※この記事には広告・アフィリエイトリンクを含む場合があります。
CISAについて調べていて、最初に少し気持ちが下がったことがあります。
それは、CISAは試験に合格しただけでは正式な資格取得にならないという点です。
CISAは、情報システム監査・IT統制・情報セキュリティなどに関する国際資格です。
ただし、正式にCISAとして認定されるには、試験合格だけでなく、原則として一定年数の実務経験が必要になります。
これを知ったとき、正直こう思いました。
「それなら、実務経験がない自分が勉強しても意味がないのでは?」
今の私は、IT監査の専門職ではありません。
現場寄りの仕事をしながら、将来のキャリアを変えるためにCISAの勉強を始めています。
だからこそ、この記事ではきれいごとではなく、
- CISAは実務経験がなくても意味があるのか
- 試験合格だけでも価値はあるのか
- 実務経験がない人はどう表現すればいいのか
- 今の仕事とCISAをどうつなげればいいのか
について、自分なりに整理してみます。
結論から言うと、実務経験がなくてもCISAに挑戦する意味はあります。
ただし、誰にでもおすすめできるわけではありません。
試験に合格しただけで「CISA保有」とは言えませんし、資格名だけで転職が決まるようなものでもありません。
それでも、情報システム監査、内部統制、情報セキュリティ、GRC、内部監査などの方向に進みたいなら、CISAの勉強はかなり意味のある入口になると思っています。
CISAそのものの概要については、別記事のCISAとは何か?初心者向けにわかりやすく整理でもまとめています。
CISAは実務経験なしでも受験できる?
まず整理しておきたいのは、CISAは実務経験がなくても受験自体は可能という点です。
ISACA公式ページでも、CISA試験は情報セキュリティに関心がある人に開かれており、実務経験要件を満たしていなくても受験できると説明されています。
ただし、試験に合格しただけでは正式なCISA認定者にはなれません。
CISAには、大きく分けると次の2段階があります。
| 状態 | 意味 |
|---|---|
| CISA試験に合格 | 試験には合格しているが、正式認定とは別 |
| CISA認定 | 試験合格に加えて、実務経験などの要件を満たし、正式に認定された状態 |
この違いはかなり大事です。
「CISAに合格した」と「CISAを持っている」は、同じではありません。
実務経験がない状態で試験に合格した場合、言えるのは基本的に、
- CISA試験に合格しました
- CISA認定に向けて実務経験を積んでいます
- CISA Exam Passed
という形です。
逆に、実務経験要件を満たしていないのに「CISA保有」「CISA認定者」と表現するのは避けるべきだと思います。
ここは、履歴書や職務経歴書、LinkedIn、社内でのアピールでも注意が必要です。

CISA認定にはどんな実務経験が必要なのか
CISAの正式認定には、原則として5年以上の実務経験が必要とされています。
対象になるのは、情報システム監査、統制、保証、情報セキュリティなどに関連する経験です。
また、ISACA公式ページでは、CISA認定のための実務経験は、認定申請日前10年以内に得たものである必要があるとされています。
さらに、試験合格者は合格日から5年以内に認定申請を行う必要があります。
つまり、CISAは次のような流れになります。
| 項目 | 内容 |
|---|---|
| 受験 | 実務経験がなくても受験可能 |
| 試験合格 | 合格しても、まだ正式なCISA認定ではない |
| 実務経験 | 原則5年以上の関連実務経験が必要 |
| 経験の対象期間 | 申請日前10年以内の経験 |
| 申請期限 | 試験合格から5年以内 |
| 認定後 | CPE管理、倫理規定、監査基準の遵守が必要 |
CISAの領域は、大きく次の5つに分かれています。
| ドメイン | 内容 |
|---|---|
| ドメイン1 | 情報システム監査のプロセス |
| ドメイン2 | ITガバナンスとマネジメント |
| ドメイン3 | 情報システムの取得・開発・導入 |
| ドメイン4 | 情報システムの運用と事業継続 |
| ドメイン5 | 情報資産の保護 |
この5つを見ると、単に「パソコンを使っている」「システムに関係する職場にいる」だけでは、実務経験として認められるとは限らないと感じます。
一方で、完全なIT監査職でなくても、業務内容によっては関連する可能性はあります。
たとえば、次のような業務です。
- 内部監査対応
- 情報セキュリティ関連のチェック
- システム運用手順の確認
- アクセス権限の管理
- 変更管理
- インシデント管理
- 業務手順や証跡の確認
- 委託先管理
- BCPや事業継続に関する対応
- IT統制や内部統制に関する業務
こうした内容に関わっている場合は、将来的にCISAの領域と接点が出てくる可能性があります。
ただし、最終的に実務経験として認められるかどうかはISACA側の判断になります。
「近そうだから大丈夫」と決めつけるのではなく、自分の業務内容をCISAのドメインに照らして整理しておくことが大事だと思います。
試験合格だけでも価値はあるのか
ここが一番気になるところです。
試験に合格しても正式認定されないなら、意味がないのではないか。
私もそう思いました。
ただ、今は少し考え方が変わっています。
試験合格だけでも、価値はゼロではありません。
特に、次のような人には意味があると思います。
- 情報システム監査や内部監査に興味がある人
- 今の仕事からIT・セキュリティ寄りにキャリアを広げたい人
- 社内異動の材料がほしい人
- GRCや情報セキュリティの考え方を体系的に学びたい人
- 現場経験を監査・統制の言葉で整理したい人
CISAの勉強をすると、ただ作業をこなすだけではなく、次のような視点が出てきます。
- この手順は何のためにあるのか
- 証跡を残す意味は何か
- リスクをどう評価するのか
- 業務が止まらないために何を確認すべきか
- 権限管理や変更管理はなぜ重要なのか
これは、資格として名乗れるかどうかとは別に、仕事を見る目を変えてくれる部分だと思います。
私自身、CISAの勉強を始めてから、日々の業務や内部監査のお知らせを見る目が少し変わりました。
監査通知、監査日程表、業務内部監査計画、チェックリスト、過去の監査報告書。
以前なら「監査の資料が来た」で終わっていたかもしれません。
でも、CISAを勉強していると、そこにある目的や確認観点が少し見えるようになります。
これは、実務経験がない人にとっても大きな価値だと思います。
逆に、実務経験なしでCISAを目指す意味が薄い人
一方で、実務経験がない状態でCISAを目指す意味が薄い人もいると思います。
たとえば、次のような人です。
- とにかく履歴書に資格名を書きたいだけの人
- IT監査やセキュリティ分野に進む気がない人
- 短期間で転職市場で大きく評価される資格がほしい人
- 試験に受かればすぐCISAを名乗れると思っている人
- 実務経験を積む予定がない人
こういう場合は、CISAよりも別の資格や勉強を優先した方がいいかもしれません。
CISAは、受験料も安くありません。
教材費もかかります。
勉強時間も必要です。
それなのに、試験に合格してもすぐに正式認定されない可能性があります。
この点を考えると、目的が曖昧なまま受ける資格ではないと思います。
勉強時間の目安や進め方については、別記事のCISAの勉強時間はどれくらい必要?社会人向けの学習計画で整理しています。
実務経験なしの人がCISAを目指すなら、目的を決めた方がいい
私が今感じているのは、CISAを目指すなら「何のために勉強するのか」を決めた方がいいということです。
私の場合は、単純に資格名がほしいというより、次のような目的があります。
- 今の現場経験を別のキャリアにつなげたい
- 内部監査や情報セキュリティの考え方を学びたい
- 夜勤ありの働き方から少しずつ選択肢を広げたい
- AIを使いながら、自分のキャリアを作り直したい
だから、CISAの勉強は「試験合格」だけが目的ではありません。
今の仕事を、監査・リスク・統制・セキュリティという言葉で見直すための勉強でもあります。
現場仕事をしていると、自分の経験がどこにつながるのか見えにくいことがあります。
でも、CISAを勉強していると、次のような見方が少しずつ出てきます。
- この記録確認は証跡管理に近いのでは
- この手順書の見直しは統制の考え方に近いのでは
- この監査対応は、将来の経験として整理できるかもしれない
もちろん、それがそのままCISAの実務経験として認められるとは限りません。
それでも、自分の仕事を言語化する材料にはなります。
今の仕事はCISAの実務経験になるのか
ここは、かなり慎重に考える必要があります。
私のように、IT監査専門職ではない人の場合、今の仕事がCISAの実務経験として使えるかは簡単には判断できません。
たとえば、次のような仕事をしている場合でも、これだけでCISAの実務経験になるとは言い切れません。
- 書類整理
- 記録確認
- 手順書確認
- 安全管理
- 教育記録の管理
- 内部監査への対応
- 指摘事項への対応
ただし、業務の中に情報システム、セキュリティ、統制、監査、リスク管理の要素があるなら、将来的に整理できる可能性はあります。
大事なのは、日々の仕事をただの作業として終わらせないことです。
たとえば、次のような観点でメモしておくとよいと思います。
- 何を確認したのか
- 何のリスクを減らすための作業だったのか
- どんな証跡を残したのか
- どんな手順やルールに基づいていたのか
- 誰に報告し、どのように改善につなげたのか
こうしたことをメモしておくと、将来の職務経歴書や異動希望の説明に使いやすくなります。
CISAの認定申請で使えるかどうかは別として、キャリアの棚卸しとしては意味があります。
CISA Associateという選択肢も出てきた
最近は、CISA試験に合格したものの実務経験要件を満たしていない人向けに、CISA Associateという制度も出ています。
ISACA公式ページでは、CISA Associateは、必要な実務経験を満たしていない学生が、ISACAのパートナープログラムに参加し、CISA試験に合格することで取得できる制度として説明されています。
また、公式ページでは、CISA Associateについて次のような特徴も説明されています。
- CISA試験に合格すること
- CPE要件はないこと
- 有効なISACAメンバーシップが必要なこと
- 最大4年間、または実務経験要件を満たすまで有効であること
- 要件を満たした後は、正式なCISA認定へ移行できること
ただし、公式情報を見る限り、主に学生やアカデミックプログラム参加者向けの制度として説明されています。
そのため、一般の社会人が誰でも簡単に使えるものなのかは、実際に利用する前にISACA公式情報を確認した方がよいと思います。
とはいえ、CISA試験に合格しただけの人をどう扱うかについて、ISACA側も新しい制度を用意しているという点は大きいです。
以前よりも、
「実務経験はまだないが、CISA試験には合格している」
という状態を説明しやすくなってきているのかもしれません。
履歴書や職務経歴書にはどう書けばいいのか
実務経験がなく、まだ正式認定されていない場合は、表現に注意が必要です。
書くなら、たとえば次のような表現が無難だと思います。
- CISA試験合格
- CISA Exam Passed
- CISA認定申請に向けて実務経験を蓄積中
- CISA学習中
- 情報システム監査・IT統制・情報セキュリティを学習中
逆に、正式認定されていない段階で、次のように書くのは避けるべきだと思います。
- CISA保有
- CISA認定者
- 公認情報システム監査人
- Certified Information Systems Auditor
資格名は信用に関わる部分です。
だからこそ、正確に書いた方がいいです。
ただ、試験に合格したこと自体は、努力や知識の証明にはなります。
特に、社内異動や面談であれば、次のような伝え方は十分ありだと思います。
- CISAの勉強を通じて、情報システム監査や内部統制に興味を持っています
- 今後は監査対応や情報セキュリティ関連業務にも関わりたいです
- 現場経験をリスク管理や統制の視点で整理していきたいです
正式認定前だから何も言えない、というわけではありません。
正確に表現したうえで、学習中であることや今後の方向性を伝えればよいと思います。
実務経験がない人にとってのCISAの価値
実務経験がない人にとって、CISAの価値は「資格名」そのものよりも、学習内容にあると思います。
CISAを勉強すると、次のような考え方に触れます。
- リスクベースで考える
- 統制が機能しているかを見る
- 証跡を確認する
- 業務プロセスを評価する
- 情報資産を守る
- 事業継続を考える
- システム変更や運用を管理する
これは、IT監査だけでなく、一般企業の管理業務や現場仕事にも通じる部分があります。
私自身、まだ勉強途中ですが、今まで何となくやっていた確認作業にも意味があるのだと感じる場面があります。
書類を確認する。
記録を残す。
手順通りに作業する。
異常があれば報告する。
一見地味な仕事でも、見方を変えると「統制」や「リスク管理」に近い部分があります。
CISAの勉強は、そういう視点を持つきっかけになります。
AIを使えば、実務経験が少なくても勉強しやすくなる
CISAの勉強で困るのは、用語が難しいことです。
情報システム監査、ITガバナンス、内部統制、リスク評価、変更管理、事業継続、アクセス管理。
参考書を読んでも、最初は言葉が頭に入りません。
そこで私が使っているのが、ChatGPTなどのAIです。
たとえば、次のように聞くと理解しやすくなります。
- このCISA用語を現場仕事に例えて説明してください
- 情報システム監査を初心者向けに説明してください
- この問題の正解理由と、他の選択肢が間違いの理由を教えてください
- CISAの5つのドメインを、実務経験がない人向けに整理してください
このように聞くと、難しい内容をかなり理解しやすくできます。
もちろん、AIだけで勉強するのは危険です。
公式教材や問題集を軸にして、AIは補助として使うのが良いと思います。
私も、CISAの参考書や問題集を見ながら、わからないところをAIに聞く形で進めています。
AIを使った勉強方法については、AIを使ってCISAを勉強する方法|ChatGPTで学習効率は上がるのか?でもまとめています。
また、実際に使える質問例はChatGPTにどう聞けばいい?CISA学習用プロンプト集にまとめる予定です。
実務経験なしでCISAを目指すなら、まずやること
実務経験がない状態でCISAを目指すなら、いきなり試験日を決める前に、次の順番で整理した方がいいと思います。
- CISAの公式要件を確認する
- 自分の今の仕事がCISAのどのドメインに近いかを見る
- 勉強する目的を決める
- 参考書や問題集を用意する
- AIも使いながら、用語と考え方を理解する
たとえば、次のような目的があるなら、CISAの勉強には意味があります。
- 社内異動の材料にする
- 内部監査対応に関わる
- 情報セキュリティ部門に興味を示す
- GRCやIT統制を学ぶ
- 将来の転職に向けて方向性を作る
逆に、ただ「なんとなくすごそうだから」という理由だけだと、途中で挫折しやすいと思います。
CISAは簡単な資格ではありません。
だからこそ、勉強する理由を自分の中で持っておいた方がいいです。
参考書選びについては、CISAのおすすめ参考書|中古で買った理由とAIで補う勉強法でも書いています。
私が今考えているCISAの使い方
私の場合、CISAを取ってすぐに転職するというより、まずは今の仕事の中で接点を増やしたいと思っています。
たとえば、社内の内部監査、業務監査、情報セキュリティ、リスク管理、手順書整備、記録管理。
こうしたところに少しでも関われるなら、積極的に手を挙げたいです。
今の職場でいきなり部署異動できるとは限りません。
でも、次のように言えるだけでも、何もしていない状態よりは前に進んでいる気がします。
- CISAを勉強しています
- 情報システム監査や内部統制に興味があります
- 監査対応や記録整備に関わらせてほしいです
もちろん、試験に合格しても、正式認定までは遠いかもしれません。
それでも、今の仕事をただ続けるだけではなく、少しずつ別の方向につなげるための材料にはなると思っています。
よくある質問
CISAは実務経験なしでも受験できますか?
はい。CISAは実務経験がなくても受験自体は可能です。ただし、試験に合格しただけでは正式なCISA認定者にはなれません。正式認定には、原則として関連する実務経験が必要です。
CISA試験に合格しただけで履歴書に書けますか?
書くこと自体は可能だと思います。ただし、「CISA保有」や「CISA認定者」ではなく、「CISA試験合格」や「CISA Exam Passed」のように、正式認定前であることがわかる表現にした方が安全です。
実務経験がない人がCISAを勉強する意味はありますか?
あります。ただし、資格名だけを目的にすると費用対効果は悪くなる可能性があります。情報システム監査、内部統制、情報セキュリティ、GRCなどに興味があり、将来その分野へ進みたい人には意味があると思います。
今の仕事がCISAの実務経験になるかはどう判断すればいいですか?
自分の業務が、情報システム監査、統制、保証、情報セキュリティなどの領域に関係しているかを整理する必要があります。ただし、最終的に実務経験として認められるかどうかはISACA側の判断になります。
CISA Associateとは何ですか?
CISA Associateは、CISA試験には合格しているものの、正式なCISA認定に必要な実務経験を満たしていない人向けの制度です。ただし、公式情報では主に学生やアカデミックプログラム参加者向けとして説明されているため、一般社会人が利用する場合は最新の公式情報を確認した方がよいです。
まとめ|CISAは実務経験なしでも意味はある。ただし目的次第
CISAは、実務経験がなくても受験はできます。
ただし、試験に合格しただけでは正式なCISA認定者にはなれません。
原則として、正式認定には関連する実務経験が必要です。
そのため、実務経験がない人がCISAを目指す場合は、次の点を理解しておく必要があります。
- 試験合格と正式認定は違う
- 合格しただけでCISA保有とは言えない
- 履歴書や職務経歴書での表現には注意が必要
- 実務経験を積む前提で考える必要がある
- 目的が曖昧なら、費用対効果は悪くなる可能性がある
それでも、CISAの勉強には意味があると思います。
情報システム監査、内部統制、情報セキュリティ、リスク管理。
こうした分野に興味があるなら、CISAはかなり体系的に学べる資格です。
私自身、まだ正式な実務経験があるとは言えません。
それでも、勉強を始めたことで、今の仕事の見方が少し変わってきました。
書類確認や記録管理も、ただの作業ではなく、統制や証跡という視点で見られるようになってきたからです。
CISAは、実務経験がない人にとっても意味はあります。
ただし、その意味は「合格したらすぐ人生が変わる」というものではありません。
自分の仕事を見直す。
社内で関われる業務を増やす。
将来のキャリアの方向性を作る。
そのための入口として使うなら、CISAの勉強は十分に価値があると思っています。
私もまだ途中です。
でも、何もしないまま数年後に同じことで悩むよりは、少しずつでも前に進んでみたい。
そう思って、今日もCISAの勉強を続けています。
関連記事

