
他の高度試験と比較して合格体験記が少ないことや、
自分が監査未経験の20代であること、また、完全独学で合格したことなどから、
私の体験が誰かにとって少しでも意味のある内容になればと思い、体験記を作成します。
システム監査技術者試験(AU)とは?📖
詳細についてはIPA公式の説明をご覧ください。
システム監査技術者試験 | 試験情報 | IPA 独立行政法人 情報処理推進機構
本試験の合格率は14 ~ 16%、合格者平均年齢は40代前半(他高度試験と比較して最年長)です。
また、論文試験百戦錬磨の猛者、かつ、監査未経験者の受験者がとても多いことが特徴です。
システム監査技術者 試験の特徴と難易度 | IT資格の歩き方
自身の受験時ステータス👶
- 監査未経験の20代
- IT業界の経験は2年未満
- 保有資格
- 応用情報処理技術者試験合格(2023/6)
- 情報処理安全確保支援士試験合格(2023/12)
- Burp Suite Certified Practitioner(2024/2)
ちなみに、論文試験は学生時代の「中小企業診断士」以来、5年ぶりの挑戦でした。
学習方法と学習時間📚
私は完全に独学でしたが、あまりオススメはできません。
(引越しなど家庭の事情による金欠が理由で、紙の印刷すらしていない...。)
学習のおおまかな流れ:
- 「情報処理教科書」と「システム監査基準」で前提知識を習得(5月後半 ~ 7月末)
- 「合格論文の書き方」で論文の基本を学ぶ(8月中)
- 過去問演習(午後I・午後II)(9月前半 ~ 試験直前)
- 論文ネタ作成(9月後半 ~ 試験直前)
総学習時間:
約290時間です。 午後IIに比重を置きました。
以下詳細です。
情報処理教科書 システム監査技術者 2023~2024年版 (EXAMPRESS) [ 落合 和雄 ] : 約100時間
(↑アフィリエイトリンク貼っといてアレですが、2025年版が発売されたら絶対そっちを買いましょう。)
学習の序盤から終盤まで使ったテキストです。
序盤では、「監査独特の表現」を把握することに努め、各章末付録の過去問解答は午前問題のみに留めました。
学習の順序としては、「情報処理教科書」を一通り読み終わったら、「合格論文の書き方」(後述)の第一部までを読み、その後、「情報処理教科書」付録の午後問題を解く、といった流れです。
余談ですが、応用情報や支援士の「情報処理教科書シリーズ」と比較して、AUの「情報処理教科書」は物理的に厚みがないです。
とはいえ、学習量が少なく済むわけではありません。実際には、読むべき資料が多岐にわたり、必要とされる前提知識の範囲も非常に広いです。
システム監査技術者合格論文の書き方・事例集第6版 情報処理技術者試験対策書 [ 岡山昌二 ] : 約90時間
(↑アフィリエイトリンクです。)
前述の情報処理教科書である程度前提知識を理解したら、この「合格論文の書き方」に着手しました。
まず、論文とは何なのか、そして、論文の"お作法"などを初心者にもわかりやすく解説しています。
読み始めて最初に驚いたのは、著者がさしあたって論文を書くことを推奨していないことでした。
(他のテキストやブログでは、「とりあえず論文書いてみよう」と推奨されていることがほとんどでした。)
論文の経験が少ない私には、論文を書き始める前に、この参考書で"お作法"を学んだことがとても良い選択だったなと思います。
論文に自信がない方は、まずはこの参考書の言う通りに学習することをオススメします。
余談ですが、この参考書は2020年出版です。
2024年12月現在で一応最新版なのですが、2023年8月末には"購入者特典"の有効期限が切れています。
それでもなお、論文の書き方の基本は過去から大きく変わっていないので、今でもとても有用な参考書だと思います。
ちなみに、私は収録されているサンプル論文について、著者が書いたもの以外はあまり読んでいません。
関連資料 : 約90時間
以下のブックマークしてある資料はすべて一通り目を通しました。
すべてのリンクを貼ると膨大になるので、検索していただければと思います。
(私は通勤時間中にスマホで関連資料を読んでいました。)
ただし、中でも重要だと感じた関連資料については後述します。

システム監査基準R5年版
序盤に読むべき資料ランキングNo.1 です。
監査人としての基本的な心構えやあり方を学ぶことができます。
システム監査用語の定義と解説
公開年は平成17年でとても古いですが、監査用語の定義が明確にされています。
言葉の意味を間違えて覚えて学習を進めると、取り返しがつかないことになりかねないため、序盤で用語の意味を整理しておくことをオススメします。
(自分も試験直前まで勘違いしていた用語がいくつかありました。)
⭐️システム管理基準R5年版
最も重要な資料なのではないでしょうか。
ただ、監査未経験が序盤に読んでもザックリしか理解できないと思います。
(私も内容が具体的にイメージできませんでした。)
序盤はざっと目を通すくらいにしたほうがいいと思います。
監査の前提知識が身につき、午後Iを解けるようになったら本基準を熟読しました。
なお、問題と「システム管理基準」の内容とを照らし合わせる勉強方法はとてもオススメです。
情報セキュリティ管理基準H28年版
AUの午後IIでは、かなりの頻度でサイバーセキュリティに関する問題が出題されます。
私は関連資料の中でこれを一番読み込みましたが、「システム管理基準」を同じくらいの時間をかけて読み込むべきだったと反省しています。
(午後II本番では、2問ともシステム管理基準からの出題であったため。)
その他
- 内部監査実務ハンドブック〈第3版〉 [ 有限責任監査法人トーマツ ]:約15時間
(↑アフィリエイトリンクです)
たまたま図書館にあったので読みました。「情報処理教科書」を読んでも具体的な実務のイメージがつかないところを補強する用に使いました。
監査系の本は高いので、お近くの図書館から借りる、もしくは、中古を入手するのも手段だと思います。
- 午前II過去問Webアプリ: 約4時間
情報処理試験おなじみの「過去問道場」がAUにはありません!
そのため、この過去問Webアプリを利用していました。
誤字や問題の内容に誤りが多数ありますが、十分な機能は備わっています。
ただ、私は、午前問題は午後問題が解けるレベルになっていると対策しなくても自然と解けるようになっていると思い、あえて対策していません。
(約4時間で9年分の過去問を解いて終わりです。)
独学で工夫したこと⚙️
午後IIの傾向を分析する
あたり前ですが、過去と同じ問題は出題されません。
ただし、本番で出題されるカテゴリ(範囲)はおおよそ予想がつくと思っています。
例えば、「情報処理教科書」の冒頭に、これまでの「出題テーマ」と「カテゴリ」の記載がありますが、2年連続同じカテゴリの出題は少ないように見受けられますので、分析をオススメします。
また、出題内容の"あたり"をつけるため、受験年の情報通信白書を読むことを非常に強くオススメします。
すべて目を通す必要はないですが、冒頭、総務大臣が"今年の大きな出来事"をザックリ述べているので、そこは最低限読みましょう。
ちなみに、令和6年度情報通信白書では、「AI」、「能登半島地震」が説明されており、同年の午後II 問1でも、「AI」、「大規模災害」についての記述がありました。
(令和5年度情報通信白書では「DX」が説明されていて、同年の午後II 問1でも「データ利活用基盤」に関する問題が出題されました)
そのため、ザックリした当たりをつけるにはとてもいい文書だと思います。
ノートを取る
いつでも参照できるように、お気に入りのアプリを使ってノートを取ることをお勧めします。
私はObsidianを使ってました。
AUはネスペ、支援士などと比べて対策情報が圧倒的に少ないです。
事実、Googleで"情報処理安全確保支援士"と検索すると約40万件ヒットしますが、
"システム監査技術者試験"と検索すると約6万件しかヒットしません(約1/7の情報量)。
そのため、自分でドキュメントを読み、ノートにわかりやすくまとめておくことが重要かと思います。

午後問題は手書きで解答する
工夫なのか?と疑問を持たれそうですが、あえて手書きにこだわりました。
私自信、アナログはあまり好きではないのですが、
- 字の汚さ
- 消しゴムをどれだけ使ったか
- 解答所要時間
がわかるため、手書きで回答しました。
理由として、本番は手書きであること、字の"ていねいさ"などの印象面も重要であること、などがあります。
ただ、論文を何本も書くのは疲れるので、終盤は論文の骨子を作成するだけに留めました。
書いた論文は、1日以上間隔をあけてから"素人のつもり"になって採点していました。
この試験は、経験がある人の方が沼にハマりやすいと聞いたことがあります。
(自分の"正解"を相手にとっても正解だと思い込んでしまう。)
私は素人だったので完全独学でもうまくいったかもしれないですが、"監査のプロ"の方は第三者に読んでもらうことをオススメします。

⭐️論文ネタを作成する
学習期間の終盤で論文ネタを固めていきました。
私の観測圏では、多くの教材が「良質な論文ネタの作成が午後IIの合格に直結する」と言っています。
具体的な内容は、(守秘義務違反など自分にも想定できない)問題が起きるかもしれないのでお見せできませんが、 大きく以下の構成で作成しました。
概要:情報システムの概要です。午後II 設問アで問われる内容です。幅広いテーマでも利用できるよう、カスタマイズしやすい内容にすることをお勧めします。
テーマ:例えば、セキュリティ、監査計画、ガバナンス、システムライフサイクル、外部委託などです。
留意点:先に挙げた情報システムの概要ならではの留意点を記載していました。例えば、組み込み型機器は製品の欠陥が物理的な被害を招くなどです。
リスク:先に挙げたテーマになるべく沿ったリスクを考えます。例えば、テーマがシステムライフサイクルの開発であるのに、運用面のリスクを書いてしまうとダメかなと思います。
コントロール:コントロールの詳しい定義は「情報処理教科書」をご覧ください(定義を間違えて覚えると非常に危険)。ここで簡単に説明すると、あるべき論と現状を照合することです。そのため、リスクに対してのあるべき対応を記載します。
監査テーマ:監査目的実現のために、どこに焦点をおき監査するかを表した、具体的な監査の主題です。例えば、監査目的が「当社情報システムは経営に役立っているかを確かめる」だとすると、監査テーマは「管理会計システムの安全性・有効性を確かめる」となります。監査目的・監査テーマは問題文中に記載していることがほとんどですが、勘違いするとOUTです。
監査手続:監査証拠を得るための具体的な監査技術です。ここでは、具体的なガイドライン、規格名を用意しておくことをオススメします。 本番では論文に自信がなかったのですが、「AI事業者ガイドライン」や「事業継続ガイドライン」といった具体的なガイドライン・規定名を論文に記載したことが、 A判定をもらえた要因かなと考えています。
専門家アピール:監査人として、監査手続を実施してもなお懸念されるリスクおよびそれに対する監査手続を記載します。
以上です。
特に、「情報システムの概要」については、1つの概要だけ用意しておく方法と、複数の概要を用意しておく方法がありますが、
私は複数(3つ)の「情報システムの概要」を用意しておきました。
(3つの概要 x 3つのテーマ = 計9つの論文ネタ。)
そのため、本番では全く予想していなかった「IT投資のガバナンスについて」出題されましたが、用意していた概要でなんとか対応できました。

試験本番の心構え❤️🔥
以下を大事にしていました。
- 題意を無視しない。問題文に記載の条件や重要な前提、例から逸脱しない。
- 設問に答えていることを、設問の単語を用いることでアピールする。
- 監査人は精神・身体的に独立している。あくまでも役割は検証・評価すること。主体的に改善することではない。
- 因果関係は誰にでもわかるように述べる。
- 諦めない。
以上です。
特に題意を無視しないことが重要です。IPA公式の「採点講評」でも散々言われていますが、題意を無視した論文は、どれだけ素晴らしくても落ちます。
「諦めない」は言うまでもないですが、大事だと思います。
(実際めちゃくちゃ諦めたくなります。)
私は午後IIで予定していた時間を大幅に超えて諦めかけましたが、字が汚くなりつつもなんとか論文を書き上げました。
(本番では試験終了90秒前に書き上げた。危なかった...。息つく暇もなかった...。)
午後II受験レベルまで来ている人は、諦めないで字数を埋めるだけでも合格率が上がると勝手に思っています。
おわりに(感想)🏁
試験当日は会場の空席の少なさに驚きました。
ベテランの風格漂う方々が腕組んで座っていました(気のせいかもしれません)。
実際とてもピリピリしていましたが、試験結果を見ると、私の会場では全体の10%も合格していなかったため、とても難関な資格であることを再認識しました。
勉強中も"楽しい"より"苦しい"が勝りました。なぜなら、範囲が広すぎることや、明確な正解がないことから、「できるようになった!」という実感が全く得られなかったからです。
しかし、業務の"あるべき論"だけでなく、言葉の意味の重要性や、客観的に物事を見るスキルが身につくいい試験でした。
タフな試験でしたが、一発合格できたのは運もあったと思います。諦めずに勉強してこれたのは家族の支えあってこそです。
以上、長くなりましたが、最後まで読んでくださってありがとうございました!