• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

情報セキュリティ監査の基本とトレンド

第5回 公認情報セキュリティ監査人資格とは?

2008/01/16 日経BPガバメントテクノロジー

文:長谷川 長一=日本ユニシス 商品企画部 セキュリティビジネス企画室 上級セキュリティスペシャリスト

 前回のコラムでも指摘したように、自治体における情報セキュリティ監査はまだまだ実施率が高いとは言えません。とはいえ、今後対応を迫られるセキュリティ対策上の重要課題の一つであることは間違いないでしょう。昨年7月に改訂された「地方公共団体における情報セキュリティ監査に関するガイドライン」では、外部監査の実施が推奨されています。内閣官房情報セキュリティセンター(NISC)の「セキュア・ジャパン2007」では、地方公共団体における2007年度の重点施策の1つとして「情報セキュリティ監査実施の推進」を挙げています。

 自治体、企業など情報セキュリティ監査を依頼する側が、内部監査の実施支援や外部監査実施の業務委託の検討をするときに最初に考えるのは、「誰に依頼すべきか」ということでしょう。どのような人材に監査を依頼していよいのか分からなければ、適切な監査を受けることはできません。そんなときに、依頼者が自分の組織にあった監査を受ける際に、委例えば、託先の監査実施者がどの資格を取得しているかを見れば、監査人の能力や監査人チームの適切な構成を判断する指標の一つとなります(注)。

 そこで特定非営利活動法人日本セキュリティ監査協会(JASA)は、2005年1月に公認情報セキュリティ監査人資格(英語名称:Certified Auditor for Information Security、略称:CAIS;ケイズ)制度を創設しました。今回は、CAISの概要と特徴について以下で解説してきたいと思います。

 公認システム監査人資格、ISMS審査員資格など、情報セキュリティ監査に関連した資格はいくつかありますが、CAISの特徴は、範囲や目的が情報セキュリティ監査制度に則ったスキルのレベル判定とその維持が図られているという点にあります。また、CAIS資格保有者の行った監査について、不服がある場合はCAIS資格の認定機関であるJASAに不服申し立てをすることができます。JASAは当該監査に対し、 監査の品質を評価し、簡易迅速な紛争解決を手助けすることにより、被監査主体の保護を図ります。

(注)総務省「地方公共団体における情報セキュリティ監査に関するガイドライン」には。「監査チームには、情報セキュリティ監査に必要な知識及び経験(地方公共団体における情報セキュリティ監査の実績)を持ち、次に掲げるいずれかの資格を有する者が1人以上含まれていること」とある。「いずれかの資格」とは「システム監査技術者」「公認情報システム監査人(CISA)」「公認システム監査人」「ISMS 主任審査員」「ISMS 審査員」「情報セキュリティアドミニストレータ」「公認情報セキュリティ主任監査人*」「公認情報セキュリティ監査人*」である。このうち*がCAIS資格。

CAISに求められる資質と資格区分

 CAISでは、情報セキュリティ監査人に求められる資質として「知識」「経験」「技術」の3つ(図1)を挙げ、それに応じて「公認情報セキュリティ主任監査人」「公認情報セキュリティ監査人」「情報セキュリティ監査人補」「情報セキュリティ監査アソシエイト」という4つの区分の資格(表1)を認定しています。

図1●公認情報セキュリティ監査人(CAIS)に求められる資質
公認情報セキュリティ監査人(CAIS)に求められる資質

表1●公認情報セキュリティ監査人(CAIS)資格の区分*と役割
資格区分 役割
公認情報セキュリティ主任監査人(英語名称:CAIS-Lead Auditor) 情報通信分野での4年以上の経験(うち情報セキュリティの業務経験を2年以上)を有し、情報セキュリティ監査制度に関する深い知識と実証された能力を持つ。監査チームを編成し監査を実施する場合に監査チームリーダとなって、監査計画を立案し、監査計画に基づいて監査を実施し、報告書を作成し、監査結果を被監査主体に報告する役割を行う。
公認情報セキュリティ監査人(英語名称:CAIS-Auditor) 情報通信分野での4年以上の経験(うち情報セキュリティの業務経験を2年以上)を有し、情報セキュリティ監査制度に関する深い知識と実証された能力を持つ。監査計画を立案し、監査計画に基づいて監査を実施し、報告書を作成し、監査結果を被監査主体に報告する役割を行う。
情報セキュリティ監査人補(英語名称:CAIS-Assistant) 情報セキュリティ監査制度に関する深い知識と実証された能力を持ち、公認情報セキュリティ主任監査人もしくは監査人の下で監査を行う。
情報セキュリティ監査アソシエイト(英語名称:CAIS-Associate) 監査チームリーダの要請によりチームの一員として専門知識にもとづく助言を行う。専門分野**で3年以上の業務経験を有する。
* 2007年12月現在の資格取得者は、538名。内訳は、主任監査人70名、監査人156名、監査人補151名、アソシエイト161名
** 専門分野としては、法律分野は弁護士、その他業種別分野(医療、金融、自治体等) は特定の資格名称によらず申請可能

 3つの資質のうち、「知識」および「技術」については、認定試験でその評価が行われます。併せて資格の認定にあたっては、過去の業務や監査の実施経験、他資格保有状況、上司や他の監査人などの推薦あるいは面接により実績の確認、つまり「経験」の評価がされ、さらに監査人倫理規定の遵守等を総合的に勘案して判断されます。

 「経験」については、4つの資格区分のうち「主任監査人」「監査人」の資格取得の際には必須条件としています。最初は経験のない監査人補として監査業務に加わり、監査メンバーとして経験を積み要件を満たした時点でその上位の監査人資格、さらに監査リーダーとしての経験を積み、最上位の主任監査人資格を目指すということになります。

 「経験」は、「監査人の前提となる経験」と「監査人としての業務経験」の2つに分けて考えています。「監査人の前提となる経験」として、「主任監査人」「監査人」とも、情報技術分野で少なくとも4年以上の業務経験があり、そのうち情報セキュリティ関連分野で少なくとも2年以上の業務経験があることを必須としています。「監査人としての業務経験」については、、「主任監査人は監査チームのリーダーとしての実績が、「監査人」は監査チームのメンバーとしての実績が必要となります。

 CAIS資格は取得者のスキルレベルの維持のための工夫もしています。CAISでは資格維持プログラムとして、情報セキュリティの技術変化や、社会的変化による監査ニーズの変化に対応するため、有効期間3年ごとに、資格及び専門性の更新を行うものとしています。資格維持の対象となる活動は、監査実績、教育の受講、JASA活動参加、社会貢献、などとなっています。

 公正かつ公平な情報セキュリティ監査の実施、監査人の品質の確保のためには、情報セキュリティ監査に関する理論や技術を理解しているというだけでなく、情報セキュリティ監査をプロセスとして理解し、かつ倫理観をもって、現在において遂行できる人材が必要になります。つまり、知識だけにとどまらず、実践ができるスキルを身につけ、さらに維持していなければなりません。この場合の「維持」とは同じ知識やスキルをもち続けるということではありません。資格認定がされた過去ではなく、監査業務を実施する現在において、十分かつ適切な知識やスキルを持つということです。そのためには、現在において通用する最新の知識やスキルを持っていることが必要になります。公認情報セキュリティ監査人資格制度では、そのようなスキルを持った監査人を育成・認定し、さらに適切に維持する仕組みの提供を目指して作られたものです。

 なお、JASAでは、CAIS資格の登録者の名簿をWebサイトで公開しています。ここでは、NRA(ネットワークリスクマネジメント協会)での自治体業務研修の修了についても掲載されており、地方自治行政に関する知識の所有の有無を確認する尺度の1つにすることができます。

長谷川 長一(はせがわ・ちょういち)
日本ユニシス 商品企画部 セキュリティビジネス企画室 上級セキュリティスペシャリスト
数多くの情報セキュリティ資格の教育や制度に講師や委員として長年携わっている。現在、日本セキュリティ監査協会(JASA)では、資格認定委員、試験小委員、研修トレーニング小委員会委員長を務める。著書に『CISSP-行政情報セキュリティ認定試験公式ガイドブック』、『プロフェッショナル・セキュリティ・レビュー』、『情報セキュリティ監査 公式ガイドブック』(いずれも共著)などがある。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【ニュース解説】

    工事進行基準は廃止、受託ソフトの会計処理に新基準

     日本の会計基準を作成する企業会計基準委員会(ASBJ)は2017年7月20日、企業の売上高に関する会計処理を定める「収益認識基準」の草案を公開した。これまで受託ソフトウエア開発に適用されていた工事進行基準を定めた基準が廃止になるため、ITベンダーの会計処理に影響がある。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る