PR

 前回は,SEがシステム監査の知識を身に付ける意味について説明した。今回からは,CISA(公認情報システム監査人)の試験範囲に沿って,システム監査の基本的な知識について解説していく。まずは,CISAの試験内容を概観しておこう。

 CISAの試験は年2回,原則として6月と12月に実施されている。問題数は全部で200問あり,4つの回答から正解を選択する方式である。試験時間は4時間だ。国内では東京や名古屋,大阪,福岡で実施されている。

 試験は,(1)「情報システム監査のプロセス」(全設問数の10%を占める),(2)「ITガバナンス」(同15%),(3)「システムおよびインフラストラクチャーのライフサイクル管理」(同16%),(4)「ITサービスの提供と支援」(同14%),(5)「情報資産の保護」(同31%),(6)「災害復旧と業務継続」(同14%)――という6つのテーマから出題される(図1)。内容は,情報システム監査人としての実践的な知識を問うものとなっている。

タイトル
図1●主な出題範囲
カッコ内の数字は全問題数に対する各分野の設問数の割合

出題内容には経営者向けの領域も

 各テーマで問われる内容を簡単に説明すると次のようになる。コンピュータ技術も問われるが,これはSEにとっては基礎知識の程度である。

 「情報システム監査のプロセス」では,文字通りシステム監査における計画立案や監査の実施,評価,報告といった監査の業務プロセスや,監査基準についての知識が問われる。つまり「情報システム監査とは何をするのか」が問われる。

 「ITガバナンス」では,企業の経営戦略とIT戦略を一致させるための体制を作り管理するためにはどうすべきかが問われる。情報システム部門の職務のあり方やIT戦略の策定方法,リスク分析方法の知識も必要になる。経営者の立場に立って考えることが要求される。

 「システムおよびインフラストラクチャーのライフサイクル管理」では,業務アプリケーションの知識やシステム開発プロセスの知識が問われる。特に業務アプリケーションの開発や購入,導入,保守の各段階において情報システム監査人として何をすべきかを知っている必要がある。

利用部門が情報システムで効果を上げるには

 「ITサービスの提供とサポート」でいう“ITサービス”とは,利用部門に対する情報システム部門からの支援を意味する。ここでは利用部門が効率的かつ効果的に情報システムを利用するには,情報システム部門がどんなサービスを提供すべきかといった知識が試される。このほか,情報システムを構成するハードやソフト,データベース,ネットワークの知識や,それらの監査方法なども出題される。

 「情報資産の保護」では情報セキュリティに対する知識が問われる。例えばウイルスや悪意のある第三者から,どのようにして情報システムを守るかといったものから,デジタル署名,PKI(公開鍵基盤),IPSec(Internet Protocol Security)など技術的なものまで,セキュリティの維持に関する幅広い知識が試される。さらに,セキュリティに対する情報システム監査の知識も問われる。

 「事業継続と災害復旧」では,企業が災害を受けた場合のディザスタ・リカバリー(災害からのシステム復旧)の方法やBCP(業務継続計画)の立案および対策に関する知識が問われる。予期せぬ災害に企業がみまわれたとき,どのように対応・復旧していくのか,バックアップや代替設備を持ち,どのように運用していくかなどについて知っておくべきである。また,情報システム監査人としてBCP立案にどうかかわるべきかも試される。

 次回から,上で述べた各テーマの中身を順番に解説していく。順に読んでいくことで,システム監査の基本的な知識が身に付くはずだ。次回は,「情報システム監査のプロセス」について分かりやすく解説しよう。

本田 秀行(ほんだ ひでゆき)
富士通ソーシアルサイエンスラボラトリ エンタープライズセキュリティ部主任(セキュリティコンサル担当)/アビタス講師
流通,エネルギー,半導体業界向けシステム開発/運用およびプロジェクトマネジメントを経験後,ISMS認証取得コンサルティング,事業継続計画策定コンサルティング,米SOX対応内部監査,金融商品取引法(J-SOX)対応IT全般統制構築/監査,システムセキュリティ要件分析,情報セキュリティリスク分析およびシステム構築改善,官公庁向けシステム監査などを実施。また,自治体をはじめとしメーカー,病院など幅広い業種の顧客に対し,情報セキュリティ教育および内部監査人育成教育を行っている。2008年より公認情報セキュリティマネージャ(CISM)委員会委員としてレビューマニュアルなどの翻訳査読,レビューコース講師を務める。公認情報システム監査人(CISA),CISM,日本内部監査人協会公認内部監査人(CIA),ISO27001審査員補