシー
- アクセス管理
- ネットワークセキュリティ
- 物理的・環境的統制
この5つのドメインを見てわかるように、CISA試験は単なる「IT監査の知識」だけでなく、ITガバナンス、セキュリティ、開発、運用まで幅広い知識が求められます。これが難易度を高める第一の要因です。
2. 知識だけでなく「判断力」が問われる
CISA試験の特徴として、単純な知識の暗記では対応できない問題が多いことが挙げられます。多くの問題は「シナリオベース」で出題され、与えられた状況において「最も適切な行動」や「最優先で実施すべきこと」を選択させる形式です。
例題(イメージ):
IT監査人が新しいシステム導入プロジェクトをレビューしています。以下のうち、最も懸念すべき事項はどれですか?
A. ユーザー受け入れテストが計画されていない B. プロジェクトマネージャーが変更された C. 一部の機能が第2フェーズに延期された D. 予算が当初見積もりを5%超過している
このような問題では、4つの選択肢すべてがある程度「問題あり」と言えます。しかし、IT監査人として「最も」懸念すべきポイントを判断する必要があります(この場合の正解はA。ユーザー受け入れテストなしでの本番稼働は重大なリスクを伴うため)。
3. 英語ベースの概念理解が必要
CISA試験は日本語で受験可能ですが、元々の問題は英語で作成されています。そのため、日本語訳が不自然な箇所や、英語の概念をそのままカタカナ表記している箇所が少なくありません。
例えば、以下のような用語は日本語で学習していても、試験では英語的な文脈で出題されることがあります:
- Due Diligence(デューディリジェンス):相当な注意義務
- Due Care(デューケア):適切な注意
- Compensating Control(代替統制):統制の欠陥を補う措置
- Substantive Test(実証テスト):取引や残高の正確性を直接検証するテスト
英語版の教材を併用するか、少なくとも主要な用語については英語での定義も確認しておくことをお勧めします。
4. 実務経験との関連性
CISA試験の難易度は、受験者の実務経験によって大きく変わります。IT監査や情報セキュリティの実務経験がある方は、問題の状況設定を具体的にイメージでき、正答を導きやすくなります。
一方、実務経験がない状態で受験する場合(CISAは試験合格後に実務経験を証明すれば資格取得可能)、教科書的な知識だけでは対応しにくい問題に苦戦する傾向があります。
実務経験別の体感難易度:
| 経験年数 | 体感難易度 | 推奨学習時間 |
|---|---|---|
| IT監査3年以上 | ★★☆☆☆(中程度) | 150〜200時間 |
| IT監査1〜2年 | ★★★☆☆(やや難) | 200〜250時間 |
| IT関連(監査以外)3年以上 | ★★★★☆(難しい) | 250〜350時間 |
| IT経験なし | ★★★★★(非常に難しい) | 400時間以上 |
5. 試験時間の制約
150問を4時間で解答するため、1問あたり約1分36秒しかありません。シナリオベースの問題では問題文を読むだけで30秒以上かかることもあり、時間配分が重要になります。
多くの受験者が「時間が足りなかった」「最後の20問は急いで解いた」と報告しています。これは単なる知識不足ではなく、試験慣れしていないことによる時間ロスが原因であることが多いです。
CISA試験の合格率:データが示す実態
公式データの限界
まず理解しておくべきことは、ISACAは公式の合格率を公表していないという点です。これは、以下の理由によるものと推測されます:
- 受験者の質がばらつきやすい国際試験であること
- 合格率を公表することで試験の難易度認識に偏りが生じる可能性があること
- 継続的な試験改定により、時期による難易度差があること
推定される合格率
複数の情報源や受験者コミュニティの報告を総合すると、CISA試験の合格率はおおよそ40〜50%程度と推定されています。
ただし、この数字には重要な注意点があります:
初回受験者の合格率はより低い 十分な準備なしに受験する人も含まれるため、初回受験者の合格率は30〜40%程度とも言われています。
再受験者を含めた最終合格率は高い 複数回の受験を経て合格する人も多く、「最終的に合格する人」の割合は60〜70%に達するという見方もあります。
地域差・言語差がある 英語圏の受験者と非英語圏の受験者では、言語的なハンデにより合格率に差があると言われています。日本人の合格率は、英語圏よりやや低い可能性があります。
他の資格との比較
参考までに、関連する資格試験との比較を示します:
| 資格名 | 推定合格率 | 難易度評価 |
|---|---|---|
| CISA | 40〜50% | ★★★★☆ |
| CISM(情報セキュリティマネージャー) | 50〜60% | ★★★☆☆ |
| CISSP | 20〜30% | ★★★★★ |
| 情報処理安全確保支援士 | 15〜20% | ★★★★☆ |
| AWS認定ソリューションアーキテクト | 60〜70% | ★★★☆☆ |
CISAは、CISSPほどではないものの、IT関連資格の中では比較的難易度の高い部類に入ります。
合格するための具体的な対策:8つのポイント
ポイント1:ISACA公式教材を軸にする
CISA試験対策の基本は、**ISACA公式のレビューマニュアル(CRM: CISA Review Manual)**を使用することです。試験問題はこのマニュアルの内容に基づいて作成されているため、他の教材だけで学習すると「知らない概念」が出てくるリスクがあります。
推奨教材:
- CISA Review Manual(日本語版あり):約15,000円
- CISA Review Questions, Answers & Explanations(QAE):約10,000円
- CISA Online Review Course:約50,000円
最低限、レビューマニュアルとQAEは揃えることをお勧めします。QAEには1,000問以上の練習問題が収録されており、試験形式に慣れるためには必須です。
ポイント2:学習計画を3ヶ月以上で設計する
多くの合格者が推奨する学習期間は3〜6ヶ月です。これは、5つのドメインをバランスよく学習し、復習と問題演習を十分に行うために必要な期間です。
3ヶ月プランの例(週10時間の学習時間を確保する場合):
| 期間 | 内容 | 週あたりの時間配分 |
|---|---|---|
| 1ヶ月目 | レビューマニュアル通読(ドメイン1〜3) | テキスト8時間、問題演習2時間 |
| 2ヶ月目 | レビューマニュアル通読(ドメイン4〜5)+復習 | テキスト6時間、問題演習4時間 |
| 3ヶ月目 | 総復習と問題演習(模擬試験含む) | テキスト3時間、問題演習7時間 |
仕事をしながら学習する場合、平日は1日1時間、週末に集中して3〜4時間確保するペースが現実的です。
ポイント3:問題演習を重視する
CISA試験合格者の多くが口を揃えて言うのは、「問題演習の量が合否を分ける」ということです。
目安として、QAEの1,000問を最低2周、できれば3周することを推奨します。1周目は知識の定着、2周目は弱点の特定、3周目は時間配分の練習という位置づけです。
さらに、単に正解・不正解を確認するだけでなく、すべての選択肢について「なぜ正解か」「なぜ不正解か」を説明できるレベルまで理解することが重要です。
ポイント4:ドメイン別に弱点を把握する
5つのドメインすべてで均等に高得点を取る必要はありませんが、極端に苦手なドメインがあると合格は難しくなります。
問題演習を通じて、ドメイン別の正答率を記録し、正答率が60%を下回るドメインがあれば集中的に対策しましょう。
ドメイン別の傾向と対策:
| ドメイン | よくある苦手ポイント | 対策 |
|---|---|---|
| 1 | 監査手続きの順序、サンプリング手法 | 監査基準を丁寧に読む |
| 2 | ガバナンスとマネジメントの違い | フレームワーク(COBIT等)を学ぶ |
| 3 | SDLC各フェーズの統制 | 開発経験がなければ図解で理解 |
| 4 | BCP/DRの計算問題(RTO、RPO等) | 公式を暗記し、練習問題を解く |
| 5 | 暗号化、ネットワークセキュリティ | 技術的な基礎知識を補強 |
ポイント5:ISACAの考え方を理解する
CISA試験では、「実務的に正しい」ことと「ISACAが正解とする」ことが異なるケースがあります。これは、ISACAが想定する「理想的なIT監査人の行動」が基準となっているためです。
ISACAが重視するポイントの例:
- 監査人は常に独立性と客観性を保つ
- 問題を発見したら、まずリスクの評価を行う
- 対策の実施よりもマネジメントへの報告を優先する
- 監査人は助言は行うが、意思決定はしない
問題を解く際は、「自分ならどうするか」ではなく「ISACAが期待する監査人ならどうするか」という視点で考えることが重要です。
ポイント6:日本語版の癖に慣れる
先述の通り、日本語版の試験には翻訳特有の癖があります。事前に日本語版の問題集で練習し、以下のような表現に慣れておきましょう:
- 「最も」「第一に」「最優先で」→ 最適解を選ぶ問題
- 「~の場合」「~であるとき」→ 条件付きの状況設定
- 「懸念すべき」「リスクがある」→ 問題点を特定する問題
- 「適切でない」「効果的でない」→ 誤りを選ぶ問題(注意!)
特に「適切でないものを選べ」という問題は、読み飛ばしによるミスが起きやすいので注意が必要です。
ポイント7:本番を想定した模擬試験を実施する
試験1〜2週間前には、本番と同じ条件で模擬試験を実施することを強くお勧めします。
具体的には:
- 150問を4時間で解く
- 休憩は取らない(または本番と同じタイミングで)
- 静かな環境で、スマートフォンは手の届かない場所に
- 終了後に採点し、弱点を最終確認
模擬試験で70%以上の正答率が取れれば、合格圏内と考えてよいでしょう。60%台であれば、残りの期間で弱点補強に集中します。
ポイント8:試験当日の戦略を立てる
試験当日の時間配分や心構えも、合否に影響します。
当日の推奨戦略:
最初の30分は慎重に 最初の30問で調子をつかみましょう。ここで焦ると、その後の問題にも影響します。
わからない問題はマークして先に進む 1問に3分以上かけるのは危険です。マーク機能を使い、後で見直しましょう。
残り30分で見直し 150問を3時間30分で解き終え、残り30分で見直しと未回答の問題を処理します。
最初の直感を信じる 見直し時に答えを変える場合は、明確な理由がある場合のみにしましょう。「なんとなく」で変えると、正解を不正解に変えてしまうことが多いです。
よくある質問(FAQ)
Q1:IT監査の実務経験がなくても合格できますか?
A:合格は可能ですが、難易度は上がります。
CISA資格を取得するには、最終的に5年以上のIT監査・情報セキュリティ等の実務経験が必要です(一部の学歴・資格で最大3年まで免除可)。しかし、試験自体は実務経験なしでも受験できます。
実務経験がない場合の対策としては:
- 問題演習を通じて「実務感覚」を養う
- IT監査の基礎書籍(例:『IT監査入門』など)を併読する
- 可能であれば、監査法人やコンサルティング会社の方に話を聞く
合格後に実務経験を積んで資格を取得するパターンも少なくありません。ただし、試験合格から5年以内に申請する必要があるので、キャリアプランを考慮して受験時期を決めましょう。
Q2:英語版と日本語版、どちらで受験すべきですか?
A:日本語に自信がある方は日本語版をお勧めします。ただし、英語版にもメリットがあります。
日本語版のメリット:
- 読解スピードが速い
- 問題の意図を誤解しにくい
日本語版のデメリット:
- 翻訳が不自然な箇所がある
- 英語版の教材で学習した場合、用語のギャップがある
英語版のメリット:
- 出題者の意図がダイレクトに伝わる
- グローバルな教材(Udemy、LinkedIn Learningなど)がそのまま使える
英語版のデメリット:
- 読解に時間がかかる(非ネイティブの場合)
- 技術用語以外の英語力も必要
私の経験では、TOEIC800点以上または業務で英語を日常的に使用している方以外は、日本語版が無難です。
Q3:不合格だった場合、次回受験までどのくらい待つ必要がありますか?
A:30日間の待機期間が必要です。また、12ヶ月間に最大3回までの制限があります。
ISACAの規定では:
- 不合格後、次回受験まで最低30日間は空ける必要があります
- 12ヶ月間(365日)に受験できるのは最大3回までです
不合格だった場合は、以下のステップで再挑戦することをお勧めします:
スコアレポートを分析する ISACAから送られるスコアレポートには、ドメイン別の結果が記載されています。どのドメインが弱かったかを確認し、重点的に復習しましょう。
敗因を振り返る 時間が足りなかったのか、知識が不足していたのか、問題形式に慣れていなかったのか、原因を特定します。
最低6〜8週間は学習期間を確保 30日ギリギリで再受験するのではなく、十分な準備期間を設けましょう。
多くの合格者が2回目または3回目の受験で合格しています。1回の不合格で諦めないことが重要です。
実務で活きるCISA学習のポイント
CISAの学習は、試験合格だけでなく、実務能力の向上にも直結します。ここでは、特に実務で役立つ知識をピックアップします。
リスクベースアプローチの習得
CISA学習を通じて最も身につく能力は「リスクベースの思考」です。限られた監査リソースの中で、どの領域を重点的に監査すべきかを判断する能力は、IT監査人としての価値を大きく高めます。
実務での活用例:
- 年間監査計画の策定時に、リスク評価結果に基づいて優先順位を決定
- 新システム導入時に、ビジネスインパクトとリスクを定量的に評価
- インシデント発生時に、対応の優先順位を迅速に判断
統制フレームワークの理解
CISAの学習では、COBIT、ISO 27001、NIST CSFなどの主要なフレームワークを体系的に学びます。これらの知識は、組織のセキュリティ体制を構築・評価する際に不可欠です。
実務での活用例:
- 自社のセキュリティポリシーをCOBITの統制目標にマッピング
- 取引先のセキュリティ監査時にISO 27001を基準として評価
- 経営層への報告時にNIST CSFを用いてリスク状況を可視化
コミュニケーション能力の強化
CISAの学習では、監査報告書の書き方や、マネジメントへの報告方法についても学びます。技術的な発見事項をビジネス用語で説明する能力は、IT監査人として欠かせないスキルです。
実務での活用例:
- 監査報告書で「重要度」と「対応期限」を明確に区分して記載
- 経営会議でリスクをビジネスインパクトの観点から説明
- システム部門と監査部門の橋渡し役として円滑なコミュニケーションを実現
まとめ:CISA試験合格への道筋
ここまで、CISA試験の難易度と合格率について、多角的な視点から解説してきました。最後に、重要なポイントを整理します。
試験の実態
- 合格率は約40〜50%(推定)で、IT関連資格の中では難関の部類
- 5つのドメインから幅広く出題され、知識だけでなく判断力も問われる
- 日本語で受験可能だが、翻訳の癖に慣れる必要がある
合格のための8つの対策
- ISACA公式教材を軸にする
- 学習計画を3ヶ月以上で設計する
- 問題演習を重視する(QAEを最低2周)
- ドメイン別に弱点を把握する
- ISACAの考え方を理解する
- 日本語版の癖に慣れる
- 本番を想定した模擬試験を実施する
- 試験当日の戦略を立てる
最後に
CISA試験は確かに難易度の高い試験ですが、正しい準備と継続的な努力があれば、必ず合格できます。私自身、初回受験では不合格でしたが、敗因を分析し、学習方法を見直した結果、2回目の受験で合格することができました。
この資格を取得することで、IT監査人としてのキャリアは大きく広がります。国内外で通用する国際資格であり、転職市場でも高い評価を受けています。また、年間CPE(継続教育)の要件があるため、資格取得後も学習を続ける習慣が身につきます。
この記事が、CISA資格取得を目指す皆さんの一助となれば幸いです。ご質問があれば、ぜひコメント欄でお知らせください。
関連キーワード: CISA試験、CISA合格率、CISA難易度、IT監査資格、ISACA、公認情報システム監査人、情報セキュリティ資格、CISA勉強法、CISA対策、IT監査キャリア
IT監査 セキュリティ