情報システムの番人――IT監査人になる：ITエンジニアの新しいキャリアパスを追う（2）（2/3 ページ）

CISA

　まず全世界で7万5000人以上の取得者がいるCISAから見ていきましょう。CISAの試験は、米国の国際的なIT監査やIT内部統制（総称して「ITガバナンス」と呼んでいます）の専門家団体、情報システムコントロール協会（The Information System Audit and Control Association）という非営利組織によって運営されています。

　この試験で付与される認定資格の正式名称は「Certified Information Systems Auditor」といい、日本語では公認情報システム監査人と呼びます。ITガバナンスやIT統制の専門知識やスキルを問う資格です。

　CISAの試験範囲は、6つの知識領域（ドメイン）に明確に分けられています。つまり、ITガバナンスやIT統制の専門家として習得すべき知識、考えるべきポイントはこのくらい広範に及ぶともいえます。それぞれを見ていきましょう。

●情報システムの監査のプロセス（試験の10％程度、約20問）

　 システム監査を遂行するうえで必要となる基準、概念、方法や手続き、心構えを十分に理解していることが求められます。監査といってもやみくもに企業のIT環境をチェックするのでなく、事実ベースで客観的に進めていくことの理解が問われます。

●ITガバナンス（試験の15％程度、約30問）

　 ITが経営目標を実現するツールとして、正しく計画、実行、運用され、適切な見直しと改善が行われているか、また想定するリスクに対して適切かつ効果的な対応を実施しているかなどが問われます。CISAの認定を受けた専門家が必要とされる主分野といっていいでしょう。

●システムとインフラストラクチャーのライフサイクル管理（試験の16％程度、約32問）

　 サーバやネットワークといったITインフラストラクチャ、またアプリケーションの導入プロジェクトや開発手法、運用、保守など、ITシステム全般の知識が問われます。特にプロジェクト管理やIT統制の重要な要素であるアプリケーションコントロール（業務統制）についても問われます。

●ITサービスの提供と支援（試験の14％程度、約28問）

　 主に運用全般に関する知識が問われます。特にサービスレベルを維持するために不可欠な、ハードウェアやネットワークといったITインフラストラクチャの知識や運用上注意すべきポイントが問われます。

●情報資産の保護（試験の31％程度、約62問）

　 いわゆる情報セキュリティの分野といっていいでしょう。ITシステム内の情報資産に対して、どのように不要なアクセスを排除し、適切にアクセス制御をするか、またネットワークやサーバでのセキュリティ対策のポイントに関する知識が問われます。

●業務の継続と災害復旧（試験の14％程度、約28問）

　 ビジネスをITに依存している現在の多くの企業は、地震や火事のような災害で万が一IT機器がダメージを受けた場合、即業務が停止してしまうでしょう。顧客に不便をかけたり、最悪の場合その企業自体が倒産することもあります。それを防ぐためにどのような方針を立てるべきか。ITシステムをどのような構成にすべきかなど、注意すべきポイントが問われます。

　余談ですが、日本での「J-SOX」導入で、企業の内部統制にかかわる人が増えたため、昨今CISA試験の受験者数は急増しているとのことです。

CISSP

　次に全世界で5万7000人以上の取得者がいるCISSPについて説明します。CISSPは「Certified Information System Security Professional」の略で、日本語訳は、公認情報システムセキュリティプロフェッショナルとすることが多いようです。こちらもCISA同様、米国の国際的な非営利団体「（ISC）2：International Information Systems Security Certification Consortium」（「アイエスシー・スクエア」と読みます）」が運営しています。先日（2008年6月）日本国内の取得者がもう少しで1000人を超えるとの告知があり、少しずつ日本国内でも知名度や認知度が上がってきつつあるといえるでしょう。

　ITガバナンス全般に及ぶCISAと少し異なり、情報セキュリティ、別のいい方をすれば情報リスク管理に試験範囲を特化しているのがこの資格の特徴です。筆者が受験した際の感触ですが、設問のスタイルや考え方はCISAと似ていますが、内容がセキュリティに特化しているだけにITセキュリティの知識や防御技術、暗号などについてはCISAより深く踏み込んだ内容が出されています。これはすなわち、ネットワークエンジニアやサーバエンジニアのようにセキュリティ技術に触れる機会の多いITエンジニアにとっては、一通り技術を習得した次のステップとして狙いやすい資格だといえます。

　CISSPの試験範囲として、情報セキュリティの専門家として必要な10の知識領域（ドメイン）が定義されています。

●情報セキュリティとリスクマネジメント

　 情報セキュリティポリシーや関連するルールの策定、実施方法、また情報セキュリティマネジメントを実行するうえで有効なリスク管理の手法が問われます。

●セキュリティアーキテクチャと設計

　 企業組織におけるネットワークインフラストラクチャの設計や監視、セキュリティを確保するための概念、原則、構造、規格・標準について出題されます。ここでいうインフラストラクチャとは、ハードウェア、ソフトウェアはもちろん、組織内のルールや仕組み、意識向上や教育も含まれます。また過去および現在の国際的なセキュリティ標準や規格の種類、内容についても問われます。

●アクセス制御

　 情報資産を適切に保護・管理するためのアクセス制御の原則・基本概念や、脅威の特定、アクセス制御の種類および分類、アクセス制御技術とモデル、監視システム、監査方法などが出題されます。

●アプリケーションセキュリティ

　 ソフトウェアアプリケーションにおける重要なセキュリティ概念が出題されます。またアプリケーションレベルの脅威についても問われます。

●運用セキュリティ

　 ネットワークや記憶装置、ハードウェアや記録媒体にある情報資産を保護するために、これらのリソースにアクセス権を持つオペレーターや管理者などを管理する方法について問われます。運用上の違反行為の特定、検出方法、対処策についても扱います。

●暗号学

　 暗号化の原則、手段、方式について学びます。暗号技術の歴史から、さまざまな暗号方式・アルゴリズムの原則・特徴、公開鍵・共通鍵のアルゴリズム、PKI、システム上の暗号化アーキテクチャ、暗号への脅威などが詳細に出題されます。

●通信とネットワークのセキュリティ

　 ネットワーク構造や伝送（トランスミッション）方式、伝送（トランスポート）形式、可用性・完全性・機密性を提供するために使用されるセキュリティ手段、専用通信網・公衆通信網・メディア上の通信の認証技術、ネットワーク上の脅威およびその防護策が問われます。

●物理（環境）セキュリティ

　 物理セキュリティとは、具体的には施設への不正侵入をどう防ぐかということです。外部周辺エリアから内部のデータセンターやサーバルームを含むオフィスエリアにおけるすべての情報資産や、施設全体に対する物理的な保護技術について問われます。

●事業継続と災害復旧の計画

　 正常な事業運営機能が停止した場合の業務の維持と復旧方法が出題されます。非常時でも重要なプロセスを止めずに業務を遂行するには、事前にどう計画するのか。その計画内容をどのようにテストし、維持・更新していくのかを扱います。

●法、規則、コンプライアンス、捜査

　 法、規則、コンプライアンス、捜査について出題されます。コンピュータ犯罪に適用される法律と法的問題、コンピュータ犯罪の調査に使用される法科学犯罪捜査（フォレンジック）の手法や考え方が出題されます。ただし、法律の詳細は国によって異なるので、具体的な法令の内容というより、ある程度普遍的で共通した考え方が中心となります。

　なお上位資格として、日本国内の行政や文化、慣習に特化した「CISSP−行政情報セキュリティ」や、セキュリティエンジニア向けの「ISSEP」（Information Systems Security Engineering Professional）、セキュリティアーキテクト向けの「ISSAP」（Information Systems Security Architecture Professional）、セキュリティ管理者向けの「ISSMP」（Information Systems Security Management Professional）といったバリエーションが用意されています。

　上記2資格の試験勉強の仕方としては、それぞれの団体から出されているテキストブックや問題集を購入して自習したり、また団体主催の有料セミナーを受講することが挙げられます。また最近では、海外の資格に強い専門学校や各種学校でも、CISA取得のためのセミナーが開催されています。ある程度ITガバナンスの経験があって考え方やセオリーが分かっていれば、問題集を集中的に何度も解き、足りない知識や苦手な分野を繰り返し学習することで試験に対応ができると思います。