2021年1月27日にJASA認定「情報セキュリティ監査人補(CAIS-Assistant)」の資格を取得できましたので、この度登録証が届きました。
J特定非営利活動法人 日本セキュリティ監査協会(JASA)が経済産業省により施行された「情報セキュリティ監査制度」のもと、「公正かつ公平な情報セキュリティ監査」が実施され、情報社会にとって有益なものとして機能することをめざし、情報セキュリティ監査人に求められる知識・経験・技術に応じて、5つの資格を認定しています。
5つの資格のうちの一つが「情報セキュリティ監査人補」です。
今回のコラムでは、情報セキュリティ監査人補(CAIS-Assistant)がみなさんのどんなことにお役立ちできるのかを紹介します。
日本の情報セキュリティ監査の実施状況と問題点
下記数値が示すように、情報セキュリティ監査を実施している組織体は未だ少ないのが現状です。
情報セキュリティ監査の実施内容や実施していない理由から、情報セキュリティ監査が普及していない問題点として次のことが考えられます。
1.監査を行う主体としては、監査の正当性を信じてもらえない
2.被監査主体としては、どのような効果があるか分からない、または誰に頼めば良いか分からない
情報セキュリティの実施状況(JASA調べ)
| 規模・業種 | 実施している | 実施していない | 無回答 |
|---|---|---|---|
| 大企業 | 20.0% | 79.7% | 0.4% |
| 中小企業 | 7.2% | 91.7% | 1.2% |
| 地方公共団体 | 4.7% | 95.3% | 0.0% |
| 病院 | 4.6% | 95.4% | 0.0% |
| 大学 | 9.1% | 90.3% | 0.6% |
| その他学術研究機関 | 11.4% | 88.6% | 0.0% |
実施している情報セキュリティ監査の主な内容
・セキュリティポリシー運用全般
・ネットワーク設計
・アプリケーション運用全般
・外部からの侵入テスト
情報セキュリティ監査を実施していない理由
・実施する知識やノウハウがない
・手間がかかる
・予算が取れない
・トップの理解が得られない
情報セキュリティ監査の必要性について
「情報セキュリティマネジメント」の継続運用をはじめとした情報セキュリティ対策は、まず第一にその組織体自らが率先して取り組んでいくものであるが、自らの対策のみでは限界があります。
このような状況の中、独立的かつ専門的知識を持った者に対して情報セキュリティ対策の評価を依頼する組織体が出始めています。
「情報セキュリティ監査」 は、当該組織体が現時点において適切な情報セキュリティ対策を講じているかどうかといった点に加え、環境変化に応じた適切な対策が取られているかといった「情報セキュリティマネジメント」の確立の評価において有効な手法です。
そのためにユーザー(被監査者)は監査を受けた上で「保証」してもらい、それをビジネスにおいて利用したいとのニーズに応えることができるのが「情報セキュリティ監査」なのです。
最後に、今回の資格取得にも情報処理安全確保支援士(RISS)の資格が役に立ちました。
本来の資格取得には、2日間の研修および試験と3日間のトレーニングおよび試験が必要です。
しかしながら、高度情報セキュリティ資格特例制度というものがあり、情報処理安全確保支援士については、1日のトレーニングのみ(筆記試験なし)で情報セキュリティ監査人補(CAIS-Assistant)の取得が可能でした。
また一つ、情報処理安全確保支援士のメリットが増えました。
結論:資格は最大限活用しよう!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun
