本ウェブサイトでは、Cookieを利用しています。本ウェブサイトを継続してご利用いただく際には、当社のCookieの利用方針に同意いただいたものとみなします。

  • 2021/10/11更新

情報セキュリティーとCISAの関係性とは

セキュリティー監査を好きな人”はいない?

皆さんはセキュリティーの監査にどのようなイメージを持っていますか?
個人的な意見かもしれませんが、比較的”セキュリティー上の欠陥”や”定められたルールからの逸脱”を見つけるようなネガティブなイメージがあり、少なくとも監査を受ける側からすると”セキュリティー監査を受けるのが大好きです”という方を見つけるのはなかなか難しいような気がします。

ここでは、そもそもなんでセキュリティーの監査が必要なのか、その意味を考える中で、CISA®という資格に取り組むことで何をもたらすことができるかを考えてみたいと思います。

セキュリティー=安全・安心に対する期待の高まり

安全を担保するための”技術”というのは多くの分野で不可欠となります。例えば自動車であれば、ブレーキ、シートベルト、エアバッグ、それこそ車体の構造自体も安全性が追求されています。例えば皆さんが自動車を買うときに(私は自転車しか持っていないですが)、ブレーキを基準に自動車を買うことはないと思います。でも、スピードを出すときにブレーキが効かないかもしれないような自動車であれば、どんなに好みであっても、まずその自動車を安心して選択することはないかと思います。
市場に出て販売されている自動車であれば、安全に関しては一定の信頼をしていると思いますし、さらには、自動車のCMでも、AIや自動運転などの技術の発展に応じて車間距離を適切に保ってくれる技術など、より安全をもたらされる技術がPRするポイントになってきたように感じられます。”セキュリティー”は単なる付帯機能から差別化要因の一つになってきています。

さまざまな分野で高まるITの活用

ビジネスの世界に目を転じてみると、組織の多くの業務が効率化や生産性を高める上でIT(情報技術)を活用することは不可欠になりつつあります。従来ではITに縁遠いように思われていた業務やビジネスでも、工夫やアイデアに基づくイノベーションを起こすようになっています。例えば、ある回転寿司のチェーンでは、お皿にIoT(モノのインターネット)のセンサーを組み込んだり、スマホアプリと連携させることによって、季節や来客数などに基づき、最適な品出しを分析をすることで廃品率などの改善を実現したり、新店舗を開店する時にデータに基づく”ベテランのノウハウ”を展開できるようにしています。クラウドを活用してITの運用コストを削減したり、自分たちが集められるビッグデータを有効に活用することで、よりビジネスを加速させるために何ができるか、と考え、スピード感を持って実践する組織が増えてきました。
ただ、その上で、そのビジネスが安定して提供し続けられるかどうか、という観点でセキュリティーはITサービスの品質という意味で重要なポイントとなっています。差別化要因という意味では、利用者に”うちのサービスはこういう点でより安全にお使いいただけますよ”と納得感のある説明ができれば、まさに差別化要因になるわけです。

デジタルトランスフォーメーションという言葉が求めているもの

ITは本来、ビジネスを改善し、加速させるための要因になります。そのためにはニーズをとらえ、そのニーズをビジネスの中にタイムリーに取り入れていくことが求められます。情報処理技術の進化は日進月歩の進化を遂げています。一方で、そうした技術をすぐに取り入れられるか、というと疑問符がつきます。”この技術、システム、サービスは問題なく使えますよ”と言えるだけのなんらかの保証、納得感を得られるための仕組みというものそこに必要になります。日本は比較的、保守的・安定的に活用することに長けてきました。しかし、それが今日のビジネスにおいては、新しいものに積極的に取り組んだり、柔軟に変化していくことを拒んできております。単に新しい技術だけの問題ではなく、組織として変化に向き合うための変革が必要になってきています。そこで、ITに関して”これはある程度安心に使えますよ”と、評価をしたり、必要な助言を行ってくれる人材としてITをわかる監査人の価値が高まっていくものと言えます。

監査人に求められるトランスフォーメーション

一方、監査というのは業務プロセスにおいては大きく変化のあるものではありませんでした。監査の目的や目標に従い、計画をたて、証跡を集め、その中で監査結論を出して伝える、という流れがあります。会計の世界などでは、確かに会計基準の変更などもありますがある程度の共通の物差しを使った標準化もできています。一方、ITは組織によって成熟度や利用形態、依存度も違えば、技術自体も変化しています。
単純にその組織のITのルールへの適合に対して、マル、バツをつけるだけであれば、ルールさえ明確なら、容易に業務を遂行できるかもしれません。しかし、そのITルール自体が形骸化していたり、陳腐化しているのであれば、組織として改善していくためのきっかけ、が必要になるものです。ITを取り巻く監査人に期待されていることの一つは、ビジネス戦略とIT戦略の整合を評価することです。もしもIT戦略やその実態が、組織のビジネス戦略にあっていない、もしくは、過剰にビジネスの加速に偏りすぎていて、何か問題が起きそうな時、起きた時に組織が気が付けるための仕組みが不可欠になっているわけです。

監査業務の価値とCISA®のもたらすもの

ITの世界でも自動化やビッグデータの活用により、単にITの設定が間違っていないか、脆弱性が潜在してないかなどのチェックをするだけであればほぼリアルタイムに可視化したり、自動的に対応できるような進歩を遂げつつあります。その意味では、単にマル、バツを評価するだけであれば、監査人の価値は薄れていくのかもしれません。
ただ、CISA®では、資格は一度試験に受かればOK、というものではなく、ITガバナンスの考え方を理解した人間が、継続的に学習し、証跡の山から適切な被監査者(経営)への意見を作ることができるような成長を期待しています。監査人自体が、ITの価値を理解し、ITを活用して自らの業務効率を改善したり、経営にITの価値を伝えることができれば、監査人自体の市場価値や監査業務の重要性が高まっていきます。
特に欧米に比べると、日本ではまだIT監査人の市場価値は高くはなく、”伸びしろしかない”状況なのではないかと、個人的には考えています。

CISA®について詳しく知りたい方は
無料の資料請求か、説明会にご参加ください。

合わせてお読みください

最近のエントリー

カテゴリから探す