新試験のBlueprint(ブループリント)を読んでおこうと思ったけど、時間が無いから内容を手っ取り早く知りたいよ。
選択科目3つのうちのどれにするのか考えるためにも、早めにBlueprintsの内容は理解しておいた方がいいよ。
新USCPA試験のBlueprints(ブループリント)のISC部分に、どんなことが書かれているのか、特に高いスキルが必要なのはどれなのか、解説するね。
2025年1月の改訂にも対応しているよ。
USCPAに挑戦するか決めていない場合「USCPAの始めかた」も参考にしてください。
どこの著書『USCPA(米国公認会計士)になりたいと思ったら読む本』も参考にしてくださいね。
新USCPA試験に対応しています。
- ISCのBlueprint(ブループリント)を解説!
- 1.ISCという試験科目について
- 2.ISCの出題分野と配点割合
- 3.ISCの必要なスキルレベルと配点割合
- 4.ISCの出題分野の詳細
- 5.ISCの主要用語の用語集
- (1)情報システムと統制(ISC)
- (2)処理の完全性
- (3)可用性
- (4)セキュリティ
- (5)機密性
- (6)プライバシー
- (7)SOC(System and Organization Controls)エンゲージメント
- (8)トラストサービス基準
- (9)記述基準
- (10)クラウドコンピューティング
- (11)IaaS(Infrastructure as a Service)
- (12)PaaS(Platform as a Service)
- (13)SaaS(Software as a Service)
- (14)ERP(Enterprise Resource Planning)
- (15)SQL(Structured Query Language)
- (16)データライフサイクル
- (17)脅威モデル
- (18)ゼロトラスト
- (19)データ損失防止(DLP)
- (20)インシデント対応計画
- (21)補完的ユーザーエンティティ統制(CUEC)
- (22)補完的サブサービス組織統制(CSOC)
- (23)ブルームのタキソノミー
- 6.ISCの理解度チェック!
- (1)ISC試験の「情報システムと統制」が評価する、情報システムの5つの主要な側面は何ですか。
- (2)ISC試験の3つの主要な内容領域は何ですか。また、それぞれの内容領域の試験におけるおおよその配分はどのくらいですか。
- (3)クラウドコンピューティングの3つの主要なサービスモデルを挙げ、それぞれについて簡単に説明してください。
- (4)情報システムの変更管理において、開発、ステージング、本番の3つの異なる環境の目的は何ですか。
- (5)データの機密性を保護するために使用される2つの技術を挙げ、それぞれについて簡単に説明してください。
- (6)ISC試験で評価される、ブルームのタキソノミーに基づく3つのスキルレベルは何ですか。それぞれのスキルレベルに期待される割合を記述してください。
- (7)SOC 2®エンゲージメントにおいて、「トラストサービス基準」とは何ですか。また、その目的は何ですか。
- (8)サイバー攻撃の典型的な段階を4つ挙げてください。
- (9)SOC 1®レポートとSOC 2®レポートの主要な目的と対象利用者の違いを説明してください。
- (10)COSOフレームワークは、ISC試験のどの領域で参照されることが多いですか。また、その文脈でどのように使用されますか。
ISCのBlueprint(ブループリント)を解説!
新USCPA試験のISCのBlueprint(ブループリント)について解説します。
そもそも、USCPA試験のBlueprints(ブループリント)って何?という場合、こちらを参考にしてください。
2025年1月に有効のBlueprintsの変更点については、こちらも参考にしてください。
また、2024年1月からの新USCPA試験については、こちらを参考にしてください。
新USCPA試験でのISCの試験対策は、こちらを参考にしてください。
1.ISCという試験科目について
Blueprintsには、ISC(Information System and Controls)という試験科目について、説明が書かれています。
USCPA試験のISCは、以下のような知識やスキルを評価します。
USCPA試験のISCで問う知識やスキル
- 処理の完全性、可用性、セキュリティ、機密保持、プライバシーを含む情報システム
- データのライフサイクルを通してのデータの収集、保存、使用などのデータ管理
ISCでは、SOC業務を含むIT監査・アドバイザリー業務に重点が置かれます。
特に、SOC業務については、以下の点に着目しています。
ISCで着目しているSOC業務
- SOC2®の計画、実施、報告における、サービス組織のシステムの記述基準とセキュリティ、可用性、処理の完全性、機密保持、プライバシーに関するトラストサービス基準の使用
- SOC1®の業務における計画、特定の手続(財務報告に係る内部統制のテストを除く)と報告
SOC業務については、旧AUDやBECで既に出題されています。
新試験では、AUDでも出題されますが、ISCでの出題がメインと考えられます。
2.ISCの出題分野と配点割合
Blueprintsには、ISCの出題分野と配点割合が書かれています。
どの分野から、どのくらい出題されるのか、全体像を知っておくことは大事でしょう。
出題分野は、以下の3つです。
ISCの出題分野と配点割合(和訳)
- 情報システム・データ管理:35–45%
- セキュリティ・機密保持・プライバシー:35–45%
- システム・SOC業務の留意点:15–25%
出題分野Ⅰでは、情報システムとデータ管理に焦点を当てています。
情報システムとデータ管理は、その多くがクラウドベースであり、急速な技術革新が進行中です。
出題分野Ⅱでは、セキュリティ、機密保持、プライバシーを対象としています。
SOC2®業務における統制テストに関するもので、他のIT監査やアドバイザリー業務で実施される可能性のある手順に似たものです。
出題分野Ⅲでは、SOC業務に対する考慮事項が扱われています。
各出題分野の詳細については、後ほど見ていきます。
3.ISCの必要なスキルレベルと配点割合
Blueprintsには、ISCの必要なスキルの度合いと配点割合が書かれています。
ISCの必要なスキルレベルと配点割合が書かれています。
ISCの必要なスキルレベルと配点割合(和訳)
- 評価:出題無し
- 分析:10–20%
- 応用:20–30%
- 記憶と理解:55–65%
「Evaluation(評価)」のレベルの出題はありません。
「Analysis(分析)」のレベルの出題は、出題分野のⅠとⅡで出題されます。
情報システムに関連する統制の適切性・設計の不備・運用の逸脱を発見するため、CPAが行うことが期待されるタスクが含まれています。
「Application(応用)」のレベルの出題は、3つの出題分野全てであります。
情報システムの調査・データ管理・SOC業務に関連し、CPAが行うことが期待されるタスクが含まれています。
「記憶と理解(Remembering and Understanding)」のレベルの出題は、3つの出題分野全てであります。
基準・規制・フレームワーク・手続きに関連し、CPAが持つべき基礎的な知識が含まれています。
ちなみに、このスキルレベルは、上に行くにつれて高いものとなります。
一番下の「Remembering and Understanding(記憶と理解)」が一番シンプルなスキルであり、一番上の「Evaluation(評価)」が一番複雑なスキルとなります。
各スキルレベルの説明は、以下を参照してください。
スキルレベルの説明
- 評価(Evaluation):問題を検討または評価し、そして判断力を働かせて結論を出すこと。
- 分析(Analysis):原因を特定し、推論を裏付ける証拠を見つけるために、別々の分野の相互関係を調査・研究すること。
- 応用(Application):知識・概念・技術を使用、あるいは実証すること。
- 記憶と理解(Remembering and Understanding):獲得した知識を利用して、ある分野の重要性を認識し、理解すること。
スキルレベルについて、他の科目と比較してみます。
ISCは、「記憶と理解(Remembering and Understanding)」が55%から65%と割合がかなり高く、覚えておけば解ける問題がかなり多い科目と言えるでしょう。
一方、「応用(Application)」のレベルの出題が20%から30%であり、さらに「分析(Analysis)」も10%から20%ですので、他の科目より高いスキルが求められない科目と言えるでしょう。
ISCでは、最も高いスキルが必要な「Evaluation(評価)」のレベルの出題はありません。
4.ISCの出題分野の詳細
ISCの出題分野の詳細について見ていきましょう。
前述のように、出題分野は以下の3つに分かれています。
ISCの出題分野
- 情報システム・データ管理:35–45%
- セキュリティ・機密保持・プライバシー:35–45%
- システム・SOC業務の留意点:15–25%
スキルレベルについては、分かりやすくするため、①から④で以下のように記載しました。
スキルレベルについて
- 評価(Evaluation):①
- 分析(Analysis):②
- 応用(Application):③
- 記憶と理解(Remembering and Understanding):④
一番上が高いスキルが必要で、下に行くにつれ、必要なスキルレベルが低下します。
(1)出題分野1「情報システム・データ管理」35–45%の詳細
出題分野1「情報システム・データ管理」について、出題内容とスキルレベルは以下の通りです。
出題分野1の「情報システム・データ管理」の出題内容とスキルレベル
- 情報システム(Information systems):②と③と④
- データ管理(Data management):②と③と④
必要なスキルレベルは、「分析(Analysis):②」、「応用(Application):③」、「記憶と理解(Remembering and Understanding):④」です。
「評価(Evaluation):①」はありませんが「分析(Analysis):②」レベルも求められ、TBS問題で問われることもあります。
➀情報システム(Information Systems)
このセクションでは、組織内で使われる情報システムの構成要素(OS、ネットワーク、サーバー、端末など)や、クラウドコンピューティングの形態、ERPシステム、会計情報システムの役割を学びます。
COSOフレームワークと情報システムのガバナンスとの関係についても問われます。
📌 ポイントまとめ
- オペレーティングシステムやネットワークなど、ITアーキテクチャの基礎を理解
- クラウドサービス(IaaS、PaaS、SaaS)と導入モデル(パブリック、プライベート、ハイブリッド)の違いを説明できる
- ERPと会計情報システムが企業活動にどう貢献しているか把握しておく
- COSOフレームワークがクラウドやブロックチェーンの統制にどう使われるかを理解する
➁データ管理(Data management)
ここでは、データのライフサイクル(作成→活用→保存→廃棄)を通して、いかに安全かつ有効にデータを扱うかを学びます。
データベースの正規化やスキーマ設計、SQLクエリの理解、業務プロセスのモデル化といった、実践的なスキルが求められます。
📌 ポイントまとめ
- データのライフサイクル(生成、利用、保存、破棄)を段階ごとに説明できる
- データベースの基本構造と、正規化や主キー・外部キーの意味を理解する
- SQLの基本命令(SELECT、JOIN、WHEREなど)が読める・内容を説明できる
- フローチャートやBPMN図を用いた業務プロセスの可視化ができる
(2)出題分野2「セキュリティ・機密保持・プライバシー」35–45%の詳細
出題分野2「セキュリティ・機密保持・プライバシー」について、出題内容とスキルレベルは以下の通りです。
出題分野2「セキュリティ・機密保持・プライバシー」の出題内容とスキルレベル
- 規制・基準・フレームワーク(Regulations, standards and frameworks):④
- セキュリティ(Security):②と③と④
- 機密性とプライシー(Confidentiality and privacy):②と③と④
- インシデント対応(Incident response):③と④
必要なスキルレベルは、「分析(Analysis):②」、「応用(Application):③」、「記憶と理解(Remembering and Understanding):④」です。
「応用(Application):③」と「記憶と理解(Remembering and Understanding):④」のレベルが多く、高いスキルが要求されるものは多くないです。
➀規制・基準・フレームワーク
このパートでは、セキュリティやプライバシーに関連する主要な法規・基準・フレームワークを理解します。
HIPAA、GDPR、PCI DSS、NIST、CIS、COBITなどの要点をおさえましょう。
📌ポイントまとめ
- HIPAAの対象範囲と使用・開示ルール
- GDPRの6原則と個人データの考え方
- PCI DSSの要件と目的
- NIST CSF / NIST Privacy Frameworkの構成要素
- CIS Controlsの概要
- COBIT 2019のガバナンス原則と構成
➁セキュリティ
このパートでは、組織が直面するサイバー脅威と、そのリスクへの対応方法を学びます。
脅威のタイプ、攻撃手法、リスク軽減策、セキュリティ教育まで広範です。
📌ポイントまとめ
- 脅威エージェントやサイバー攻撃の種類
- クラウドやIoT、モバイル利用に伴うサイバーリスク
- ゼロトラスト、最小権限、ディフェンス・イン・デプスなどの基本概念
- 認証方式(MFA、SSO、パスワード管理など)
- ITセキュリティ教育と評価手順
- SOC2®基準に基づく統制設計・運用の評価
③機密性とプライバシー
ここでは、個人情報や機密データの取り扱いに関する統制や保護手法を理解します。
暗号化やトークナイゼーション、DLPなどが含まれます。
📌 ポイントまとめ
- 機密性とプライバシーの違い
- 暗号化、難読化、トークナイゼーションの理解
- データ損失防止(DLP)の重要性
- データライフサイクルにおける管理手法
- SOC2®に基づく機密・プライバシー統制の設計評価
➃インシデント対応
インシデント(セキュリティ事故)発生時の対応について学びます。
インシデントレスポンスプラン、保険の活用、対応評価手順などを理解しましょう。
📌ポイントまとめ
- イベントとインシデントの違い
- インシデント対応計画(IRP)の構成要素
- 保険によるリスク軽減の考え方
- インシデント発生後の対応評価方法
(3)出題分野3「システム・SOC業務の留意点」15–25%の詳細
出題分野3「システム・SOC業務の留意点」について、出題内容とスキルレベルは以下の通りです。
出題分野3「システム・SOC業務の留意点」の出題内容とスキルレベル
- SOC業務の計画・実施に関する考慮事項(Considerations specific to planning and performing a SOC engagement):③と④
- SOC業務に関する報告書に関する考慮事項(Considerations specific to reporting on a SOC engagement):③と④
必要なスキルレベルは、「応用(Application):③」と「記憶と理解(Remembering and Understanding):④」のレベルで、高いスキルは要求されていません。
MC問題での出題がメインだと考えられます。
➀SOC業務の計画と実施に関する考慮事項
このパートでは、SOC業務を始める際に必要な準備や手続きについて学びます。
システムの理解、境界の特定、リスク評価、経営者からの表明取得など、監査的視点が求められる領域です。
特に、補完的統制(CUEC、CSOC)の扱いや、トラストサービス基準との整合性が重要になります。
📌 ポイントまとめ
- サービス組織のシステムとその境界を明確に理解する
- 管理者からの書面による表明(written representations)を取得
- CUEC(補完的ユーザー統制)とCSOC(補完的サブサービス統制)の考慮
- サブサービス組織への対応:インクルーシブ方式かカーブアウト方式か
- トラストサービス基準との対応関係を確認しながら統制を理解する
➁SOC業務の報告に関する考慮事項
このパートでは、SOC 1®やSOC 2®の報告書の構成や意見の種類、統制テストの結果のまとめ方など、実際に報告書を作成するうえで必要な知識を扱います。
後発事象の取扱いや、意見の修正(qualified opinion など)、報告書の利用者を意識した記述の工夫も重要です。
📌 ポイントまとめ
- 統制テスト結果の記述方法と、例外があった場合の対応
- 後発事象の影響をどう報告に反映するか
- 意見の種類:無限定意見、限定付き意見、意見差控えなど
- CUECやCSOCが報告書に与える影響を整理
- 報告書の形式と内容の適切さを判断できるようにしておく
5.ISCの主要用語の用語集
ISCのBlueprintに出てくる主要用語を紹介します。
(1)情報システムと統制(ISC)
公認会計士が情報システム、データ管理、SOCエンゲージメントに関して持つべき知識とスキルを評価する試験セクション。
(2)処理の完全性
システムが正確、完全、タイムリー、かつ承認された方法で情報を処理する能力。
(3)可用性
システム、コンポーネント、またはリソースが承認されたユーザーが運用およびアクセスできる状態にあること。
(4)セキュリティ
情報および情報システムを不正なアクセス、使用、開示、妨害、変更、破壊から保護すること。
(5)機密性
特定の個人またはグループのみが情報にアクセスできるという保証。
(6)プライバシー
個人の個人情報が収集、使用、保持、開示される方法に関する個人の権利。
(7)SOC(System and Organization Controls)エンゲージメント
サービス組織の統制に関する独立した評価。SOC 1®、SOC 2®、SOC 3®などがある。
(8)トラストサービス基準
SOC 2®エンゲージメントでサービス組織のシステムを評価するために使用される基準(セキュリティ、可用性、処理の完全性、機密性、プライバシー)。
(9)記述基準
SOC 2®エンゲージメントにおいて、サービス組織のシステムの記述の適切性を評価するための基準。
(10)クラウドコンピューティング
インターネットを介してコンピューティングサービス(サーバー、ストレージ、データベース、ネットワーク、ソフトウェアなど)を提供するモデル。
(11)IaaS(Infrastructure as a Service)
仮想マシン、ストレージ、ネットワークなどの基本的なコンピューティングインフラストラクチャを提供するクラウドサービスモデル。
(12)PaaS(Platform as a Service)
アプリケーションの開発、実行、管理に必要なプラットフォームとツールを提供するクラウドサービスモデル。
(13)SaaS(Software as a Service)
インターネット経由でソフトウェアアプリケーションをユーザーに提供するクラウドサービスモデル。
(14)ERP(Enterprise Resource Planning)
財務、製造、人事、サプライチェーンなどの主要なビジネスプロセスを統合管理するソフトウェアシステム。
(15)SQL(Structured Query Language)
データベースの管理と操作に使用されるプログラミング言語。
(16)データライフサイクル
データの作成、アクティブな使用、保存、最終的な破棄までの情報の使用期間。
(17)脅威モデル
資産、脆弱性、脅威、および攻撃の特定を含む、脅威の分析を構造化された方法で表現したもの。
(18)ゼロトラスト
ネットワーク内外のどのユーザーやデバイスも、アクセスを許可される前に検証されるべきであるというセキュリティモデル。
(19)データ損失防止(DLP)
機密情報が組織のネットワークから流出するのを防止または検知するための技術とプロセス。
(20)インシデント対応計画
セキュリティインシデントが発生した場合に、組織がそのインシデントに効果的に対応し、被害を最小限に抑えるための手順を定めた計画。
(21)補完的ユーザーエンティティ統制(CUEC)
サービス組織のシステムの統制が有効であるために、ユーザーエンティティが設計および運用する必要がある統制。
(22)補完的サブサービス組織統制(CSOC)
サービス組織が提供するサービスの一部をサブサービス組織が提供している場合、そのサブサービス組織の統制を補完するために必要な統制。
(23)ブルームのタキソノミー
学習目標を分類するための階層的な枠組みで、知識の習得から高次の思考スキルまでをカバーする。
6.ISCの理解度チェック!
最後に、ISCという科目がどのくらい理解できたか、チェックしてみましょう。
(1)ISC試験の「情報システムと統制」が評価する、情報システムの5つの主要な側面は何ですか。
ISC試験の「情報システムと統制」は、情報システムの処理の完全性、可用性、セキュリティ、機密性、プライバシーの知識とスキルを評価します。
これらの側面に関連する統制を分析し、リスクを軽減することを重視しています。
(2)ISC試験の3つの主要な内容領域は何ですか。また、それぞれの内容領域の試験におけるおおよその配分はどのくらいですか。
ISC試験の3つの主要な内容領域は、領域I:情報システムとデータ管理(35~45%)、領域II:セキュリティ、機密性、プライバシー(35~45%)、領域III:SOCエンゲージメントに関する考慮事項(15~25%)です。
これらの配分は、試験の重点領域を示しています。
(3)クラウドコンピューティングの3つの主要なサービスモデルを挙げ、それぞれについて簡単に説明してください。
クラウドコンピューティングの3つの主要なサービスモデルは、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)です。
IaaSは仮想マシンなどのインフラストクチャを提供し、PaaSは開発プラットフォームを提供し、SaaSは完成したアプリケーションをサービスとして提供します。
(4)情報システムの変更管理において、開発、ステージング、本番の3つの異なる環境の目的は何ですか。
情報システムの変更管理において、開発環境は新しいコードの作成とテスト、ステージング環境は本番展開前の最終的なテストとレビュー、本番環境はライブアプリケーションの実行に使用されます。
これらは、変更がシステムに与える潜在的な悪影響を軽減するために重要です。
(5)データの機密性を保護するために使用される2つの技術を挙げ、それぞれについて簡単に説明してください。
データの機密性を保護するために使用される技術には、データ難読化とトークン化があります。
データ難読化はデータを判読不能にする一方、トークン化は機密データを意味のない代替値(トークン)に置き換えて、実際のデータは安全な場所に保管します。
(6)ISC試験で評価される、ブルームのタキソノミーに基づく3つのスキルレベルは何ですか。それぞれのスキルレベルに期待される割合を記述してください。
ISC試験で評価されるブルームのタキソノミーに基づくスキルレベルは、記憶と理解(55~65%)、適用(20~30%)、分析(10~20%)です。
これらのスキルは、基礎知識の習得から、タスクの実行、設計の欠陥の検出までをカバーします。
(7)SOC 2®エンゲージメントにおいて、「トラストサービス基準」とは何ですか。また、その目的は何ですか。
SOC 2®エンゲージメントにおけるトラストサービス基準は、サービス組織のシステムがセキュリティ、可用性、処理の完全性、機密性、プライバシーのコミットメントとシステム要件を満たしているかを評価するための基準です。
これは、COSO統合型フレームワークと連携して、信頼できる報告を可能にします。
(8)サイバー攻撃の典型的な段階を4つ挙げてください。
サイバー攻撃の典型的な段階には、偵察、アクセス獲得、特権昇格、アクセス維持があります。
これらの段階は、攻撃者がシステムを侵害し、その存在を維持するための一般的な流れを示しています。
(9)SOC 1®レポートとSOC 2®レポートの主要な目的と対象利用者の違いを説明してください。
SOC 1®レポートは、ユーザーエンティティの財務報告に係る内部統制に関連するサービス組織の統制について報告し、主にユーザーエンティティの監査人を対象とします。
一方、SOC 2®レポートは、セキュリティ、可用性、処理の完全性、機密性、プライバシーに関連する統制について報告し、主にユーザーエンティティの経営者や規制機関を対象とします。
(10)COSOフレームワークは、ISC試験のどの領域で参照されることが多いですか。また、その文脈でどのように使用されますか。
COSOフレームワークは、ISC試験の領域I(情報システムとデータ管理)と領域II(セキュリティ、機密性、プライバシー)の両方で参照されます。
これは、クラウドコンピューティングのガバナンス評価、ブロックチェーンに関連するリスクと統制の評価、サイバーリスクと統制の評価などに使用されます。
以上、「ISCのBlueprint(ブループリント)を解説!2025年USCPA試験対応」でした。
2025年の変更点はISCは意外と多いね。
出題分野3「システム・SOC業務の留意点」は、出題の質・量ともに重くないね。
TBS問題での出題は、出題分野1と出題分野2からになるだろうね。
今回は、ISCのBlueprint についてザックリ解説したけど、余裕があったら、ぜひ自分でも読んでみてね。
USCPA試験については、どこの著書『USCPA(米国公認会計士)になりたいと思ったら読む本』も参考にしてくださいね。
USCPA短期合格のコツも記載しています。
まだUSCPAの勉強を始めていない場合は「USCPAの始めかた」も参考にしてください。
