CISAに合格した後、「CPEって結局何をすればいいのか」と戸惑う方は多いと思います。
ISACAの公式情報は英語が多く、日本語でまとまった情報が少ないのが現状です。
この記事では、CISA保持者の私が実際に活用しているCPE取得方法を具体的にまとめました。
RISSとの組み合わせで効率よく取得する方法も紹介しています。
📋 この記事でわかること
✅ 年間CPEをどこから何CPE取れるか一覧でわかる
✅ RISS講習をCISAのCPEに換算する具体的な計算方法
✅ CISAのCPEに使えるUdemyのおすすめセキュリティ講座
CISAの受験から合格までの流れについては、こちらの記事で書いています。
▶ 2025年CISA受験記|費用総額と独学での勉強法・使った教材まとめ
そもそもCPEとは?
CPE(Continuing Professional Education:継続専門教育)は、CISAの認定を維持するために
必要な学習活動のことです。
受験勉強で大変だったのに、合格後もCPEの義務があると知ると少し気が重いかもしれません。
ただ、実際にやってみると、セキュリティ関連の業務に従事していれば思ったよりも
負担なく取得できるという印象です。
CPEの基本要件
CPEの基本的なルールは以下のとおりです。
- 年間最低20CPE
- 3年間で合計120CPE
- 報告期間は毎年1月1日〜12月31日
1CPEの計算基準はカテゴリによって異なります。
- 教育活動(カテゴリA・B等):1CPE = 50分の参加時間
- 職業への貢献(カテゴリJ):1CPE = 実時間(60分)
教育活動は「50分で1CPE」なので、 6時間の研修であれば360分÷50分=7CPEになります。
一方、業務経験(カテゴリJ)は実際に費やした時間がそのままCPEになります。
混同しやすいポイントなので注意してください。
CPEを満たせない場合、CISA認定は取り消され、再受験が必要になります。
高額な受験料を考えると、ここは絶対に避けたいところです。
なお、業務に従事しなくなった場合は休眠制度(Non-practicing)や
リタイア制度(55歳以上)も用意されています。
2025年認定の場合のスケジュール
私のように2025年に認定を受けた場合、CPE報告義務は2026年1月から開始になります。
認定された年のCPE報告は不要ですが、
認定日から12月31日までに取得したCPEは翌年分として計上できます。
つまり、2025年中に取得したCPEがあれば、それは2026年分に回せるということです。
認定直後から少しずつ始めておくと後が楽になります。
CPEとして認められる活動の種類
ISACAではCPEとして認められる活動がカテゴリごとに定められています。
ISACA東京支部のサイトに日本語の一覧があるため、それを参照しつつ整理します。
種類が多く見えますが、すべてを使う必要はありません。
この記事では、上記のうち私が実際に活用している「ISACA専門教育活動と会議:A」、
「ISACA以外の専門教育活動と会議:B」、「職業に対する貢献:J」の方法を中心に紹介します。
ちなみに、RISSの講習はカテゴリBに該当します。
業務経験でCPEを取得する(カテゴリJ)
セキュリティ関連の業務に従事している方であれば、 正直なところ、
普段の業務をそのまま報告するだけで このカテゴリの上限に到達します。
活動コードJ「職業に対する貢献」に該当し、 年間上限は20CPEです。
前述のとおり、カテゴリJでは1CPE = 実時間(60分)で計算します。
(教育活動の50分/1CPEとは異なるので注意してください。)
どんな業務が対象になるか
CISAの5ドメイン(監査・ガバナンス・情報システムの取得と開発・運用・セキュリティ)に
関連する業務であればCPEの対象になります。
私の場合、以下のような業務がそのまま該当しました。
- セキュリティポリシーの策定・見直し
- インシデント対応・分析
- セキュリティ監査の実施・支援
- リスクアセスメント
- セキュリティ関連の社内研修の実施
- セキュリティ製品の導入・評価
意識していなくても、セキュリティに関連した業務を行っていれば
年20CPEの上限には自然と到達するという感覚です。
証跡の保管について
業務経験でCPEを申請する場合も、証跡の保管は必要です。
業務報告書やメールの記録など、活動内容が分かるものをPDFなどで保管しておくと安心です。
証跡の保管期間は、3年間のCPE報告サイクル終了後、さらに12ヶ月間です。
たとえば報告期間が2026〜2028年の場合、2029年末まで保管しておく必要があります。
以下のISACAのCPEポリシーのドキュメントに詳細な記載があります。
Education (CPE) Policy」
ISACA Journal Quizに回答する(カテゴリA)
個人的には、CPEの取得で最も手軽なのものの一つがこのJournal Quizだと感じています。
Journal Quizの概要
- ISACA会員向け(無料)
- ISACA Journalの記事に関する15問程度のTrue/Falseクイズ
- 合格(75%以上)で1CPE取得
- 年6回発行 → 最大年6CPE
- クイズは発行日から2年間有効
- 不合格でも再挑戦可能
アクセスはこちらのISACA公式ページから行います。
https://www.isaca.org/resources/isaca-journal/cpe-quizzes
True/Falseの2択問題が15問程度で、5〜10分もあれば1CPE取得できます。
Journalを読まなくても回答できる
ISACAとしてはJournalを読んだ上で回答することを推奨していますが、
読まなくても回答できる仕組みになっています。
正直なところ、そういう設計のISACA側の問題だと割り切っています。
この点は、他のCISA保持者のブログでも同様の指摘がありました。
もちろん、Journal自体はセキュリティや監査の最新動向が載っているので、
時間があるときに目を通しておくと業務にも役立ちます。
JOURNAL QUIZを回答すると以下のような画面になります。
75%以上の正答率で合格のため、この画像では86%で合格です。
JOURNAL QUIZ合格後に「MYISACA」の「ISACA CPE Records」を確認すると
すぐに結果が反映されています。
ISACA Webinarを視聴する(カテゴリA)
Webinarは英語ですが、セキュリティの用語に慣れていれば内容は追えます。
ライブに参加できなくても、アーカイブで後から視聴できるのがありがたい点です。
- ISACA会員は無料で視聴可能(非会員は$75/回)
- 1時間の視聴で1CPE取得
- ライブ配信とアーカイブ(最大1年間)の2形式
- 会員であれば年間70CPE以上の獲得機会がある
セキュリティ分野であれば、State of Privacy(毎年恒例の高評価Webinar)や
AI & Cyber Skills関連のトピックが実務にも近く、取り組みやすいと思います。
ISACA Webinarは、こちらのISACAのサイトからアクセスします。
https://www.isaca.org/training-and-events/online-training/webinars
私は通勤時間に視聴することもあります。
ISACA東京支部の月例会に参加する(カテゴリA)
月例会は日本語で聴けるうえ、ISACA主催の公式活動として扱われるため、
CPEの記録もスムーズです。
- 原則毎月開催(6月の総会月を除く)
- 現在はオンラインセミナー形式が中心(先着500名)
- 講演時間100分で2CPE取得
- 視聴後に受講証明書が発行され、各自でCPEを申請する流れ
- ISACA東京・名古屋・大阪・福岡支部の会員が受講可能
年間で参加すれば最大22CPE(11回×2CPE)になります。
オンライン開催のため、東京以外の方も参加しやすくなっています。
ISACA大阪・名古屋・福岡支部にも独自の月例会があります。
※以前は一橋講堂(東京都千代田区一ツ橋)での対面開催が基本でしたが、
現在はオンライン中心の運営に移行しています。
最新の開催形式はISACA東京支部の教育委員会ページで確認してください。
情報処理安全確保支援士(RISS)の講習を活用する(カテゴリB)
RISSを保有している方であれば、 登録維持のために受講する講習をそのままCISAのCPEとして申請できます。
RISS講習はISACA以外の専門教育活動にあたるため、 活動コードB「ISACA以外の専門教育活動」に該当します。 年間の上限はありません。
普段から受けている講習が、 そのままCISAのCPEにもなるというのは、 RISS+CISA(あるいはCISM)の保持者にとっては大きなメリットだと思います。
RISS講習がCPEになる理由
RISS講習はIPAが主催する情報セキュリティの専門教育です。 CISAの5ドメイン(特にセキュリティ、ガバナンス、リスク管理)との関連性が高く、 カテゴリBの要件を満たします。
ISACAのCPEポリシーでは、 カテゴリBの条件として以下を求めています。
- セキュリティ、監査、ガバナンスなどCISAのドメインに関連する内容であること
- 修了証明書など、受講を証明する証跡があること
- 1CPE = 50分で計算すること
RISS講習はいずれもこれらの条件を満たしています。 IPAから発行される修了証がそのまま証跡になるため、 CPE監査に選ばれた場合にも対応しやすい点がメリットです。
オンライン講習(年1回)
RISSの登録を維持するために、毎年1回受講が必要な講習です。
RISSオンライン講習の概要:
- 標準学習時間:6時間
- 受講費用:20,000円(非課税)
- 形式:e-ラーニング(全6単元+理解度確認テスト+アンケート)
2025年度の学習内容:
| 科目 | 単元 | 標準学習時間 |
|---|---|---|
| 知識 | 登録セキスペに期待される役割と知識 | 1時間 |
| 技能 | AI利活用とAI規制の動向 | 4時間(4単元) |
| 技能 | AI利活用に向けたセキュリティ管理のポイント | (上記に含む) |
| 技能 | 脅威インテリジェンスの生成と活用 | (上記に含む) |
| 技能 | ランサム被害への対応 | (上記に含む) |
| 倫理 | コンプライアンスとガバナンス | 1時間 |
2025年度のテーマは生成AIのセキュリティリスクや脅威インテリジェンス、ランサムウェア対応など、 CISAのドメインにも直結する実践的な内容になっています。
CPE換算:6時間(360分)÷ 50分 = 7CPE(端数切捨て)
実践講習(3年に1回)
RISSの登録更新のために、3年に1回受講が必要な講習です。 Webシステムを使ったグループ討議形式で、 他の登録セキスペと一緒にケーススタディに取り組みます。
実践講習には受講歴に応じてA・B・Cの3種類があります。
| 講習 | 対象 | 標準学習時間 | 内容 | 受講料(非課税) |
|---|---|---|---|---|
| 実践講習A | 初回登録 (グリーン) | 8時間 | インシデント対応・予防策の検討 | 80,000円 |
| 実践講習B | 更新1回目 (ブルー) | 10時間 | 新規事業のセキュリティ助言 | 80,000円 |
| 実践講習C | 更新2回目 (ゴールド) | 9時間 | インシデント対応(経営判断への助言) | 80,000円 |
いずれも「個人学習(e-ラーニング)+当日のグループ討議」の2部構成です。 グループ討議はWeb会議システムで行われるため、全国から参加できます。
実践講習Cの場合のCPE換算:9時間(540分)÷ 50分 = 10CPE(端数切捨て)
私は2026年2月に実践講習Cを受講しました。 ゴールドの登録証を持つ方向けの講習で、
インシデント発生時の対応、経営層への報告・助言を疑似体験する内容です。
実践講習Cの学習内容:
個人学習(e-ラーニング)では情報セキュリティとリスクマネジメント、 インシデント対応の考え方を学びます。
グループ討議では、想定企業で発生したインシデントに対して、 検知・分析から封じ込め・根絶、そして収束まで一連の対応を検討します。 経営層への報告を想定した演習もあり、 CISOへの報告スキルを疑似的に体験できるのが特徴です。
実践講習の受講料は80,000円と高額ですが、 RISS維持のために受講が必須なので、 CISAのCPEとしても活用しない手はありません。
CPEの換算方法と申請のポイント
RISS講習をCISAのCPEとして申請する場合のポイントを整理します。
換算の基本ルール:
- 活動コード:B(ISACA以外の専門教育活動)
- 計算方法:IPAが定める標準学習時間 ÷ 50分(端数切捨て)
- 年間上限:なし
各講習のCPE換算一覧:
| 講習 | 標準学習時間 | 計算 | CPE |
|---|---|---|---|
| オンライン講習 | 6時間(360分) | 360 ÷ 50 | 7 CPE |
| 実践講習A | 8時間(480分) | 480 ÷ 50 | 9 CPE |
| 実践講習B | 10時間(600分) | 600 ÷ 50 | 12 CPE |
| 実践講習C | 9時間(540分) | 540 ÷ 50 | 10 CPE |
IPAが公式に定めている「標準学習時間」をベースに計算しているため、 CPE監査で問われた場合も根拠を明確に示すことができます。
証跡として保管すべきもの:
- IPAから発行されるオンライン講習の修了証
- 実践講習の受講証明書
- IPAの公式サイトに記載されている講習概要(標準学習時間の根拠として)
ISACAサイトでの申請時には、 Activity Descriptionに「IPA Online Training for Registered Information Security Specialist (RISS)」 のようにIPAの講習であることが分かる記述を入れておくと、 監査時の説明がスムーズです。
Udemyなどの外部講座を受講する(カテゴリB)
業務で必要なスキルアップがそのままCPEになるので、一石二鳥だと感じています。
活動コードB「ISACA以外の専門教育活動」に該当し、年間の上限はありません。
CPEとして申請するための条件
外部講座をCPEとして申請するには、以下の条件を満たす必要があります。
- 修了証明書(Certificate of Completion)が発行されること
- 証明書にCPE時間数(またはコース時間)が記載されていること
- コース内容がCISAの5ドメインに関連していること
カテゴリBの教育活動なので、1CPE = 50分で計算します。 申請はセルフレポート(自己申告)でISACAサイトに登録します。
Udemyの活用例
Udemyはセール時に1,500〜2,000円程度でコースを購入できるため、 コストを抑えてCPEを取得したい場合に有効です。
私の場合、サイバーセキュリティやAWS等のパブリッククラウドのシステム構築のセキュリティ関連コースを受講しており、 受講完了後に発行される修了証をPDFで保管しています。
以下は、CPEとして活用できるジャンルの例です。
- サイバーセキュリティの基礎〜応用
- AWS/GCP/Azureのセキュリティ関連
- インシデントレスポンス
- リスク管理、ガバナンス関連
Udemy以外にも、CourseraやLinkedIn Learningなどでも 修了証が発行されるコースであればCPEとして申請可能です。
私が実際にCISAのCPE(カテゴリB)として活用しているコースを紹介します。
▼ ① ゼロトラストセキュリティ(津郷晶也)
CISAドメイン5(情報資産保護)のCPEとして申請しています。
約3時間半/CPE換算4CPE。セール時1,500〜2,000円程度。
▼ ② Ultimate AWS Certified Security Specialty(Stéphane Maarek)
AWS環境のセキュリティ管理スキルアップを目的に受講しました。
講座は英語ですが、Chrome翻訳字幕で問題なく学習できます。
GuardDuty・KMS・CloudTrail・WAFなど実務直結の内容で、
CISAドメイン4(情報システムの運用)のCPEとして申請しています。
▼ ③ CISSP ドメイン1 完全攻略コース(日本語)
CISSPを次のステップに考えている方向け。
CISAと重複する知識が多く、復習しながらCPEが稼げます。
私自身も現在CISSP学習中のため、カテゴリBのCPEとして計上しています。
私の年間CPE取得計画
参考までに、私の年間CPE取得計画を載せておきます。 RISSの講習も含めた計画にしています。
| 取得方法 | カテゴリ | 獲得CPE目安 | 備考 |
|---|---|---|---|
| 業務経験 | J | 20 CPE | 年間上限いっぱい |
| Journal Quiz | A | 6 CPE | 年6回すべて回答 |
| Webinar | A | 6〜10 CPE | 月1本程度 |
| 東京支部月例会 | A | 4〜6 CPE | 隔月参加 |
| RISSオンライン講習 | B | 7 CPE | 年1回(毎年) |
| RISS実践講習 | B | 9〜12 CPE | 3年に1回 |
| Udemy等の外部講座 | B | 4〜10 CPE | セキュリティ系コース |
| 合計(実践講習のない年) | 47〜59 CPE | ||
| 合計(実践講習のある年) | 56〜71 CPE |
年間20CPEが最低ラインですが、 業務経験の20CPEとJournal Quizの6CPEだけでも26CPEになります。 最低ラインはこれだけでクリアできるため、 それほど身構える必要はないと思います。
RISS保持者の場合、オンライン講習だけで年7CPEが追加されるため、
業務経験+Journal Quiz+オンライン講習で33CPEになります。
これだけで年間最低ラインの1.5倍以上です。
さらに3年に1回の実践講習で9〜12CPEが加算されるため、 3年120CPEの達成にも余裕が生まれます。
ただ、3年間で120CPEが必要なので、 忙しい年があっても余裕を持てるように、
年40〜50CPE程度を目標にしています。
よくある質問
Q. CPEが足りなくなったらどうなりますか?
CISA認定が取り消され、再受験が必要になります。
休眠制度(Non-practicing)を利用すればCPE義務は免除されますが、
名刺にCISAと記載することはできなくなります。
Q. 複数のISACA資格を持っている場合、CPEは共通ですか?
ISACA活動(Journal Quiz、Webinar等)で取得したCPEは、 保有する複数のISACA資格に重複適用できます。 CISAとCISMを両方持っている場合でも、同じCPEを両方にカウント可能です。
Q. RISS講習のCPEは他のISACA資格にも使えますか?
RISS講習はカテゴリB(ISACA以外の専門教育活動)として申請するため、 CISA以外にCISMやCRISCなどのISACA資格を持っている場合にも、 同じ講習のCPEを重複適用できます。
Q. CPE監査に選ばれたらどうなりますか?
ISACAがランダムでCPE監査を実施しており、選ばれた場合は証跡の提出が求められます。
証跡が出せないとCPE時間が減算され、不足分があると認定取消のリスクがあります。
修了証やメールの記録は必ず保管しておきましょう。
RISS講習の場合、IPAの修了証が公的な証跡として有効なため、
証跡の信頼性という意味ではカテゴリBの中でも安心感があります。
Q. ISACAの年会費やCISA維持手数料はいくらですか?
CISA維持手数料は会員$45/年、非会員$85/年です。
これとは別に、ISACA年会費(国際会費$135+東京支部費$30)がかかります。
※2026年2月時点の金額です。
Q. 非会員でもCPEは取得できますか?
CPEの取得自体は非会員でも可能です。
ただし、Journal QuizやWebinarの無料視聴はISACA会員限定のため、
非会員の場合はこれらの手段が使えない(またはWebinarは$75/回の有料)点に注意が必要です。
以上がよくある質問です。
CPEの取得に迷ったら、まずUdemy講座を1本受講してみるのが手軽な近道です。
私が最初におすすめするのはこちらです。
▼ ゼロトラストセキュリティ(津郷晶也)
【まとめ】CPEは日常業務と学習の延長で取得できる
CPEは「合格後の面倒な義務」というイメージがあるかもしれませんが、 セキュリティ関連の業務に従事していれば、 業務経験だけで年間上限の20CPEに到達できます。
ISACA会員であれば、Journal Quiz(年6CPE)やWebinarで追加取得も手軽です。
RISSを併せて保有している方は、 維持のために受講する講習がそのままCPEになるため、さらに効率的です。 オンライン講習の7CPE+3年に1回の実践講習で 追加の学習コストなくCPEを積み上げることができます。
年40〜50CPE程度を目標にしておけば、3年120CPEは余裕を持ってクリアできるはずです。
CISAの受験・合格までの流れはこちらの記事で書いています。
▶ 2025年CISA受験記|費用総額と独学での勉強法・使った教材まとめ
CISA学習に当たり教材選びについてはこちら。
▶ CISA教材の選び方|独学で失敗しない判断ポイント
コメント