セキュリティエキスパート(情報セキュリティ監査)とは、コンピュータやネットワークに情報セキュリティ上の問題がないか客観的な立場から監査する職業です。
コンピュータやネットワークに情報セキュリティ上の問題がないか客観的な立場から監査する。コンピュータやネットワークに対する攻撃に対して脆弱性がないか、情報漏洩に繋がるような問題点がないか、等々を一定の基準に基づき点検する。情報セキュリティ監査人と呼ばれることもある。
情報セキュリティ監査には「保証型監査」と「助言型監査」がある。対象となるコンピュータやネットワークが監査基準に照らして適切であると保証するのが「保証型監査」であり、監査対象の情報セキュリティ上の問題点を指摘し、改善に向けた助言を行うのが「助言型監査」である。セキュリティ監査を行う目的としては、会社や団体の情報セキュリティが適切か組織内で点検する「内部目的」と、会社や団体として外部に情報セキュリティが適切に行われていることを示すための「外部目的」がある。助言型監査は主に内部目的のために行われ、保証型監査は主に外部目的のために行われる。
監査の基準としては、経済産業省の「情報セキュリティ管理基準」及び「情報セキュリティ監査基準」並びに総務省の「地方公共団体における情報セキュリティ監査ガイドライン」等がある。経済産業省の「情報セキュリティ管理基準」では、情報セキュリティのマネジメントにおける計画、実行、点検、処置に必要な事項を示し、実施方法の例も記載されている。「情報セキュリティ監査基準」では、誰が監査するか、監査での遵守事項、監査実施の枠組み、監査報告での留意事項、監査報告書の記載方法が示されている。「地方公共団体における情報セキュリティ監査ガイドライン」では、地方自治体での実施を前提に、監査の手順、監査の項目等が示されている。また、国際標準化機構 (ISO) と 国際電気標準会議 (IEC) が共同で策定した、情報セキュリティのマネジメントに関する規格もある(ISO/IEC 27002)。これら監査基準、ガイドラインをもとに各組織が組織内でより具体的な監査基準を作成している場合が多い。
監査の対象は幅広く、コンピュータ、ネットワーク、オペレーティングシステム、データベース、アプリケーション、クラウド等の情報セキュリティ上の問題点を点検する。さらに、サーバルームに入る人を管理しているか、USBメモリー等が適切に扱われているか等、人の側も対象となる。
一般的には既に稼働しているコンピュータやネットワークの監査を行う。
監査を客観的に行うため、当該システムの開発者や運営者ではない第三者が監査を行う。まったく独立した監査会社が行う場合もあるが、グループ内の監査を専門に行う会社や部門がグループ各社のコンピュータやネットワークの監査を行う場合もある。第三者として独立した監査会社が行う場合は、最初に監査に関して、内容、方法、期間、経費等を顧客と打ち合わせる。グループ会社に対して行う場合は、まず監査を予告し、関係書類を出してもらう。
審査では関係書類を受け取り、監査基準に基づき運用されているか記録等を確認する。提出された書類に疑問点がある場合、必要であれば追加の資料提出を求めたり、ヒアリングを行ったりする。対象となるコンピュータやネットワークに対して脆弱性診断、ペネトレーションテスト等を行うことがあるが、その実施結果の報告書に基づき監査することも多い。
監査では膨大な量のドキュメントを確認するため、3名から5名程度でチームを作り、提出された書類等を点検し基準に適合しているかみていく。監査結果は監査報告書にまとめる。
監査結果をもとに会社や団体の情報セキュリティに関して監査対象の顧客等と検討後に、社内規定等の見直しに参加することもある。
◇ よく使う道具、機材、情報技術等
ワープロソフト、表計算ソフト(Excel、Googleスプレッドシート等)、プレゼン資料作成ソフト(PowerPoint、Keynote等)、パソコン
情報セキュリティ監査を専門に行う会社に入るか、IT企業に入り、セキュリティ部門等に配属されて、情報セキュリティ監査を担当する。正確な就業者数等統計はないが、大卒が多く、理系も文系もおり、男女ではやや男性が多いと考えられる。情報セキュリティ監査は2000年以降、整備されてきており、整備に合わせて、情報セキュリティ関係やシステムの運用等の業務を行ってきたベテランが監査を行うようになったことも多く、若年者の比率は高くない。
経済産業省の情報セキュリティ監査制度に基づく情報セキュリティ監査人資格制度があり、特定非営利活動法人の日本セキュリティ監査協会(JASA:Japan Information Security Audit Association)が認定試験を行っている。情報セキュリティ監査人資格制度には、監査チームのリーダーとして監査計画を作成、監査し、報告を行う「公認情報セキュリティ主任監査人」、監査計画の策定や実際の監査、報告を行い、主任監査員の指導のもとでリーダーとして監査を主導する「公認情報セキュリティ監査人」、監査チームにOJTとして参加し、監査を支援する「情報セキュリティ監査人補」、監査チームのリーダーからの要請に応じて監査に対してさまざまな助言を行う「情報セキュリティ監査アソシエイト」がある。これらの資格を持っていることが望ましいが、持っていなくても業務は可能である。情報処理推進機構(IPA)の国家試験「情報セキュリティマネジメント試験」、「情報処理安全確保支援士試験」の知識は業務をする上で役立つ。
採用後、監査チームの一員となり、OJTで知識やスキルを身に着けていくことになる。日本セキュリティ監査協会等のセミナーや研究会に参加することもある。
監査チームの一員に加わり、実業務を通じてノウハウを習得し、上記の「情報セキュリティ監査人補」「公認情報セキュリティ監査人」「公認情報セキュリティ主任監査人」へとスキルを高め仕事の幅を広げていく。
新しい仕事であり、特定のキャリアルートがあるというわけではないが、情報セキュリティ関係の脆弱性診断やデジタルフォレンジックのような仕事に移る人もいる。
倫理性、責任感、正確さ、チームワークが求められ、デジタル技術の進化に対応した知識やスキルの継続的な更新も必要となる。また、書類の交換、ヒアリング等が多いことからビジネスマナーが必要であり、文書作成やコミュニケーションのスキルも求められる。
監査対象となるのは大企業が多いことから、情報セキュリティ監査を行う側の会社も東京に集中している。 機密情報、個人情報を扱うため、多くは正社員であり、協力会社の社員が監査チームに加わることもあるが、その人も多くは協力会社の正社員である。賃金は月給制で、土日祝日が休み、朝から夕方までの勤務というところが多い。監査は計画的に行われ、時期により集中することはあまりないことから、特に残業時間や休日出勤が多いということはない。
近年、情報化が急速に進展し、最近ではデジタルトランスフォーメーション(DX)に取り組む会社も多く、あらゆるものがインターネットにつながるIoTも広がっている。2020年、コロナ禍でリモートワークが急速に広がり、新たな監査の必要性が生まれているという組織もある。一方でコンピュータやネットワークの安定稼働が社会から強く求められることから、仕事は質、量ともに拡大している。また、情報セキュリティ監査を実施しているのは大企業でもそれほど多くなく、必要性の認識が高まるとともに仕事が増えていくと考えられる。
業界をまたいで、AI 影響度が同水準の代表職業(規模順)。