目次
はじめに:CISAとは何か、なぜ今注目されているのか
CISA(Certified Information Systems Auditor:公認情報システム監査人)は、ISACA(Information Systems Audit and Control Association)が認定するIT監査・セキュリティ分野における国際的な専門資格です。1978年の創設以来、世界180か国以上で17万人以上の有資格者が活躍しており、IT監査のプロフェッショナルを証明する資格として高い評価を受けています。
近年、デジタルトランスフォーメーション(DX)の加速、サイバー攻撃の増加、そしてコーポレートガバナンス強化の要請により、IT監査人材の需要は急増しています。日本においても、金融機関や大手企業を中心にCISA資格保有者を求める求人が増加しており、キャリアアップの重要な武器となっています。
しかし、CISAの合格率は約50〜55%程度と言われており、決して簡単な試験ではありません。本記事では、私自身の合格経験と多くの合格者へのヒアリングをもとに、効率的な学習ステップを具体的に解説します。これからCISA取得を目指す方、現在学習中で行き詰まりを感じている方にとって、実践的なガイドとなれば幸いです。
CISA試験の全体像を把握する
試験形式と出題範囲
まず、敵を知ることから始めましょう。CISA試験の基本情報は以下の通りです。
| 項目 | 内容 |
|---|---|
| 試験時間 | 4時間(240分) |
| 問題数 | 150問(採点対象は135問) |
| 出題形式 | 4択の選択式(CBT方式) |
| 合格基準 | 200〜800点のスケールで450点以上 |
| 受験料 | ISACA会員 $575 / 非会員 $760(2025年時点) |
| 試験言語 | 日本語・英語から選択可能 |
出題範囲(ドメイン)は以下の5つで構成されています。
ドメイン1:情報システム監査のプロセス(21%) 監査計画の策定、監査の実施、監査報告と事後活動など、IT監査の基本的なプロセスを扱います。
ドメイン2:ITガバナンスとITマネジメント(17%) ITガバナンスのフレームワーク、IT戦略、リソース管理、パフォーマンスモニタリングなどが対象です。
ドメイン3:情報システムの取得・開発・導入(12%) システム開発ライフサイクル(SDLC)、プロジェクト管理、調達プロセスなどを扱います。
ドメイン4:情報システムの運用とビジネスレジリエンス(23%) システム運用、サービスマネジメント、事業継続計画(BCP)、災害復旧(DR)などが出題されます。
ドメイン5:情報資産の保護(27%) 情報セキュリティ管理、アクセス制御、ネットワークセキュリティ、物理的セキュリティなど、最も出題比率が高いドメインです。
合格に必要な学習時間の目安
私の経験と合格者の傾向から、以下の学習時間が目安となります。
- IT監査経験者(3年以上):150〜200時間
- IT業界経験者(監査未経験):200〜300時間
- IT業界未経験者:300〜400時間以上
1日2時間の学習を想定すると、3〜6か月程度の学習期間が必要です。無理のないペースで計画を立てることが、継続の鍵となります。
ステップ1:学習計画の策定 ― 逆算思考で目標設定
受験日を先に決める
多くの不合格者に共通するのが「いつか受ける」という曖昧な目標設定です。合格者の多くは、まず受験日を決め、そこから逆算して学習計画を立てています。
CISA試験はCBT(Computer Based Testing)方式で、世界中のテストセンターで通年受験が可能です。以下の手順で受験日を決定しましょう。
- 現在の知識レベルを自己診断する:ISACAの公式サイトで提供されているサンプル問題を解いてみる
- 必要な学習時間を見積もる:上記の目安を参考に、自分の状況に合わせて調整
- 現実的な受験日を設定する:仕事の繁忙期やプライベートの予定も考慮
- ISACAに登録し、受験予約を行う:予約が入ると「やらなければ」という意識が高まる
週単位・月単位の学習計画を作成
具体的な計画例(学習期間4か月の場合)を紹介します。
1か月目:全体像の把握とドメイン1・2
- 第1週:CISA Review Manual(CRM)の全体を流し読み
- 第2〜3週:ドメイン1を精読、問題演習
- 第4週:ドメイン2を精読、問題演習
2か月目:ドメイン3・4・5
- 第1週:ドメイン3を精読、問題演習
- 第2〜3週:ドメイン4を精読、問題演習
- 第4週:ドメイン5(前半)を精読
3か月目:ドメイン5完了と問題演習強化
- 第1週:ドメイン5(後半)を精読、問題演習
- 第2〜4週:全ドメインの問題演習を集中的に実施
4か月目:総仕上げと弱点補強
- 第1〜2週:模擬試験の実施と弱点分析
- 第3週:弱点分野の重点復習
- 第4週:最終確認と本番に向けた調整
この計画はあくまで一例です。自分の強み・弱みに応じて柔軟に調整してください。
ステップ2:正しい教材選び ― 効率的な学習の土台
必須教材:ISACA公式教材
合格を目指すなら、以下の公式教材は必須です。
1. CISA Review Manual(CRM) 最も重要な教材です。試験範囲を網羅した公式テキストで、これを読み込まずに合格することは困難です。約800ページのボリュームがありますが、試験に出題される概念や用語の定義はすべてこの教材に基づいています。
価格目安:ISACA会員 $119 / 非会員 $149
2. CISA Review Questions, Answers & Explanations Database 1,000問以上の練習問題を収録したオンラインデータベースです。本番と同様の形式で問題演習ができ、解説も充実しています。
価格目安:ISACA会員 $349 / 非会員 $399
3. CISA Review Questions, Answers & Explanations Manual 印刷された問題集が欲しい方向け。データベースと内容は重複しますが、紙で学習したい方にはおすすめです。
補助教材:理解を深めるために
公式教材だけでは理解が難しい場合、以下の補助教材が役立ちます。
日本語書籍
- 「IT監査の実務」(日本内部監査協会):IT監査の基礎を日本語で学べる
- 「情報セキュリティマネジメント」関連書籍:ドメイン5の理解を深める
オンライン講座
- Udemyのcisa講座:動画で学びたい方向け、セール時に購入すると費用対効果が高い
- ISACAの公式オンラインレビューコース:高額だが、体系的な学習が可能
無料リソース
- ISACAのウェブサイト:用語集、ホワイトペーパー、ウェビナーアーカイブ
- COBITフレームワーク:ITガバナンスの理解に必須
教材選びで重要なのは、「多くの教材に手を出しすぎない」ことです。公式教材を完璧に仕上げることが合格への最短距離です。
ステップ3:インプット学習 ― CRMを読み込むコツ
3回読みの法則
CRMは約800ページの大著です。一度読んで完璧に理解しようとせず、以下の「3回読み」を実践してください。
1回目:流し読み(全体を2週間で)
- 目的:全体像の把握、どんな内容が含まれているかを知る
- 方法:1日50〜60ページを目標に、分からない部分があっても止まらず読み進める
- 成果:各ドメインの関連性や試験の全体像が見えてくる
2回目:精読(各ドメイン1〜2週間)
- 目的:内容の理解、重要概念の把握
- 方法:セクションごとに読み、キーワードや重要な図表にマーカーを引く
- 成果:各概念の定義と相互関係を理解できる
3回目:問題演習と並行した確認読み
- 目的:理解の定着、弱点の補強
- 方法:問題演習で間違えた部分の該当箇所を重点的に読み直す
- 成果:試験で問われるポイントが明確になる
ノートの取り方
効率的なノート作成のポイントは以下の通りです。
やってはいけないこと
- CRMの内容をそのまま書き写す(時間の無駄)
- 最初から完璧なノートを作ろうとする
効果的な方法
- 自分の言葉で要約する
- 図やマインドマップを活用する
- 問題演習で間違えた箇所をメモする
- 実務経験と関連づけてコメントを書く
私が実際に作成したノートの例(ドメイン1の一部):
【監査の種類】
・財務監査 → 財務諸表の正確性をチェック
・運用監査 → 効率性と有効性をチェック
・統合監査 → 財務+運用、最近のトレンド
・IS監査 → ITシステムに特化
・コンプライアンス監査 → 法規制の遵守状況
・フォレンジック監査 → 不正調査、証拠保全が重要
【実務ポイント】当社の定期監査は主に運用監査。
J-SOX対応は財務監査の要素あり。
ステップ4:アウトプット学習 ― 問題演習で実力を養う
問題演習の重要性
CISAの合否を分けるのは、いかに多くの問題を解いたかに尽きます。CRMを読んだだけでは、本番で得点できません。
目標とすべき問題演習量:
- 最低ライン:1,000問以上
- 合格者の平均:1,500〜2,000問
- 高得点合格者:2,500問以上
ISACAの問題データベースだけでなく、複数回解き直すことが重要です。
効果的な問題演習の進め方
フェーズ1:ドメイン別の演習(学習初期〜中期)
- 各ドメインの学習後、そのドメインの問題を集中的に解く
- 1日30〜50問を目標に
- 間違えた問題は必ず解説を読み、CRMの該当箇所を確認
フェーズ2:ランダム演習(学習中期〜後期)
- 全ドメインからランダムに出題される設定で演習
- 本番と同じ条件でのトレーニング
- 1日50〜100問を目標に
フェーズ3:弱点集中演習(学習後期)
- 正答率が低いドメインや苦手な分野を重点的に
- 間違えた問題のみを抽出して繰り返す
問題演習で意識すべきこと
1. 「なぜその選択肢が正解なのか」を理解する CISAの問題は、単純な暗記では対応できません。例えば、以下のような問題があったとします。
監査人が監査計画を策定する際に、最初に行うべき活動はどれか? A. 監査手続きの詳細を決定する B. 監査対象領域のリスク評価を行う C. 監査チームのメンバーを選定する D. 前回の監査報告書をレビューする
正解はB(リスク評価)です。なぜなら、CISAの基本思想として「リスクベースアプローチ」があり、監査計画はリスク評価から始まるからです。この「なぜ」を理解することで、類似の問題にも対応できるようになります。
2. 「最も適切な」選択肢を選ぶ練習 CISA試験の特徴として、複数の選択肢が「正しい」ように見えることがあります。その中で「最も適切な」ものを選ぶ能力が求められます。これは、実務におけるIT監査人の判断力を問うているのです。
3. 時間配分を意識する 本番では150問を240分で解く必要があります。1問あたり約96秒です。問題演習時から、1問2分以内を目安に解く練習をしましょう。分からない問題に時間をかけすぎないことも重要です。
ステップ5:模擬試験で本番シミュレーション
模擬試験の実施タイミング
本番の2〜4週間前に、本番と同じ条件で模擬試験を実施することを強くおすすめします。以下の条件を守ってください。
- 150問を4時間で解く(途中休憩なし)
- 静かな環境で集中して取り組む
- 時計を見ながら時間配分を意識する
- 結果を正直に分析する
模擬試験後の分析方法
模擬試験の結果は、以下の観点で分析します。
1. 全体の正答率
- 70%以上:合格圏内、自信を持って本番へ
- 60〜70%:あと一歩、弱点補強で十分間に合う
- 60%未満:受験日の延期を検討、基礎から見直し
2. ドメイン別の正答率 各ドメインで最低60%以上、できれば65%以上を目指します。特定のドメインが極端に低い場合は、そのドメインを重点的に復習します。
3. 間違えた問題の傾向分析
- 単純な知識不足?→ CRMの該当箇所を再読
- 問題文の読み違い?→ 問題を丁寧に読む練習
- 時間切れ?→ 時間配分の練習
模擬試験で80%取れなくても心配不要
模擬試験で80%を超える人は少数です。60〜70%の正答率で合格している人が大多数です。重要なのは、模擬試験の結果を踏まえて最後の調整を行うことです。
ステップ6:試験直前〜当日の過ごし方
試験1週間前
- 新しい教材に手を出さない
- 過去に間違えた問題の総復習
- 苦手分野の重点確認
- 睡眠時間の確保(徹夜学習は逆効果)
試験前日
- 軽い復習程度に留める(詰め込みは禁物)
- 受験会場へのアクセス確認
- 持ち物の準備(身分証明書2点、予約確認書など)
- 早めに就寝(最低7時間の睡眠)
試験当日
持ち物チェックリスト
- 顔写真付き身分証明書(パスポートや運転免許証)
- 副次的身分証明書(クレジットカードなど)
- 受験予約確認書(念のため)
試験中のテクニック
- 最初の30分は慎重に(緊張で読み間違いが起きやすい)
- 分からない問題はマークして後回し
- 全問解答後に見直し時間を確保(15〜20分)
- 直感で選んだ答えは安易に変えない(最初の直感が正しいことが多い)
試験後
試験終了と同時に、暫定的な合否結果がスクリーン上に表示されます。合格の場合は「PASS」と表示されます。正式な結果は10営業日以内にメールで届きます。
ステップ7:モチベーション維持の工夫
学習が続かないときの対処法
長期間の学習では、モチベーションの低下は避けられません。以下の対処法を試してください。
1. 学習環境を変える
- 自宅だけでなく、カフェや図書館で学習
- 通勤電車での隙間時間活用
2. 小さな達成感を積み重ねる
- 1日30分でもいいから毎日続ける
- 問題を10問解くごとに達成をチェック
3. 仲間を見つける
- ISACAの支部活動に参加
- SNSでCISA学習者とつながる
- 同僚と一緒に学習する
4. 合格後のイメージを具体化する
- CISAを取得した後のキャリアプランを考える
- 合格者の体験談を読む
実務との関連づけ
IT監査やセキュリティ業務に携わっている方は、学習内容を実務と関連づけることで理解が深まります。例えば、
- 社内の監査報告書を読み返し、CRMの監査プロセスと比較する
- 自社のセキュリティポリシーを、ドメイン5の内容と照らし合わせる
- プロジェクト管理の実務経験を、ドメイン3の内容と結びつける
よくある質問(FAQ)
Q1. 英語と日本語、どちらで受験すべきですか?
回答:日本語での受験をおすすめします。
理由は以下の通りです。
- 問題文の理解に時間がかからない:150問を4時間で解く試験では、読解スピードが重要
- 翻訳の質が向上している:以前は日本語訳の質に問題がありましたが、近年は改善されています
- CRMも日本語版がある:学習と試験の言語を合わせることで効率的
ただし、以下の場合は英語受験を検討しても良いでしょう。
- 普段から英語で業務を行っている
- 海外での勤務を予定している
- 英語版CRMで学習した
Q2. IT監査の実務経験がなくても合格できますか?
回答:はい、合格は可能です。
ただし、以下の点を理解しておく必要があります。
試験の合格について IT監査の実務経験がなくても、適切な学習を行えば試験には合格できます。実際、システム開発、IT運用、情報セキュリティなどの業務経験があれば、多くの内容は理解しやすいでしょう。
資格の認定について CISAの正式な資格認定を受けるためには、試験合格に加えて、以下の要件を満たす必要があります。
- 情報システム監査、コントロール、セキュリティ分野での5年間の実務経験
- 一定の条件で最大3年間まで代替可能(例:大学の学位で1〜2年、関連資格で1〜2年)
つまり、試験に合格しても、実務経験の要件を満たさなければ「CISA認定者」と名乗ることはできません。しかし、試験合格の実績は5年間有効なので、その間に実務経験を積むことで認定を受けられます。
Q3. 不合格だった場合、再受験はいつからできますか?
回答:12か月間で最大4回まで受験可能です。
ISACAの規定では、1年間(12か月)に最大4回までの受験が認められています。ただし、連続して受験する場合でも、前回の受験日から一定期間(通常は数日〜1週間程度)空ける必要があります。
不合格後の対策としては、以下をおすすめします。
- スコアレポートを分析する:どのドメインが弱いか確認
- 最低1か月は追加学習期間を設ける:同じ学習方法では同じ結果になりやすい
- 学習方法を見直す:問題演習が不足していなかったか、理解が浅い分野はどこか
まとめ:CISA合格への7つのステップ
最後に、本記事で解説した効率的な学習ステップを振り返ります。
| ステップ | 内容 | ポイント |
|---|---|---|
| 1 | 学習計画の策定 | 受験日を先に決め、逆算で計画を立てる |
| 2 | 正しい教材選び | 公式教材(CRM)を軸に、補助教材は最小限に |
| 3 | インプット学習 | CRMを3回読み、自分の言葉でノートを作成 |
| 4 | アウトプット学習 | 最低1,000問、理想は2,000問以上の問題演習 |
| 5 | 模擬試験 | 本番2〜4週間前に本番形式でシミュレーション |
| 6 | 試験直前〜当日 | 詰め込みより睡眠、当日は時間配分を意識 |
| 7 | モチベーション維持 | 小さな達成感、仲間との学習、実務との関連づけ |
合格者からのエール
CISAの学習は決して楽ではありません。仕事や家庭と両立しながらの学習は、時に苦しいこともあるでしょう。しかし、合格したときの達成感は格別です。
私自身、学習中に何度も「本当に受かるのだろうか」と不安になりました。しかし、正しい方法で学習を続ければ、必ず合格できます。CISAは、努力が報われる試験です。
この記事が、皆さんのCISA合格への一助となれば幸いです。ぜひ、効率的な学習で合格を勝ち取ってください。
関連キーワード:CISA、CISA勉強法、CISA合格、IT監査、ISACA、公認情報システム監査人、CISA Review Manual、情報セキュリティ、ITガバナンス、資格試験
IT監査 セキュリティ