情報システムの番人――IT監査人になるITエンジニアの新しいキャリアパスを追う(2)(1/3 ページ)

» 2008年06月24日 00時00分 公開
[渡辺知樹ランディングポイントジャパン]

いま、ITエンジニアに新たな活躍の場が広がっている。リスクコンサルタントやシステム監査人、情報セキュリティ担当といった職種だ。これらの職種に就くには、内部統制や監査の知識だけでなく、ITエンジニアの経験が大いに役立つ。本連載では、こうした職種が求められるようになった時代背景や、仕事内容、代表的なキャリアパス、すぐに取り組める勉強法と関連資格を紹介する。


 前回(「エンジニアの新たな舞台、ITリスク管理・システム監査」)は、ITエンジニアのキャリアが、ITに関する内部統制の仕事へ生かせることを説明しました。今回は、リスクコンサルタントやシステム監査人、情報セキュリティ担当として、現場の最前線でやっていくために必要なことを紹介します。

筆者が体験から語る、CISA/CISSP取得のメリット

 ITガバナンスやリスク管理、情報制セキュリティに関する包括的な知識が身に付けられ、なおかつキャリアアップに役立つ国際的な資格として、CISA(公認情報システム監査人)とCISSP(公認情報システムセキュリティプロフェッショナル)という資格があります。いずれも米国の非営利団体が運営する専門資格で、国際的に通用するものです。

 外資系企業や大手コンサルティングファーム、監査法人、金融機関で、監査やセキュリティ、リスク管理といった内部統制の仕事を得るには、これらの資格を保持していることが必須条件であることが多く、保持しているとキャリアアップに大変有利に作用します。いずれの企業も国内の普通の企業よりは高給が得られるチャンスが多いのが実情です。また、コンサルタントや監査人という職種は社会的なステータスの高い仕事でもあります(もちろん、それに見合うスキルや知識、見識が必要となりますが)。

 筆者自身、これらの資格取得のための勉強が、開発、運用、インフラ、IT経営やIT戦略といった、エンタープライズITに関する基礎的な技術知識やITガバナンスに関する全般的な知識にはもちろん、システム監査、事業継続計画、関連法規とコンプライアンス、社員の意識向上や教育といった、いわば企業の「ディフェンス」に当たる部分の知識や考え方を幅広く包括的に学ぶことに大いに役立ち、結果的に自分の仕事の幅や深さを広げることができたことも強調しておきたいと思います。

CISA、CISSPの特徴、国内資格との違いとは?

 CISA、CISSPを見る前に、まず私たちにとってなじみのある国内の代表的な資格を見てみましょう。情報処理推進機構(IPA)が主催する情報処理技術者試験の中に、情報セキュリティ管理者向けの「情報セキュリティアドミニストレータ」が、またシステム監査として「システム監査技術者」があります。

 私見ですが、試験の趣旨や内容、難易度を見る限り、いずれもCISAやCISSPと大きな差はないように思われます。実際にコンサルタントやIT監査人の名刺を見ると、CISAとシステム監査技術者の両方を取得している人をよく見掛けます。いずれも難易度が高い4〜6時間の長時間の試験である点は同じです。余談ですが、CISAやCISSPは休憩がない代わりに、途中のトイレ退出や飲み物などの持ち込みが認められています。

 国内資格とCISAやCISSPの試験との目に見える大きな違いは、論述問題の有無といえます。情報セキュリティアドミニストレータとシステム監査技術者は午前と午後前半、後半の3部に分かれており、それぞれ4択、記述、論述(小論文)となっています。セキュリティや監査の概念や考え方を論旨に含めたうえで作文する必要があり、論旨や制限文字数に対応した構成の仕方など、事前の準備や練習が必要でしょう。CISAやCISSPは、判断に困るような紛らわしい4択問題をそれぞれ200問と250問、ひたすら解くだけです。

 論述がないという点での受けやすさ、また日本以外の国では知名度の低い情報処理推進機構の資格に比べ、国際的な知名度の高さもCISAやCISSPの強みといえます。ただし5100円(税込み)で受けられる情報処理推進機構の試験と異なり、諸条件によって変わるものの3万〜7万円近くかかる試験料はベンダ資格よりも高く、個人が気軽に受けられるものではありません。会社の支援を受ける場合も含め、よほど十分に準備して一発で合格する気構えが不可欠となります。

 また、1回取得すればどんなに技術が進歩しようがどれほどITを取り巻く環境や条件、技術が変わっても一生有効な国内資格と異なり、この手の国際資格は継続的な学習や活動を通じて所定のポイントを稼ぎ、そのうえで(自動車免許のように)資格の更新を定期的に行うところに特徴があります。継続的な努力で、専門家としてのスキルや知識を磨き続けることが“プロフェッショナルの条件”という理念なのです。

 ユニークなのは、CISAにはこの資格を取得した監査人や企業のITガバナンス担当者で構成される同業者団体が、またCISSPでも同様のセキュリティ専門家の団体があります。それらの団体は、研修会や勉強会を開いて情報交換や親睦の場を設けたり、会員同士での仕事の紹介があったりと活発に活動しています。企業のディフェンスの専門家としての資格取得者の活動を支援する手厚いコミュニティが確立されているのです。

 次のページで、CISAとCISSPそれぞれの資格試験の概要、出題範囲、問題数、試験時間、受験料などの詳細を説明します。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。