セキュリティ監査人とは、企業・組織内におけるセキュリティ内部監査の際に平等かつ正しいプロセスを定める役割をさします。

マルウェアや不正アクセスなどセキュリティ上の脅威が増し、情報漏洩などの事故が増々大きな問題になっている現代の情報社会では、それぞれの企業毎に情報セキュリティ対策を講じているところが増えています。しかし、適切なセキュリティ対策を行えているかどうか。現状把握と問題点の分析が不可欠です。また、実際の運用でも定期的な確認が必須です。

この様な時に、企業の情報セキュリティマネジメントに対する評価を通じて、「保証」や「助言」を行う事が主たる目的となるのが「情報セキュリティ監査人」です。

今回は、これらを行う上で大切なセキュリティ監査を行う「セキュリティ監査人」という仕事について見ていきましょう。

セキュリティ監査人とは?

急増するセキュリティ上の脅威に対して、企業などの「当該組織体が現時点において適切な情報セキュリティ対策を講じているかどうかといった点に加え、環境変化に応じた適切な対策が取られているか」監査するのが情報セキュリティ監査人の仕事です。

情報セキュリティ監査人は、「特定非営利活動法人日本セキュリティ監査協会(JASA)」によって認定される監査人が、企業などの組織が適切なセキュリティ対策を行なっているかどうかを監査するもので、それらの監査を実際に対象企業に出向いて行うのが情報セキュリティ監査人です。

企業側が行う情報セキュリティ対策を企業自身で評価することは、対策の独立性や安全性を十分に保証する事が難しのが現状です。また、情報システムへの不正侵入・機密情報/個人情報の外部漏洩・企業データの改ざん/データの破壊等のサイバー攻撃等の情報セキュリティマネジメントに対して、「企業側の人材」だけで完全に対策する事は容易ではありません。

その為、「特定非営利活動法人日本セキュリティ監査協会」という独立した存在が認定している情報セキュリティ監査人による外部評価を通じて、企業の情報セキュリティマネジメントが適切であるかを評価する必要性が生まれています。

サイト特定非営利活動法人 日本セキュリティ監査協会

セキュリティ監査人の仕事内容

企業などが適切なセキュリティ対策を講じているかを監査するのが、情報セキュリティ監査人の仕事ですが、具体的にはどういったことをしているのでしょうか。

  • 情報システムが正しいセキュリティ対策に基づいて運用されているか監査する
  • 情報システムの資産が正しく管理されているかどうかを監査する
  • 情報システムのみならず関連する資産や要素が正しくマネジメントされているか監査する

これらを監査した上で、適切な評価・助言を行うのがセキュリティ監査人の仕事です。

情報セキュリティ監査人の「評価」で企業が得られるものとは?

情報セキュリティ監査人による企業の情報セキュリティマネジメントに対する評価を通じて、企業側が得られる主な利益は、情報セキュリティ監査人を起点とした日本情報セキュリティ監査委員会から、有効的な情報セキュリティ対策を行えている「保証」を得られる事にあります。それは万が一の事態に陥った場合の「訴訟リスクを軽減する」点にあります。

例えば、訴訟が生じた場合は、インシデント(事故などの危難が発生するおそれのある事態)が「一般人の能力に基づく行為としての水準」なのかどうかが判断基準となります。

そのため、情報セキュリティ監査人の保証した「情報セキュリティマネジメント」を通じた情報に基づいて裁判が行われますので、このような情報セキュリティマネジメントを行っている事がすぐさま訴訟リスクの大幅な軽減となりうるわけではありませんが、事前に情報セキュリティに対する対策を行っていた点から裁判におけるリスクの軽減を行える事は明確です。

セキュリティ監査人の年収

高度なセキュリティ対策を行う組織にとって、なくてはならない人材であるセキュリティ監査人ですが、彼らの収入はどれくらいなのでしょうか。ちなみに米国では、CISA (公認情報システム監査人)の資格取得者の平均年収は約1200万円と言われています。

日本ではそこまで高くないケースも多いですが、大手の求人サイトを見ていると案件によっては1000万円程度となるケースもあり、IT人材としては比較的高い収入が得られることがわかります。

参考派遣の仕事紹介

セキュリティ監査人の需要と今後の活躍の場

現在の需要

企業などが行うセキュリティ対策について、第三者が評価を行うこと自体はそれほど古いものではありません。

しかし、特に最近のサイバーセキュリティの意識の高まりとともに需要は急激に伸びています。JASAのサイトではセキュリティ監査人の登録者名簿が公開されていますが、近年登録が順調に伸びている傾向があります。また、大手の求人サイトなどでもセキュリティ監査に関する求人が多く見られます。

これらは、とりもなおさず情報セキュリティの監査に関わる人材の高い需要を示すものです。IT業界では、AIやIoTなど今後も新たな分野への展開が進むことは確実で、その中でセキュリティの重要性がさらに高まることは言うまでもありません。当然ながら、セキュリティ監査人のニーズは、今後とも高い状態のまま推移するでしょう。

今後の活躍の場は?

地球上のあらゆるモノがインターネットと接続し続けていく事が予想される以上、それらに接続される情報システムの安全性を保証する役割を果たす情報セキュリティ監査人の価値は増大し続ける事が考えられます。特に、大規模なWebサービスを運用・保守している企業や大量の個人情報を保有している企業においても、それらの情報資産の安全性を確保する事は急務です。

今後Iot化が進むにつれてインターネットが私たちの生活の中に当たり前のように存在するようになると、それを介したサイバー攻撃も更に脅威になっていきます。それ故に企業それ自体が情報セキュリティマネジメントを通じて情報資産の安全性を確保し続ける事は今後当たり前の企業活動となり、さらには情報セキュリティ監査人を通じた自社の情報資産の安全の「保証」は、万が一外部から悪意あるサイバー攻撃を受けた時に自社が安全対策をしていた事を社会に対して言明する事も可能となります。

情報資産からの機密情報の流出や企業データの改ざん等は生じない事に越した事はありませんが、情報セキュリティに関するマネジメントを堅実に行う事が、CSRにも似た企業の当たり前の活動となっていくことをかんがえると、情報セキュリティ監査人の価値は自ずと増え続ける事が予想されます。

また、情報セキュリティ監査人は、セキュリティリスクをマネジメントする立場としてもその価値を高める事となると考えられています。

例えば、A企業がサイバー攻撃を受けないようにするために取りうる最大の行為は「自社サービスを停止する事」です。しかし、そうした方法は現実的に有りえない仮定であり、実際に行える有効な対策とは言えません。

だからこそ、「生じる可能性のあるリスク」と「生じた時のリスクの損害」そして、「どの程度のコストで、どれだけのリスクを軽減可能か」を総合的に考えた上での情報セキュリティマネジメントが必要なのです。このような問題は生じる可能性があるものとして、どれだけ最小コストで最大のリスクマネジメントが可能かを考える事も情報セキュリティ監査人の必要とされる理由です。

故に、サイバー攻撃やヒューマンエラーによる情報資産の流出や改ざんが起きえた場合も想定した上での情報セキュリティマネジメントを実施する事が「情報セキュリティ監査人の活躍可能な場」を作る事になります。サイバー攻撃による「問題や課題を無くす事」が単純に難しいからこそ、未然に起きうる問題にまで対処する事こそセキュリティ対策をする上で必要となる能力といえます。

セキュリティ監査人になる方法

専門家の目線から、企業や組織が正しく適切なセキュリティ対策と運用をしているかどうか判断するためには、セキュリティ関連のみならず幅広いIT関連の知識が必要となります。こうしたものをしっかりと習得して、セキュリティ監査人として仕事をするためにはどうすれば良いのでしょうか。

情報セキュリティ監査人に必要なスキルとは?

情報セキュリティ監査人には、次の3点に対して適切な評価を行えるだけのスキルが必要です。

  1. 適切な情報セキュリティ対策を行えているのかの判断
  2. 将来時点にも対応した情報セキュリティ対策を行えているのかの確認
  3. 企業が「情報セキュリティマネジメント」ができているのかを評価

また、情報セキュリティ監査人に関する必須のスキルは、情報セキュリティ監査人の「資格認定要件」を確認しておくと良いでしょう。

  1. 情報セキュリティ関連分野における専門分野知識の保有が必要となる
  2. 情報技術分野において、「最低でも4年以上の業務経験」がある事が求めれ、かつ「情報セキュリティ関連分野」で少なくとも2年以上の業務経験が必要となる
  3. また、能力の証左となる「業務経験及び監督実地経験に対する推薦書」(業務内容に対する推薦者の推薦文・署名)を提出する事

このように情報セキュリティ監査人としての職務に就く為には、前提として高い専門性と実務経験を必要とし、かつその個人の能力を認定してくれる第三者が必要となります。つまり、単純に能力がある事だけではく、情報セキュリティ監査人としての能力を「保証する第三者」と、実際に資格認定をする日本セキュリティ監査協会の「両者」から能力の認定をされる必要があるということです。

特に情報セキュリティ監査人として重要となるのは、今後ますます多発するであろうサイバー攻撃に対する理解を深める姿勢や、進化し続ける最新技術に対してリーチする事が出来るだけの専門性の深さです。

セキュリティ監査人に必要な資格

セキュリティ監査人になるには、JASAが認定する資格を取得する必要があります。資格を取得する場合、認定の研修を受ける必要があり、そこで監査人として必要なことを学ぶことができます。修了後は、試験があるので学んだことの習得度を確認できます。

JASA認定資格

公認情報セキュリティ主任監査人

監査チームのリーダーとして監査計画を作成、監査し、報告を行う

公認情報セキュリティ監査人

監査計画の策定や実際の監査、報告を行う。また主任監査員の指導のもとでリーダーとして監査を主導する

情報セキュリティ監査人補

監査チームにOJTとして参加し、監査を行うことができる

情報セキュリティ監査アソシエイト

チームリーダーの要請で、監査に対してさまざまな助言を行う

サイト監査人資格制度とは|特定非営利活動法人 日本セキュリティ監査協会

まとめ

情報セキュリティ監査人による企業の情報セキュリティマネジメントの調査や保証は、多くの企業にとって価値のある職能であり、特に自社に情報セキュリティの専門家を抱える事が容易ではない中小企業には、今後必須の存在となっていくでしょう。
既存企業の多くはどうしても情報システムを通じたビジネスを展開する事を余儀なくされるからこそ、事前に情報セキュリティ対策をし、それらの評価を情報セキュリティ監査人が行っていくことに意味が生まれてきます。

興味のある方は、実際に下記の「エンジニア派遣」で求人募集を探してみると良いでしょう。

参考セキュリティエンジニア派遣

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?