自治体における情報セキュリティ監査の必要性
九州圏内だけなのかわかりませんが、ここ数年「住基ネット監査をやって欲しいがやってくれる人がいない」とか、「情報セキュリティに関する外部監査を受けるよう包括外部監査で指摘を受けた」とか、情報セキュリティ監査の需要がありつつも対応できる人がおらず、またいたとしても予算が合わない等で困っている地方自治体が増えているように思います。
かつて、前職に入所してまだシステム監査技術者の資格を取っていなかった10年ほど前(2010年6月に取得しました)、前職で一括して住基ネット監査の仕事を受注し、手分けして沖縄の離島のような辺鄙なところから地方の都市まで様々なところに行っていたことがあります。しかし、これも予算が合わなくなってしまったのかいつの間にか無くなっていました。
情報セキュリティ監査というのは、保証型監査と助言型監査があるとよく言われますが、実際には助言型監査が圧倒的に多く、いわゆるコンサルティング的な意味合いが強いものになります。定期的に実施し外部から点検してもらう重要性は自治体に理解されているものの、点検ごときにそこまで予算はかけられないというのが本音なのではないかと思います。
一方で、監査を実施するにあたっては実際に対象部署に赴き、ヒアリングや現地調査を行う必要があります。したがって、それなりに人手も工数もかかり、実施する人材も大手監査法人やIT業界の大企業などで高単価なため、入札等で不調に終わることも多い印象です。
かつて、一括して受注していた住基ネット監査はその後どうなったのだろうと考えた時、そもそも監査の必要が無くなったというのではないのだとしたら、あくまで推測ですが、このニッチな市場に入り込み低単価で請け負っていた情報セキュリティ監査専門の中小の事業者が存在していたのではないかと思います。そしてその事業者が何らかの理由でこの市場から撤退してしまい、今再び困っている地方自治体が増えてきたというのはありそうな話です。
システム監査技術者の需要
私がシステム監査技術者の資格を取得したのは、上記の住基ネット監査の主任になるために、システム監査技術者かCISAというアメリカのシステム監査の資格保有者である必要があったためです。
一般にシステム監査技術者の方がCISAよりも難易度が高いと言われていますが、CISAが面倒な更新手続があるのに対して、システム監査技術者は一度取ればそれ以降に研修や更新手続きは不要であったため「どう考えてもシステム監査技術者の方がいい!」と思ったためです。CISAは思った通りというか、失効したことに気付かない人とかもいるようで、しかも私はその後数年間システム監査業務をやっていない時期もあったりしたので、CISAだと失効していた可能性もあります。
前職を退職する数年前から、仕事が増え始めている印象がある情報セキュリティ監査業務ですが、このようにシステム監査技術者で実務経験もあるという人材は非常に少ないようで、ここにきて資格の価値が上がってきているような気がします。資格だけ保有しているという人は結構いるのかもしれません。ただ、そもそもIT系資格の上級資格の中で、あえてシステム監査技術者を狙う人は少ないと思います。私が言うのもなんですが、なんといっても面白くなさそうです。プロジェクトマネージャとか、ITストラテジストとか、システムアーキテクトとか、他の上級資格の名前のワクワク感と比べると「システム監査か…」と思ってしまう人は少なからずいるのではないでしょうか。
そんなわけで、資格保有者が少ないうえ、実務経験まで考えると該当する人材が非常に少ないと思われるこの資格は、情報セキュリティ監査の必要性もあって思いのほか需要があるのではないかと感じます。
