CISA(公認情報システム監査人)試験の頻出論点を1枚に凝縮した無料チェックシートです。5つのドメインの要点と、出題されやすい考え方を整理しました。最後にオリジナルのミニ模試5問(解説つき)も用意しました。
CISA 要点チェックシート(2026・5ドメイン)
ドメイン1:情報システム監査プロセス
- リスクベース監査:限られた資源を高リスク領域へ。計画の起点はリスクアセスメント。
- 証拠:証明力は「独立した第三者入手>内部生成」「監査人が再実行>閲覧のみ」。サンプリング(属性/変数)。
- 統制の種類:予防・発見・是正/自動・手動/補完統制(compensating control)。
- 報告:発見事項・影響・推奨を客観的に。フォローアップで是正を確認。
ドメイン2:ITのガバナンスとマネジメント
- IT戦略の事業整合、方針・標準・手順の階層、職務分掌(SoD)、エンタープライズアーキテクチャ。
- ITリスクマネジメント(特定→評価→対応:低減/回避/移転/受容)、KPI/KRI、ベンダ・委託先管理。
ドメイン3:情報システムの取得・開発・導入
- プロジェクト管理(スコープ/コスト/品質)、SDLC、ウォーターフォール/アジャイル、テスト(単体→結合→システム→受入UAT)。
- 本番移行(並行/段階/一斉)、導入後レビュー(PIR)、変更管理(承認+テスト・緊急変更は事後承認)。
ドメイン4:情報システムの運用と事業のレジリエンス
- IT運用(ジョブ管理/容量/問題・インシデント管理)、SLA、バックアップ(3-2-1)。
- BCP/DR:BIA→RTO(目標復旧時間)/RPO(目標復旧時点)、復旧サイト(ホット/ウォーム/コールド)、訓練。
ドメイン5:情報資産の保護
- アクセス制御(最小権限/MFA/ID管理)、暗号(共通鍵/公開鍵/ハッシュ/電子署名)、ネットワーク(FW/IDS/IPS/VPN)。
- データ分類、物理セキュリティ、ログ監視、インシデント対応、セキュリティ意識向上。
オリジナル・ミニ模試(5問)
本番の考え方に沿ったオリジナル問題です。解答・解説は各問の下に折りたたんでいます。
Q1. リスクベースの監査計画を立てる際、最初に行うべきことはどれか。
- ア. 監査手続書の作成
- イ. リスクアセスメントによる監査対象の優先順位付け
- ウ. 監査報告書のドラフト作成
- エ. サンプル件数の決定
解答・解説
答え:イ。リスクベース監査は高リスク領域に資源を配分するため、計画はリスクアセスメントから始める。
Q2. RPO(目標復旧時点)が示すものはどれか。
- ア. 障害後にシステムを復旧させるまでの目標時間
- イ. さかのぼって許容できるデータ損失の時点
- ウ. 年間の許容ダウンタイム
- エ. バックアップ媒体の保管年数
解答・解説
答え:イ。RPOは「どの時点までのデータを守るか」。アはRTO。
Q3. 監査証拠として最も証明力(信頼性)が高いものはどれか。
- ア. 被監査部門が作成した報告書
- イ. 口頭での説明
- ウ. 監査人が独立して再実行・入手した証拠
- エ. 過去の監査調書の写し
解答・解説
答え:ウ。監査人自身が独立して入手・再実行した証拠は信頼性が最も高い。
Q4. 小規模組織で職務分掌(SoD)が確保できない場合の補完統制として適切なものはどれか。
- ア. 統制を無効化する
- イ. 経営者や上位者による監督・ログレビュー
- ウ. 全員に管理者権限を付与する
- エ. 監査範囲から除外する
解答・解説
答え:イ。SoDが困難な場合は、上位者による監督やログレビュー等の補完統制でリスクを低減する。
Q5. 本番環境への変更を反映する前に必須の統制はどれか。
- ア. 変更の承認とテスト
- イ. 変更後の即時公開
- ウ. 開発者による直接反映
- エ. 文書化の省略
解答・解説
答え:ア。変更管理では承認とテストが前提。緊急変更も事後の承認・記録が必要。
さらに本番形式で演習したい方へ
上のミニ模試で手応えをつかんだら、本番同等の600問(6回分)・全問詳細解説つきで総仕上げができます。当ブログ読者向けに割引クーポンをご用意しました。
※クーポンは予告なく終了する場合があります。価格はクーポン適用後の表示をご確認ください。
