IT・システム監査・リスクコンサルの業務紹介(概要)
IT・システム監査・リスクコンサルの概要をご紹介します。また、将来性や未経験でも挑戦できるかなどのQAにも回答します。
<目次>
導入
ずんだもん:xxちゃんとのline楽しいのだー
あ、このスタンプ可愛いから買うのだ!
さっそく、このスタンプ使うのだ!
ニュース:ニュースです。LINEヤフー株式会社のLineで情報漏洩が発生しました。
ずんだもん:!?!?!?!?!なんなのだ?
ずんだもん:皆川!大変なのだ!Lineで情報漏洩発生なのだ!
皆川:それは大事件だ!
ずんだもん:怖くてLine使えないのだ・・・・Lineのセキュリティはダメダメなのだ・・・
皆川:はい、では、ここから今回の首題のシステム監査のお話だよ。
ずんだもん:いきなりカットインしてきたのだ!
今回のLineの情報漏洩とシステム監査は関係あるのか?
皆川:うん、大有りだよ!
システム監査とは
ずんだもん:そもそもシステム監査って何なのだ?
皆川:クライアントのシステムが、機密性・可用性・完全性等の観点から安全だということを第三者の監査人が証明する仕事を指すんだよ。
※内部監査人ではなく外部監査人の立場からお話していきます。また、SOX除く
ずんだもん:難しいのだ。もう少し嚙み砕いてほしいのだ。
皆川:Lineには写真や動画含めて他人に知られたくない内容も投稿してるけど、もしこれが情報漏洩して他のSNSで拡散されたら困るよね?
ずんだもん:これは大変困るのだ。ずんだもんの秘密がばれたら炎上してしまうのだ。
情報漏洩があったLineはセキュリティやばいのか?
皆川:ここで登場するのがシステム監査人なんだよね。
ずんだもん:ここでシステム監査が出てきたのだ!
皆川:うん、システム監査人がLineってシステムを検証して、セキュリティが高いことを保証すれば、ずんだもんも安心して使えるよね。
ずんだもん:安心なのだ!!Lineもぜひシステム監査を受けてほしいのだ!
皆川:うん、実は受けているよ。
その証拠にLineのHPにSOC2、3っていうセキュリティに関するシステム監査を受けて、システムの安全性が保障されていることを公表しているんだ。
https://linecorp.com/ja/security/article/24
ずんだもん:え?システム監査を受けていたのか????
皆川:うん、Lineのシステム監査はBig4のEYが実施しているんだよ!
https://d.line-scdn.net/stf/linecorp/ja/csr/SOC3_Report_LINE_JPN_2022.pdf
ずんだもん:EYなのだ!Big4のEYなのだ!でも、情報漏洩事件が発生しているのだ・・・
EYがLineは安心安全って言っていたのにどうしてなのだ??
このままだと、ずんだもんのスタンプ購入履歴がみんなに知られてしまうのだ( ノД`)シクシク…
皆川:EYがLineの安全性を保証してるのに、なんで個人情報漏洩なんて起きたんだろうね、、
この辺は、EYのSOC2,3報告書から説明できるから、今度説明するね。
ずんだもん:ラジャーなのだ!ところで、システム監査ってEYとかBig4しかできないのか?
皆川:うん、語弊を恐れずいうと外部のシステム監査ってBig4含めた監査法人しか実施できないんだよね。
※例外あり
システム監査の業務内容
ずんだもん:システム監査ってのが、主にBig4が提供しているってことはわかったのだ!
具体的にどんな仕事なのだ?
皆川:説明するね。
システム監査の主な仕事は、クライアントのシステムが政府や任意団体が作っているセキュリティのルールに沿ってガバナンスを構築していることを保証するのが仕事なんだ。
クライアントになる企業は、法定でこのルールに従うためにシステム監査を受ける場合もあるし、顧客に安心してシステムを使ってもらうために任意でシステム監査を受けている場合もあるよ
で、そのルールってのはいろいろあって、
例えば次のようなのがあるよ
経産省:システム監査基準
政府(NISC):セキュリティ統一基準
米国公認会計士協会:SOC2
米国国立標準技術研究所(NIST):セキュリティガイド
EU:デジタルオペレーションレジリエンス
ずんだもん:たくさんあるのだーーー汗
これらのルール全てに従う必要があるのか?
皆川:一部企業は準拠必須の法定監査の場合もあるけど、基本的には任意だよ。
Lineみたいな企業は、とりあえず一番知名度が高くて、セキュリティ全般を取り扱っている米国公認会計士協会のSOC2を利用しているね。
ずんだもん:ふーんなのだ。で、どんなルールが書いてあるのか?
皆川:どれもセキュリティに関するルールで、同じようなことが書いてあるから、主に行政向けに適用される政府(NISC)のセキュリティ統一基準を例にだすね
ずんだもん:わくわく
皆川:統一基準の構成は次の8章構成になっていて、各章に従うべき詳細なルールが記載されているんだ。
第1章 総則
第2章 情報セキュリティ対策の基本的枠組み
第3章 情報の取扱い
第4章 外部委託
第5章 情報システムのライフサイクル
第6章 情報システムの構成要素
第7章 情報システムのセキュリティ要件
第8章 情報システムの利用
例えば第2章の情報セキュリティ対策の基本的枠組みには、教育についてルールを定めていて、「職員は教育計画に従って教育を受講すること」ってルールがあるんだ
ずんだもん:この教育を受けるってルールを行政の職員は守る必要があるのだな?
皆川:うん、そうだよ。こういうルールについて守られていることを一個一個確かめていくのがシステム監査なんだ
ずんだもん:このルールが守られていることはどうやって確かめるのだ?
皆川:この場合はね、行政職員にね、セキュリティに関する年間教育計画書と、その教育のための研修の出席簿を提出してもらうんだ。
ずんだもん:ふむふむ、それで
皆川:システム監査人は、提出してもらった資料を見て、年間の教育計画が定められていて、職員が研修に出席していることを確かめるんだよ。
ずんだもん:ふむふむ、それで?
皆川:それだけだよ。ルールに記載されているとおり、教育計画を定めていて、実施していることを確かめるのが仕事だからね。
ずんだもん:それでいいのか?もっと、なんかやらないのか?研修の中身を見るとか?
皆川:だいたいこんなもんだね。研修の中身まではあまり見ないかな。見るの大変だからね。
ずんだもん:あんまりシステムと関係ないのだ、、、
皆川:こういった確認項目が何百、ルールによっては1000個ぐらいあるんだ
ずんだもん:1000個!?!?!?こういった確認を1000回も繰り返すのか?
皆川:うん、1000個分の資料を貰って、その確認結果をひたすら記録として残していくんだ・・・・・
政府の基準にISMAPってガイドがあるんだけど、とにかく検証項目が多いから、確認結果を記録するのに、エクセルで1万行以上作文し続ける必要があるんだって・・・・
ずんだもん:1万行・・・・これはすごい大変そうなのだ!
ずんだもん:システム監査の仕事はやることが多そうだけど簡単そうなのだ?
皆川:さっきの例は、極端に簡単な例を出したけど、脆弱性対策の検証とか、プログラム検証とか専門的な検証ももちろんあるよ
ただ、誰でもできる検証項目もかなり多いから、IT未経験者でもできる仕事でもあるんだ。この理由は 次のQAでもう少し深堀するね
ずんだもん:そうなのか!らじゃ!
システム監査にまつわるQA
ずんだもん:なんとなくシステム監査の仕事がわかったのだ!
ここからは質問者様からの質問に答えていくのだ!
まず、
Qシステム監査って面白いのか?
A専門的な知識を試される場面もあるけど、単調で膨大な量の作業を淡々とやることが多いため、好き嫌いがあるよ
Q:どんな人にお勧めなのだ?
A細かい作業を淡々とこなせる人に向いている仕事だよ。これまでに総務やコンプ等の会社のガバナンスに関わってきた人にもお勧めだね。
Q:システム監査はコンサルより楽なのか?
A:明確なゴールがないコンサルと違って、白黒はっきりしているっていう意味だとシステム監査の方が楽かもね。また、白黒はっきりしているから、イレギュラーも発生することが少なくてコンサルに比べて炎上することもずっと少ないね。
ただ、業務量でいえばコンサルと比較しても負けてないよ。
Q新卒でもシステム監査できるのか?
Aうん、Big4は新卒でも採用しているから入れるよ。
QITも監査も未経験だけど中途でシステム監査人になれるのか?
Aなれるよ。結構事例は多いよ。
ずんだもん: システム監査には、システムに関係ないところも多いからなのだ?
なんで、システム関係ないところも監査するのだ?
皆川: システムの安全性を担保するには、システム自体のセキュリティを上げる必要があるの はわかると思うけど、それだけでなく、そのシステムを裏で開発・運用している人に対しても 留意が必要なんだ
ずんだもん:そうなのか?
皆川: システムを調達する際に、信頼ができる業者から購入しているか、開発時に仕様書通りに設計しているか、運用時に、こっそり個人情報を抜き取っていないかなど、システムの裏にいる人たちが誠実にルールに従わないと、システムの安全性は担保できないんだよ
ずんだもん:なるほど、システムそのものだけじゃなくて、システムを管理している人も評価しなければいけないのだな!
皆川: うん、そうなんだ。そうなってくると、システムだけじゃなくて、システムに開発に携わる人、それを管理する人、最終的にはシステムを作っている会社全体の哲学や教育方針なん かも見ていくことになるんだ。
ずんだもん:だから、システムに関係なさそうな教育についても評価が必要だったのか!
皆川:そのとおりだよ。こういった評価になると、システムに関する知識だけでなくて、組織の在り方そのものに対する理解が求められるんだ。
だからシステム監査は IT 未経験でもできる 仕事が多いんだよ。
ずんだもん: よくわかったのだ。
Qシステム監査人の将来性はどうなのだ?
Aシステム監査自体の需要は伸び続けているんだ。
IT化、IoT、DX等ますます実生活とITが結びつく社会になっているから、システム監査人がシステムの安全性を検証する機会がどんどん増えているよ。
そのため、システム監査人の地位もどんどん上がっているね。
海外だと、1位の弁護士の次にシステム監査人の給料が高いって統計もあるしね。
日本でも、なんかの統計で6番目ぐらいにシステム監査の年収が高いって出てたのを見たことあるよ
ずんだもん:本当なのか?
皆川:うん、特に海外に関しては僕自身の体感的にもそこまで違和感ない統計結果だね。
Qシステム監査人のキャリアパスを教えてくれなのだ!
A僕の周りでは、だいたい多い順に次の4つぐらいかな
1.Big4でシステム監査人を極める
2.事業会社の内部監査部門でシステム監査に転職
3.事業会社のシステム部門やコンプライアンス系に転職
4.セキュリティコンサル、プライバシー系のコンサルに転身
システム監査は専門職、かつ、将来性があるから、職に困ることはないと思うよ。
ずんだもん:選択肢が多くて素晴らしいことなのだ!
Qシステム監査人になるためにとっておいた方がよい資格は?
A IPAの情報処理系の資格、CISAかな。
特にCISAは難易度が低いわりに、肩書としてかなり有用だからコスパが高くておすすめだよ。
ずんだもん:いろいろわかったのだ!
システム監査はお勧めの職か
ずんだもん:皆川としては、システム監査はお勧めか?
皆川:うん、今まで述べてきたように、システム監査は将来性があるから大変お勧めだよ。
なにより、IT未経験でも、IT関連職の専門家になれるので大変コスパがよい仕事だよ。
ずんだもん:IT未経験なのにシステム監査人なれるのは凄いのだ!
リスクコンサルとシステム監査の違い
ずんだもん:リスクコンサルってあるけど、もちろんこれはシステム監査とは違うのだ?
皆川:そうだね、違うけど、かなりの部分で同質性が認められるよ。
ずんだもん:!?!?!?!?そのなのか?
皆川:うん、もちろん違うところもあるけど、一部で被っています。
ずんだもん:本当か?
皆川:あくまでも個人的な意見だけどね。
例えば、デロイトは、システム監査を監査法人側で監査アドバイザリーって形でやってるよ
https://www2.deloitte.com/jp/ja/pages/risk/topics/operational-risk.html?icid=top_operational-risk
ずんだもん:うむ
皆川:PwCの場合も、似たような感じで
監査法人側に監査およびアシュアランスって括りのサービスがあって、ここでシステム監査関連サービスをやっていることが多いんだ
https://www.pwc.com/jp/ja/services/assurance.html
ずんだもん:うんうん
皆川:次にKPMGは、監査法人のアドバイザリー業務の中でシステム監査をやっていたりするんだ
https://kpmg.com/jp/ja/home/services/advisory/risk-consulting.html
ずんだもん:うんうん。あれ、でも、HP見るとリスクコンサルティングって書いてある???
皆川:で、EYはコンサルティング会社側で、しかもテクノロジーリスクコンサルティングの中でシステム監査関連の業務もやってるよ
https://www.ey.com/ja_jp/consulting/technology-risk-services
ずんだもん:ふぁ!!??コンサルティングって書いてあるのだ!?
ずんだもん:なんでファームによって監査だったりアドバイザーだったり、リスクコンサルだったりと違うのだ?
皆川:システム監査って“監査”ってついてて、会計士協会が定めた厳格なルールに沿って実施する必要があるからめちゃめちゃ労力がかかるんだ。
ずんだもん:ふむ
皆川:だから、企業がシステム監査をお願いする場合、めちゃめちゃ金がかかるんだ。
さらに監査に協力する手間もかなり発生する。
ずんだもん:ふむ
皆川:だから、企業によっては監査じゃなくて、もっと気軽に・安く、監査法人にシステムの安全性について評価してもらいたいってニーズがあるんだ。
ずんだもん:確かに
また、SOC2の監査を受ける前に、SOC2の評価に耐えられるか評価するためにSOC2のルールとのGap分析をしてもらいたいってニーズもある。
ずんだもん:ふむ
他にも、システム全般じゃなくて、システムのセキュリティのうちプライバシーについてだけ評価をしてもらいたいときもある。
ずんだもん:ほぉー
さらに、システムの評価に加えて、具体的な対応方針についてもアドバイスを貰いたい場合もある
ずんだもん:そうなのかー
で、システムの安全性が確保できたあとは、さらに効率的な運用についてもアドバイスを貰いたい場合もある
ずんだもん:ふむいっぱいあるのだ!
皆川:そんなときは、システム監査ではなくて、助言業務、アドバイザリー業務、リスクコンサルって言葉を使ったサービスになる。
こうすることで、厳格な監査手続きに沿わずに簡易的なやり方で企業のセキュリティ診断やセキュリティの安全性向上のための対応ができるようになる。
※わかりやすくするために、説明に正確性が欠けています。また、JSOXのIT監査の話は含まれていません (少しの間表示させる)
ずんだもん:ふむ
皆川:で、これらのサービスって、手続の複雑さや目的がちょっと違うだけで方法論はだいたい同じなんだ。
また、根っこの部分も全部同じで、システム監査・リスク系のサービスは、“規制等のルールに従うため”をスタートにしているんだよ(強調)。そういった意味で、個人的には、システム監査もリスクコンサルも同じような業務って考えているよ。
ずんだもん:なるほど
なんとなくわかったのだ。コンサルっぽいアドバイザリーやリスクコンサルをやりたいと思って、Big4に入ったら、システム監査みたいな仕事をすることがあるってことか?
皆川:うん、そう、それが言いたかったの。まじで引っかかる人いるみたいだから気を付けてください
ずんだもん:気を付けるのだ!
関連動画
本ブログの内容をYoutubeでも公開しています。