CISA (Certified Information Systems Auditor)【エンジニアに役立つ資格】

はじめに

本記事では、CISA（Certified Information Systems Auditor）と呼ばれISACAが主催する国際資格を紹介します。前のブログに書いたCISSPと名前は似てますが、異なる組織が主催しており全く関係のないものです。CISSPは、自らの組織を動かし情報セキュリティを維持運用していくのに重点が置かれますが、CISAは相手の組織に対してシステム監査することになります。私が資格を取得したのは、2019年4月10日 ということで、すでに4年もの時間が経過しているので本資格試験を志す方は、最新の情報をご確認ください。

CISAとは

CISAとはどんな資格か、正確な内容についてはホームページを確認してもらえばいいので、本ブログでは主観的に説明したいと思います。情報システム監査とは、企業の情報システムの信頼性を保つために、独立した専門的な立場のシステム監査人が点検・評価・検証するものです。 情報システムの障害や不適切な運用などにより、組織は大きなリスクに晒されます。CISAは、情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとしてISACAが認定する国際資格で、日本語では「公認情報システム監査人」と呼ばれます。

取得する前の道のり

前回のブログでCISSPの合格体験記を書きましたが、CISAよりCISSPの方が試験範囲が広く、CISAの学習範囲も部分的に学習できるため、取得する順番は、CISSP→CISAの順に取得する方が、労力が少なく済むのでおススメです。元々システム監査を受けることが多く、システム監査人の考え方を理解し、自組織、セキュリティサービスの点検に役立つのではと思ったのが取得するきっかけです。IIJ社内でもCISSPの取得者は増えてきましたが、CISAを取得している人は当時まだいませんでした。社外を見渡すとCISSPとセットで保有している方も多く、その方々の影響を受けたのも受験のきっかけです。
勉強期間は、6ヵ月ほど。利用したテキストは、ISACA国際本部のBOOK STORE にしか売ってないレビューマニュアルを購入し、読み進めたのですが、教科書のような固い文体、モチベーションの維持が難しく挫折。実際に試験を受けましたが、残念ながら不合格。2回目はAbitusのオンラインコースを受講し、無事合格できました。このコースは講師、テキストの質も素晴らしく効率よく勉強できましたので、独りで勉強する方にはおススメできます。

取得してよかったこと

エンジニアはセキュアな構成を考えて障害が起きた際にも業務影響を最小限にとどめようと考えますが、実際の組織はシステムと異なり、オペミスや自分は大丈夫とルールを破ったりそもそもルールが無く独善的な判断が大きな問題になることも日常茶飯事です。その中で、システムと人をどう組み合わせて業務上のリスクを低減するかは人の動きまで考慮に入れた対策が必須です。CISAの監査を勉強することで、エンジニアリングの知識に加えて、人のことを考えるようになりました。監査に関する継続的な活動を証明するために、CPEを取り続ける必要がありますが、CISSPとCISAの両方にカウントできますので、効率的に加算されます。