CISA（Certified Information Systems Auditor、公認情報システム監査人）は、米国の国際的な専門家団体であるISACA（イサカ、情報システムコントロール協会）が認定する、情報システムの監査および管理に関する国際資格です。

多くのセキュリティ資格が「どう守るか（防御）」や「どう攻撃するか（攻撃）」に焦点を当てるのに対し、CISAは「正しく管理・運用されているか（統制）」を「第三者の視点からチェック（監査）」するための知識とスキルを証明することに特化しています。

情報システム監査の分野において、世界で最も認知度が高く、権威ある資格の一つとされています。

主な特徴

1. グローバルスタンダード: 全世界で数十万人の認定保持者がおり、国や業界を問わず通用する「情報システム監査人」のデファクトスタンダード（事実上の標準）資格となっています。
2. 「監査人」の視点: CISAの最大の特色は、この「監査人」の視点です。ITシステムやセキュリティ対策が、組織のルール、法律、各種ガイドライン（ISMSなど）に照らして「適切か」「有効か」「準拠しているか」を評価・検証する能力を証明します。
3. 実務経験の要求: 試験に合格するだけでなく、認定を受けるためには情報システム監査やセキュリティ、コントロール（統制）に関連する実務経験（通常5年、学歴などで短縮可）が別途必要です。これにより、知識だけでなく実践的な能力も担保されています。
4. 継続的な専門能力開発（CPE）: 資格を維持するためには、毎年および3年サイクルで所定の継続学習ポイント（CPE）を取得し、報告する必要があります。これにより、監査人としての専門性が最新の状態に保たれます。

試験で問われる5つのドメイン（分野）

CISAの試験は、以下の5つの領域（ドメイン）から構成されており、監査プロセスからITガバナンス、システムの運用管理まで幅広くカバーしています。
 

1. 情報システム監査のプロセス: 監査の計画、実施、報告といった一連の監査手続きに関する知識。
2. ITガバナンスとITマネジメント: 組織のIT戦略、リスク管理、情報セキュリティのガバナンス（統治）が適切に機能しているかを評価する知識。
3. 情報システムの調達、開発、導入: 新しいシステムが導入される際に、プロジェクト管理や開発プロセスが適切にコントロールされているかを評価する知識。
4. 情報システムの運用、保守、サービス管理: 日々のシステム運用やインシデント対応、災害復旧計画（BCP/DR）が適切に管理されているかを評価する知識。
5. 情報資産の保護: 機密性・完全性・可用性を守るためのセキュリティ対策（アクセス制御、暗号化、ネットワークセキュリティなど）が有効かを評価する知識。

どのような人が目指すべきか？

• システム監査人、内部監査人
• 監査法人（IT監査部門）で働く人
• セキュリティコンサルタント（特にガバナンス・リスク・コンプライアンス（GRC）領域）
• 企業の内部統制、リスク管理、コンプライアンス部門の担当者
• セキュリティ管理者（監査を受ける側として、監査人の視点を理解したい人）

CISAと他の資格との違い

• CISSP（Certified Information Systems Security Professional）との違い: CISSPがセキュリティを「広く深く、技術からマネジメントまで（守る側・管理する側）」をカバーするのに対し、CISAは「監査する側・評価する側」に軸足があります。
• 情報処理安全確保支援士との違い: 支援士が「日本の国家資格」であり、技術的なインシデント対応能力やセキュアな設計・構築能力に重きを置くのに対し、CISAは「国際資格」であり、監査手続きやITガバナンス・統制の評価に重きを置きます。

 
CISAは、組織のITシステムとセキュリティ体制の「健康診断」を行う専門家（＝監査人）としての信頼性を証明するための、最も強力な資格の一つと言えます。