はじめに
以前Qiitaで CISSPになるとどんな良いことがあるのか或いは単なる合格体験記という投稿をしたのですが、その次にCISA(公認情報システム監査人 Certified Information Systems Auditor)の合格体験記を執筆します。
私について
上記のQiitaの記事と同じです^^;
きっかけ
上記のQiitaの記事とほぼ同じなのですが、それに加えて会社の内部監査部という監査を行う部署にはCIA®(The Certified Internal. Auditor®:公認内部監査人) や CISAホルダーがゴロゴロしているので、老壮期のキャリアパスを考えると損はないだろう、という打算です。
資格を知る
- Certified Information Systems Auditor 日本では 公認情報システム監査人 という名称。
- アメリカ合衆国に本部があるISACA (イサカ と読む。もともとは Information Systems Audit and Control Association:情報システムコントロール協会の略称で、いまはISACAが正式名称らしいです) なる団体がやっている民間資格。世界80か国/200以上の支部あり。
- 民間資格とはいえ、官公庁の入札資格要件にIPAの情報処理試験の高度資格(AU:システム監査技術者)と並んで、あるいはCISAを特に指定しているケースを知る。
- まずはISACAの東京支部のWebサイトhttps://www.isaca.gr.jp/cisa/index.html を熟読。日本語で受験できるとわかり一安心も、サイトの出来が悪いのには閉口。
- 受験料が高い (ISACA会員であれば575USD/非会員は750USD。会員になってからの受験のほうが公式参考書/問題集が安価に入手できる利点あるため、まずは会員になるのが良い)
- 継続的な学習が必要。CPE(Continuing Professional Educations credits)を3年の間に120クレジット(1年で最低20)を稼がないと認定は失効
- 資格認定には実務経験要
- 日本国内の認定者は4,200名程度(東京支部/大阪支部/名古屋支部/福岡支部 の合計)
- ISACA入会金は10USD,年会費135USD (https://www.isaca.gr.jp/membership/index.html から。なお東京支部は将来的には年会費徴収が再開されるかも )
- 受験を志した2018年秋~冬ころには、ISACA東京支部で「受験者・合格者合同説明会」というのが開催されており、そこに出席して情報収集。(このところ全く開催されていないようです、残念)
- 多くのISACAの例会やイベントは神保町の東京教育会館が会場ですが、さて今後はどうなるのだろうか...
(参考)CIA®とは
IIA(The Institute of Internal Auditors)という民間組織が運営している、内部監査人の資格。
日本では一般社団法人日本内部監査人協会が日本支部として活動しています。
こちらはシステム監査に限らず、内部監査を行う上でmustといえる資格。システム監査をやるならCISAとCIAの両方持つのが良いです。
学習の戦略
情報システム監査のプロセス
ITガバナンスとマネジメント
情報システムの取得,開発および導入
情報システムの運用,保守およびサービス管理
情報資産の保護
の5ドメインをまんべんなく取り組む必要あり.
- 公式参考書を購入 (いずれもISACA本部のBookstoreから、日本語版を。アメリカから1週間くらいで郵送されてきます)
- レビューマニュアルとサンプル問題集についている問題(合計1150問)を4周解く
- 不明用語や自分に欠けている知識や監査視点でのもののみかたなどは大学ノートに書き出してそれを覚える。
- 被監査部門の観点と監査部門の観点は自ずから異なってくるので,立場の違いを意識するとよいです。
- IPAのシステム監査技術者の試験は3回目でようやく合格したのですが、その違いの意識が弱かったことが2回も不合格になった敗因だとにらんでいます。
- レビューマニュアルの本文はほぼ読まずじまい。基礎的な知識のある方は購入不要ではないかと思います。
- メルカリで中古本が売ってます(書き込みがあったり、版数が古いものがあるかもしれませんので注意)。
つらかったこと
- 監査部門の視点はIPA資格学習時以来で、思い出すのに一苦労
- 直接に内部監査を執行する部門に所属した経験は無いです
- CISSPの勉強の直後であり、その記憶がかなり残って有利に(CISSPのほうがカバーすべき学習範囲が相当広く、受験順はこれが適切であった。
- GRC (Govenance/RiskCompliance) の観点を追加で学習すればよかった)
試験
- いまは自宅受験も可能ですが、当時はオンライン試験ができるセンターに出向く必要あり。自宅からちょっと遠い、東銀座駅前の歌舞伎座タワーにある銀座CBTS歌舞伎座
テストセンターを選択。試験はPSIのWebサイトにISACAのサイトから遷移しての申込。(申込は受験日の4週間前) - 150問を240分、すべて選択式ですが、やはり問題数は多いので疲れる。日本語はこなれないかんじ。我慢しつつ。120分ちょっとで試験終了。CISSPの360分250問に比べれば余裕^^
要したコスト
- 受験料+認定料625USD,参考書263.25USD(USからの送料込)+ISACA入会金195USD(2019年当時,ISACA会員価格)
- 予備校のアビタスでは20万円くらいのコースがありますが https://cisa.jp.net/entry/tuition.html 、私は独学。社命で受ける方はこういうのを使うほうが効率が良いと思います。
良かったこと
- 金融機関のIT部門という仕事柄、内部監査(システム監査)の被監査側に回ることが多々あるのですが、監査人が持つ資格と同じ資格を持っていることで、監査する側の観点を得ることができたこと。
- CISAに限らず,プロジェクトマネジメントの国際資格(PMP Project Management Professional)と同様にCPEを稼がないと失効してしまうので嫌でも最新知識を入れていかざるを得ないこと
- 社外のかたと交流する機会や定期的な勉強会、様々な資料を入手できます(日本語/英語ともに)
- 「ぼくのかんがえたセキュリティ」的な独善的な観点に陥らずに考えられる知識やプリンシパルが身に付いたと感じます
- 特にISACAは毎月の例会、年次のカンファレンス(日本語)やeラーニング的なのやニュースレター(英語)が盛んに発行されており、、継続的にかかる年会費に見合ったものだと感じます。
- その点はCISSPの団体 (ISC)2 の会員向けサービスより充実しています。
- COBIT関連の資料も会員であれば無料で入手できますし、日本の有志の手により邦訳は思ったより進んでいます。
- 東京支部主催のセミナー(いまはオンラインばかりですが)、一定CPE稼ぎ可能です。
- AWSやAzure、(ISC)2 の認定資格とおなじく、https://www.youracclaim.com/ で自分が取得したロゴがまとめて表示できます。
良くなかったこと
特にないです。
資格認定まで
- 試験合格後、資格認定申請書(フォーマット)をISACA本部に提出すれば認定されます。
- Webサイトで認定料50USDを支払い、Eメールの添付ファイルでSign済の紙をスキャンしたPDFファイルと、大学の卒業証明書を添付ファイルにて)
- 上司や同僚にこれまでの業務経歴を証明して、資格認定申請書にSignもらう必要があります。
- 私は実務経験年数が微妙に足りない感があったため、大学(学士)の英文卒業証明書を添付することで2年短縮してもらいました。
- もし年数が足りなければ、年数を満たしたうえで資格認定申請を行うことができます。