USCPAのISC科目とは？簡単？試験範囲や勉強時間・対策方法まで解説

USCPAのISCとは？

USCPA試験におけるISC（Information Systems and Controls）とは、「情報システムおよび統制」を扱う選択科目のことです。主に、技術より監査観点からの出題が中心で、以下の例のような情報システムと内部統制の専門知識を評価します。

• 処理の完全性・可用性
• セキュリティ・機密保持
• プライバシーを含む情報システム
• データの収集・保存・使用

これまで、内部統制・IT統制・SOC報告などはAUDに内包していました。新設となったISCはAUD（監査）科目の延長としての位置づけとなり、データ管理、データの収集、保存、データライフサイクル全体でよりテクノロジーに精通したCPA像を形成するのが主な目的です。

参照：Learn what to study for the CPA Exam｜AICPA & CIMA

BARとISCの違い

USCPA試験のBARは経営判断を支援する分析力を問い、ISCはデジタル環境での内部統制の設計・評価能力を問う科目という違いがあります。

BAR（Business Analysis and Reporting：ビジネス分析および報告）は、「経営分析やビジネス保証を提供する実務科目」を評価する選択科目です。主な内容は、財務諸表や財務情報などのビジネス分析、技術的な会計と報告、州および地方自治体に適用する財務会計と報告についてなどです。

一方、ISCは「ITシステムの仕組みを理解して統制を評価する基盤科目」です。情報システムやデータ管理に特化した技術的理解を評価し、将来のキャリアの方向性により選択が分かれます。

TCPとISCの違い

USCPA試験のTCPは「税務の専門判断と助言を行う科目」、ISCは「情報システムの仕組みを理解して守る科目」と整理でき、実務の守備範囲もスキルの種類にも違いがあります。

TCP（Tax Compliance and Planning：税法遵守および税務計画）は、税務申告・計画・財産取引に関する高度な実務スキルを扱う税務の選択科目です。TCPは税法の解釈と適用に重点を置いており、例えば税務コンサルティング分野といった分野で役立ちます。

一方、ISCは情報システムやリスク管理に関する技術的・構造的理解を評価する科目です。主に、IT監査やシステム監査などの領域が対象ですので、BARと同様に目指すキャリアの方向性を加味して選んでください。

USCPAのISCは簡単な科目？

USCPAのISCは、「IT用語を覚える試験」と誤解されやすいですが、簡単な科目ではありません。実際には状況判断力と応用力を重視する科目で、表面的な暗記だけでは合格は困難です。

確かに用語やフレームワークは出題の対象となっている一方で、以下のような思考力を問う問題も含みます。

• この状況でもっとも適切な統制は？
• このSOCレポートの目的は何か？
• このコントロールの欠陥が引き起こす影響は？

スキルレベルは、Remembering and Understanding（55〜65%）、Application（20〜30%）、Analysis（10〜20%）の配分です。Application, Analysisの範囲である約30〜50%が知識より判断力を問いますので、体系的な理解と実践的な応用力の両方が必要です。

USCPAのISCの出題分野

USCPAのISC試験は、以下に挙げた3つの「試験範囲（Area）」が出題分野です。従来の「会計＋内部統制」の視点に加え、IT環境下におけるリスクと統制の理解を専門的に問う構成となっています。

【Area I】情報システムとデータ管理

ISCのArea Iでは、情報システムの構造、業務プロセスのIT統合、システム開発ライフサイクル（SDLC）、ならびにデータの品質・信頼性・ガバナンスに関する知識を問います。CPAが業務で関与する情報システムを理解し、財務報告の基盤として評価できる力が求められます。

【出題範囲の例】

• クラウドサービス（IaaS・PaaS・SaaS）の特徴と統制
• ERPシステムの構成とビジネスプロセス統合
• データベース正規化とSQLの基礎

【Area II】セキュリティ・機密性・プライバシー

ISCのArea IIでは、情報資産を保護するための内部統制、アクセス管理、サイバーセキュリティ対策、プライバシー遵守などの知識を評価します。内部統制報告や監査リスクの評価において、システムリスクの認識と対応を行う基礎力を要する分野です。

【出題範囲の例】

• 多要素認証とアクセス制御の設計
• サイバー攻撃の種類と対策手法
• 個人情報保護とプライバシー規制

【Area III】SOC監査業務

ISCのArea IIIは、SOC報告の種類、構成、適用、および監査人としての実務への応用に関する実務的理解と判断力を評価します。CPAがSOCレポートをどのように利用するかの理解が中心で、第三者保証や内部統制の改善提案を行う場面で求められる力を問う分野です。

【出題範囲の例】

• SOC 1とSOC 2報告書の違いと適用場面
• サービス組織統制の評価手法
• 補完的ユーザーエンティティ統制（CUEC）の概念

USCPAのISCで求められるスキルレベル

USCPAのISCで求められるスキルレベルは、ブルームの教育目標分類法（Bloom's Taxonomy）をスキルレベルの基準として使用しており、以下の3つのレベルで評価します。

Remembering and Understanding（知識と理解）

ISCのRemembering and Understanding（知識と理解）は、用語、概念、プロセスを正しく記憶し、意味を理解して説明できる力です。暗記だけでなく「仕組みや背景をいえる」状態が求められます。

スキルを磨くには、COSO（内部統制フレームワーク）、COBIT（ITガバナンスフレームワーク）などのフレームワークを「意味」で覚えなければなりません。「定義→実務への適用」までを自らの言葉で説明できるようにし、図やフローでプロセスを把握して丸暗記を避けるのが基本です。

Application（応用）

ISCのApplication（応用）は、覚えた知識を実務に即した場面に適用する力です。リスクに対して適切な統制を選ぶ、セキュリティ手法を判断するなどの能力を問います。

応用のスキルでは、「リスク→対応統制」「課題→使う技術」など、因果関係を明確にする思考パターンの習得を求められます。実際の業務シナリオを想定した練習を重ね、「なぜその統制が有効なのか」という論理的な理解にもとづいて判断できる状態を目指してください。

Analysis（分析）

ISCのAnalysis（分析）は、複数の選択肢を比較し、もっとも適切な判断を確たる根拠で選ぶ力です。情報の評価・優先順位付け・根本原因の特定が求められます。

求められるスキルのレベルは、「どれも正しそう」な選択肢の中で"最適な一手"を選ぶ高度な判断力です。分析問題では時間がかかるため、TBS（Task-Based Simulation：総合問題）での練習が必須となります。

USCPAのISCの合格率・難易度

USCPA試験のISCの合格率は、2024〜2025年の水準で約57〜61%です。2025年第1四半期の累計合格率では、ISCは61.23%と比較的高い水準を示しており、TCP（74.94%）に次いで高い数値となっています。

ただし、合格率が高いといっても難易度が低いとはいえません。USCPAの科目は「正解数＋難易度」のスケール度スコアで、合格ラインである75点を超えた受験者数の割合を合格率として公開しています。

つまり、合格率が高いというのは「合格ラインを超えた人が全体の何%」いたかの割合です。選んだ科目は得意な人が集まれば自然に合格率は高くなりますので、単純に数値だけで判断しては痛い目に合います。

参照：Learn more about CPA Exam scoring and pass rates｜AICPA & CIMA

USCPAのISC合格に必要な勉強時間の目安

USCPA試験におけるISC科目の合格に必要な勉強時間の目安は、210〜270時間程度です。以下に挙げたほかの必須科目と比較するとやや短時間ですが、個人の背景知識により変動します。

• FAR：300〜350時間
• AUD：250〜300時間
• REG：250〜300時間

主に、システム監査やIT統制に関する実務経験がある方は、既存の知識を活用してより短期間での合格を目指せる科目です。勉強時間について詳しくは、下記ページもぜひご覧ください。

USCPAのISC合格を目指す4つの対策方法

USCPAのISC対策は、主に以下の4つの方法が挙げられます。

• フレームワーク・用語の「意味理解」に徹する
• リスク・統制の「因果ペア」を訓練する
• TBS問題で判断力を鍛える
• 知識を「文脈の中で使う」訓練をする

フレームワーク・用語の「意味理解」に徹する

ISCでも約55〜65%を占めるRemembering & Understandingの対策では、COSO、COBIT、NISTなどのフレームワークを「丸暗記」ではなく、"なぜそう設計しているか"の理解を重視してください。例えば、「統制環境」が弱いとなぜほかの統制も機能しないのかを論理的に考えるといった具合です。

「統制環境？」「情報と伝達？」と思うかもしれませんが、"なぜこういう項目があるんだろう"と考えながら読むと、記憶に定着しやすくなります。各フレームワークの背景にある考え方を理解できれば、応用問題にも対応できる基礎力を築けます。

リスク・統制の「因果ペア」を訓練する

Application対策としての柱ともなるのが、リスク・統制の「因果ペア」の訓練です。ISCの中心は「このリスクにはどの統制が有効か」を選ぶ場面対応力の養成です。代表的なタスクを見ながら、"リスク→統制"のセットで覚えると実践でも有利になります。

• 「パスワード共有」→「IDベース認証＋ログ監視」
• 「システム開発変更時のリスク」→「変更管理統制＋テストレビュー」

「このリスクにどの統制を当てるか」という問題は、繰り返し出題する傾向にあります。逆にいえば、「リスク→統制の組み合わせ」を自分で作って、身体にしみ込ませると得点力が高まるのです。

TBS問題で判断力を鍛える

続けて、ISCのAnalysisスキルの実践練習として、実務で起こるITトラブル、SOCレポート分析、統制不備対応のシナリオを読み、どこが問題で何を優先すべきかを判断する力を鍛えます。選択肢を選んで終わりではなく、「なぜそれをしたのか」を説明できるようにしてください。

TBS（シナリオ問題）では、1つの情報から推測して判断する力を問うため、「Aではない理由はいえる」という状態を目指します。複雑な状況を整理し、対応を選ぶ訓練を重ねれば実際の試験での対応力を向上できます。

知識を「文脈の中で使う」訓練をする

USCPA試験のISCでは「どれも正しそう」な選択肢から"もっとも適切なもの"を選ばなければなりません。状況に応じて答えられるように、模試では「なぜそれを選んだか」を一問ごとに自らの言葉で説明する訓練を組み込んでください。

自らの言葉で説明するのは、出題者が「同じ内容を聞いているようで、違う『場面』で聞いてくる」ひっかけへの対応力となるからです。単純にアクセス制御を問うとき、

• クラウドの事例にするか
• ERPにするか
• 外注ベンダーにするか

で問う視点が変わります。SOCレポートの話でも、読者の立場がユーザーかサービス組織かで問う視点が変わります。知識よりも、"切り口"を増やす柔軟性を身につけてください。

USCPAのISCはシステム監査（IT監査）におすすめの科目

USCPAのISC科目は、システム監査やIT監査分野でのキャリア形成を目指す方にとって、実務直結の専門知識を体系的に学べる理想的な科目です。現代の企業で重要性が高まっているデジタルリスク管理や情報セキュリティ統制の分野で直接活用できます。

特に、日本企業でもDX（デジタルトランスフォーメーション）の推進に伴い、IT統制やサイバーセキュリティ対策の専門家に対する需要が急速に高まっています。ISC合格者は技術と会計の両面に精通した希少な人材として重宝するのです。より詳しくは、以下のページもご覧ください。

USCPAは科目合格でも就職・転職できる

USCPAは科目別に合否を判定する仕組みであり、一度の試験ですべてに合格する必要はありません。科目合格でも、その分野の専門知識があると評価され、転職時に有利な強みとなります。

ISC科目の場合であれば、IT監査や情報セキュリティの分野では、科目合格だけでも十分な専門性の証明となります。外資系法人や海外拠点をもつ企業への経営コンサルティング、金融機関でのシステムリスク管理、監査法人でのIT監査業務など、さまざまな分野でISCの知識を活用できるのです。

全科目合格を待たずに、ISC合格を機にキャリアステップを踏むのも戦略的な選択肢の1つとなります。より詳しくは、以下のページにまとめているのでぜひご覧ください。

まとめ

USCPAのISC科目は、情報システムと統制を学ぶ選択科目として、現代のビジネス環境で重要性が高まっているIT統制、データガバナンス、サイバーセキュリティの専門知識を問います。精通した人材であれば高い合格率を誇りますが、表面的な知識だけでは対応できない実践的な判断力は必須です。

このISC科目に向いているのは、システム監査やIT監査分野でのキャリア形成を目指す方となります。また、科目合格だけであっても強みとなるため、今後の実務経験を見越して働きながら取得するといった方法もぜひご検討ください。

マイナビ会計士では、USCPAの資格合格からのキャリア相談や、将来のキャリアプランの設計まで、夢の実現をお手伝いいたします。転職相談のお申し込みは、マイナビ会計士の公式サイトから簡単にお手続きいただけますので、ぜひキャリアアドバイザーにご相談ください。