IT企業ではよくある話なのですが、IT企業に入社後しばらした際に、情報セキュリティについての教育を受ける事があります。このような場合に、情報セキュリティの説明をする人物がいるかと思います。

その際に、セキュリティやインフラについてとても詳しいな、と思った方もいるでしょう。そんな情報セキュリティに詳しい、情報システム監査人について、徹底解説していきます。

情報システム監査人になる為の試験についても詳しく解説していきますので、是非最後までご覧ください。

目次

• 情報システム監査人とは
  • 情報システム監査人の基本
  • 情報システム監査人の役割
• 情報システム監査人に求められる資格
  • CISA
  • CISSP
  • CRISC
  • CISM
  • ISO 27001 Lead Auditor Certification
• 情報システム監査資格の難易度と勉強方法
  • 情報システム監査資格試験の難易度と合格率
  • 情報システム監査資格試験の勉強方法とポイント
• 情報システム監査資格取得の実践マニュアル
  • 情報システム監査資格取得の実践的な方法
  • 情報システム監査資格試験の過去問題集の活用方法
• 情報システム監査人の活躍と将来展望
  • 情報システム監査人のキャリアパスと成長見込み
  • 情報システム監査人の市場需要と将来性
• 情報システム監査の資格のまとめ

監修者 エンジニア 石島

某電子専門学校卒業後、サーバー/ネットワーク運用業務を通し、ネットワーク設計/構築事業をメインにインフラ業務全般を担当。その後、某情報セキュリティ会社にて、情報セキュリティ教育事業の教育係も担当。

情報システム監査人とは

情報システム監査人とは、情報システム等における情報の取り扱いが適切に整備されているかの監査としての役目や、インフラやコントロール関係における専門家として認定された人物の事を指します。

日本では公認情報システム監査人と呼ばれていて、さまざまな試験をクリアしないと情報システム監査人となる事ができません。

情報システム監査人の基本

情報システム監査人の基本は、CISAと呼ばれる資格に合格している必要があります。

CISAとは、Certified Information System Auditorの略称で、先ほども紹介した情報システムの監査、セキュリティ及び、セキュリティの取り扱いやインフラについてある程度詳しいか、などについて、専門家レベルまでの問題が出題される資格です。これはISACAと呼ばれる情報システムコントロール協会が認定している資格でもあります。

これに合格する事で、情報システム監査人として活動できます。この資格は80を超える国で試験が行われていて、現時点で世界で17万人を超える認定者が存在します。

情報システム監査人の役割

情報システム監査人の役割は、IT企業などで個人情報や会社情報を取り扱う中で、適切に情報が保存・整備されているかについて監査する役割を持っています。

情報システム監査人が登場する以前は、多忙なIT企業である場合、個人情報を適切に保管しないで、意図せず個人情報を流出したり、システム障害などでインフラが長期間動作しないなどの事故が多数存在しました。そのような事にならないように、世界で情報システム監査人と呼ばれる、情報システムについてコントロールできる人材を用意しました。

これが、情報システム監査人が登場した理由と役割です。

情報システム監査人に求められる資格

ここまで情報システム監査人の基本から役割まで解説していきました。

ここでは情報システム監査人に求められる資格について、詳しく解説していきます。情報システム監査人は情報システムに関してとても詳しい、専門家にならなければなりません。それ故に、難しい資格を複数保有する必要があります。詳しくは下記の通りです。

CISA

CISAとは、冒頭に説明しました通り、情報システムに関する公認情報システム監査人として認定する資格です。情報システムだけでなく、情報セキュリティについての専門性や、インフラがどうすれば安定して動作するかについて、とても幅広く問題が出題されます。

この資格はとても長い歴史を持っていて、情報システムに関する団体が自ら認定している資格ですので、情報システム監査人として活動したい場合は、とても有効な認定資格と言えるでしょう。ただし、国家資格ではありませんので注意してください。

CISAの試験については、国際サポートセンターに問い合わせすれば、詳細について答えてくれます。

CISSP

CISSPは、Certified Information Systems Security Professionalの略称であり、主に情報セキュリティ従事者や、管理職が取得する事で有効な情報セキュリティに関する資格です。国際的に情報システム監査人として最も有効である認定資格であり、出題される範囲も、認定資格として最も広範囲に出題されます。

この資格は欧米でも情報セキュリティにおいての専門性や、外部への情報漏洩リスクが減ったなどの高い評価を受けています。さらに、国家安全保障局がセキュリティ従事者にCISSPの資格取得を推奨するなどの施策を行っています。

現在では15万人を超える資格保有者が存在します。

CRISC

CRISCは、Certified Risk and Information System Controlの略称で、日本では公認情報リスク管理者と呼ばれています。その名の通り、IT運用において、専門的なリスク回避を提案する事を目的とします。

これにより、システムの運用やシステム運用時に障害が発生した際、ITプロフェッショナルにおけるリスク回避に基づいて、どうやってリスクを回避できるかを判断します。国際的に認定されている資格ですので、自社にIT運用を行う際、社員の教育のための人材として配置することにも有効です。

この資格は日本語での出題はされていませんので、ある程度の英語力が必要です。

CISM

CISMは、Certified Information Security Managerの略称で、情報セキュリティに関するマネージメントの知識及び経験が十分かについての資格です。主に情報セキュリティの役員や従事者が対象となる認定資格です。CISM資格保有者は、日本語では公認情報セキュリティマネージャーと呼ばれます。

前提として情報セキュリティの実務について経験があるかの問題も出題されますので、かなりの知識と経験が問われる資格でもあります。

ISO 27001 Lead Auditor Certification

ISO27001 Lead Auditor Certificationの略称で、日本語ではISO27001主任監査人と呼ばれます。主にISMSについて教育を行える人材や、ISMSを取得する為のトレーニングをしたい方向けの認定資格です。

ISMSは現代広く認知されている個人情報の取り扱いや、インフラを扱う際に気を付ける事などについて、IT企業が積極的に教育させるトレーニングの事を指します。

このISO27001主任監査人の資格を取得すると、組織において情報システム監査人としての能力があると判断されます。

情報システム監査資格の難易度と勉強方法

ここまで情報システム監査人の基本からその役割、情報システム監査人に求められる資格について解説してきました。ここでは情報システム監査人になる為の資格に関する難易度、勉強方法について、解説していきます。

合格率や、勉強する際のポイントについても解説しますので、是非ご参照ください。

情報システム監査資格試験の難易度と合格率

情報システム監査資格試験の合格率は、IPAが調査した累計によると、大体15%程度との事です。この数字は、他の技術試験等と比べて低く、とても難易度の高い資格試験と言われています。

この資格は午前と午後両方の試験を受ける必要があり、それぞれ基準となる得点を取る必要があります。具体的に書くと、午前Ⅰの問題と午前Ⅱの問題、そして午後Ⅰの問題で100点中60点以上を取ること、さらに午後Ⅱの問題でA～Dのランクの中からAランクを取る必要があります。

また合格者の年齢は40代となることが多く、知識だけでなく経験も必要になることがわかります。出題範囲は、午前Ⅰでは主に共通する知識について問われる問題が出題されます。とても広い範囲の分野から出題されますので、広い知識を求められます。

午前Ⅱでは、専門知識について問われます。午前Ⅰ程広い内容の問題ではないですが、専門性の高い問題が多いです。

午後Ⅰでは、システム監査についての問題が出題されます。監査が行われるシステム及びドキュメント管理等です。

午後Ⅱは午後Ⅰと共通の問題ですが、回答方法が記述式ではなく、論述式となります。午後Ⅱの判定は先ほども解説しましたが、A～Dランクと、ランクで判定されます。論述式なので、午後Ⅱの試験は一番難易度が高いとされています。しかも、合格のためにはこの午後Ⅱの試験でランクAを取得しなければならない為、十分試験の対策を取る必要があります。

情報システム監査資格試験の勉強方法とポイント

情報システム監査資格試験の勉強方法は、それぞれのIT技術について、学ぶ事が必要です。また、現在エンジニアとして仕事をしている場合は、その業務について深く掘り下げていく必要があります。

情報システム監査試験は情報セキュリティだけでなく、テクノロジーや管理方法まで幅広く問題が出題されます。ですがこの試験は、業務に携わっているエンジニアや管理者向けとなっていますので、エンジニアの仕事をしている場合はとても有利になります。

現在エンジニアとして仕事をしていない方でも、独学でITに関する技術や管理方法について勉強すれば、ある程度の合格率の見込みが出てくると思います。ただし、合格率は前述した通り、15%と極めて低いため、周りのライバルに勝つために、少しでも長い時間をかけて勉強する努力が必要です。

ポイントとしては、高度情報処理試験と同じレベルの問題が出題されるので、高度情報処理試験にすでに合格している、現在勉強しているという方は、同時に受験する手もあります。さらに、市販の問題集を購入し、問題を解きながら回答や解説を見ていくのも、勉強の基本となります。

出来るだけ時間を取り、スケジューリングをしながら問題を解いていきましょう。問題を解くだけでなく、回答及び解説をみて、問題の意図と内容を汲み取り、自身の頭の中に入れていく事が大事です。

情報システム監査資格取得の実践マニュアル

ここまで情報システム監査人の基本から役割、情報システム監査人の資格、情報システム監査人資格取得についての勉強法まで解説していきました。ここでは情報システム監査資格取得のための、実践的な方法を紹介していきます。

少しでも合格率を上げるために、詳しく説明しますので是非参考にしてください。

情報システム監査資格取得の実践的な方法

情報システム監査資格取得における実践的な方法は、まず勉強するスケジュールを立てる事です。さらにそのスケジュールの中で、どこからどの分野まで勉強するかを決めていきます。

ポイントは、同じジャンルを同じスケジュールの中で続けて行わない事です。一日のスケジュールで、別のジャンルを組み合わせて、勉強する事で効率的に学習する事ができますし、同じ内容のジャンルで勉強してしまうと、そのジャンルでしか強みを出せず、勉強についてもマンネリ化してしまう可能性もあります。

そういった事にならないよう、どのように効率的に勉強するか、が一番の決め手となります。また、現在仕事をしていて、情報システム監査人の資格取得を目指している方は、いわゆるスキマ時間を利用して勉強していくといいでしょう。

その際、実際に行っている業務と、当日のスキマ時間に勉強する内容を同じにすると、より効率よく勉強できます。

情報システム監査資格試験の過去問題集の活用方法

情報システム監査資格試験は、過去の問題集から勉強する事が、一番効率が良いです。この場合、市販で販売されている過去問題集を購入し、反復で勉強すると良いでしょう。

これにより、実際の試験の練習のような感じで、問題を解く事により、より本番の試験に近い状態で勉強できるので、本番に強くなれます。また反復で勉強することで、間違える問題が徐々に少なくなっていきます。

過去問題集は公式サイトにもありますので、市販で販売されている問題集だけでなく、公式で提供されている問題集から、勉強をするのも一つの手と言えるでしょう。勉強後は資格取得のモチベーションを保つために、何かリラックスできることをすると良いです。

ずっと勉強をしていると、疲れやマンネリ化で勉強する事が苦しくなってきます。そのような事が無いように、勉強を続けられる工夫をしましょう。

情報システム監査人の活躍と将来展望

ここまで情報システム監査人の基本から役割、求められる資格、効率の良い勉強法から資格取得のポイントまで詳しく解説してきました。最後に、情報システム監査人の活躍とその将来における展望について解説します。

情報システム監査人とは、現代社会における情報を適切に整備し、個人情報などを安全に取り扱ったり、インフラにおいて障害が発生した場合のリスク軽減など、幅広い業務に対応できる必要があります。それ故に、キャリアパスや将来性がとても有望です。

情報システム監査人のキャリアパスと成長見込み

情報システム監査人のキャリパスと成長見込みは、今後益々発展していくと考えられます。情報システム監査人になるには、ある程度のエンジニアとしての経験と、その技術の知識が必要になってきます。

さらに、情報システム監査においての知識も必要になってきますので、知識と経験と努力なしでは、情報システム監査人になることは難しいでしょう。

それ故、情報システム監査人のキャリアパスは、役職に就くことはもちろん、資格取得により役員となることも十分考えられます。しかし、情報システム監査人として就任したとしても、今後継続して知識と技術を磨く事は必要です。情報システム監査人となって、何をしたいかについても問われる事もあるでしょう。

そういった、情報システム監査人になった後のキャリアパスから、どういった成長をしたいかも十分に考える必要もあります。これは、ITエンジニアとして業務をしている方にも同じことが言えます。

もし情報システム監査人になるチャンスがあるのであれば、資格取得だけでなく、キャリアパスを見出すことと、情報システム監査人となった際に、何を目指すのかをよく考えましょう。

情報システム監査人の市場需要と将来性

情報システム監査人の市場需要は、ITインフラの発達や、クラウド技術の成長により、とても高まっています。そもそもITエンジニアも現代のITインフラ状況では、不足していると言われています。

情報システム監査人はインフラのコントロールを行う必要もある為、さらに需要が高いと言えるでしょう。ITエンジニアも、スキルだけでなく知識が必要とされる場面もあるので、今後ITエンジニアがどんどん成長していき、情報システム監査人となるケースが増えるとの見込みもあります。

また、現代ではクラウドの普及により、オンプレミスの環境からクラウドの環境へ移行した企業も少なくありません。そのような企業の社員に、情報システムの知識をトレーニングする人間も必要となってきています。

現在ITインフラの仕事をしている方は、積極的に情報システム監査人として成長する事を視野に入れると良いでしょう。ただし、情報システム監査人として成長するには、高い技術と経験、知識に加え、資格取得が必要となるため、並大抵の覚悟で情報システム監査人となることは難しいです。

情報システムの運用についてもっと詳しく知りたい方は、以下の記事をご参照ください。

関連記事

オンプレミスとは？クラウドとの違いや導入方法、注意点をわかりやすく解説

情報システム監査の資格のまとめ

情報システム監査人の基本から役割、求められる資格から資格取得のための勉強法とそのポイント、情報システム監査人となった後のキャリアパスからその将来性まで、それぞれ徹底解説していきました。情報システム監査人とは、これまで説明した通り、ITエンジニアとしてスキル・知識を蓄えた後のキャリアパスとして有効な仕事と言えます。

ただし、ただ淡々とエンジニアの仕事をしていて、技術力の向上や知識の吸収を積極的に行っていない方の場合は、情報システム監査人としてキャリアを築く事は難しいです。情報システム監査人は、高い経験とスキル、知識と資格が必要となっています。ITエンジニアとして日々向上心を保ったまま情報システム監査人を目指して頑張っている方でも、そのキャリアへ辿り着いた方は少ないです。

情報システム監査人の資格も、一つだけでなく、複数ある上に合格率が10～15%程度と、極めて難しい資格と言えるでしょう。資格取得を目指している場合は、まずITエンジニアとして誇れる資格を取得するのもよいでしょう。ITエンジニアの資格については、ITパスポートと呼ばれる、ITについての基本的な資格から、サーバーやネットワークに関する技術的な資格も多数存在します。資格を保有しているだけで、エンジニアとしての市場価値が高まるケースもあります。

特に高度情報処理試験の資格試験内容と、情報システム監査人の資格試験内容は少し似ているので、高度情報処理試験の資格取得をしてから、情報システム監査人の資格取得を目指すと、とても効率がよいと言えます。

現代のITインフラはオンプレミスやクラウド等さまざまにあります。以前は情報システム部門が自社にあり、自社の情報システム部門のみでセキュリティやインフラのコントロールを行っていましたが、ITインフラの複雑化により、情報システムに特化したシステム開発会社に情報システムの管理を依頼する企業も多数存在します。

自社で情報システムにおける管理を行いたいが情報システム監査人がいないという場合は、株式会社Jiteraに相談するとよいです。こちらのページから相談したい情報システムについて詳しく記載し送信すれば、情報システム監査人が、最適な管理方法を提案してもらえるでしょう。