私は、経済産業省の情報処理技術者試験のシステム監査技術者の認定試験に合格したことがある。ずいぶん昔の話ではあるが。
そんなこともあって、仕事でセキュリティ対策の実施やら、マニュアル作成に関与させていただくことも多いのだが、実のところそんな仕事は、畑違いというか、正直言って好きではない。
では、何が好きかというと、たぶんシステム監査が好きなんだと思えてきた。
システム監査には、既定のルールに準拠して業務が行われている事の証明(保証型の監査)、あるいは弱点を見つけ出して対策方法の提言を行う(アドバイス型の監査)があるが、ここでいう既定のルールというのがとても幅が広くてつかみどころがない。
【ルール】
1 国が決めた法律、地方自治体での条例、規則
2 所属する組織のセキュリティポリシー
3 組織内担当部署でのローカルな運用ルール
4 担当者のモチベージョン、志し
【マネジメント】
組織の改正や、これに伴う規則の変更、人事異動などはどこの組織にでもあることだ。
人・物・金を調整するためには、マネージメントが必要で、マネージメントには、通知、案内、作業記録などの情報を残すために多種多様な文書が用いられている。この「文書」が通信であったり、データ伝送であったり、電話等による連絡であったり、さまざまな手段で行われる。
【クラウド化のリスク】
特に最近では、データセンターにデータを保存して、事務所にはサーバを置かない手法が用いられることも多いため、データの原本が何で、どのように情報が処理されるのか、利用者側と情報の管理を行う側、その間に介在する情報処理事業者との間での見解の相違、用いている技術の差異によって、多くの矛盾やトラブルが発生する懸念が生じている。
【情報システムの管理基準】
新システムの導入を計画する時、システムの調達を行う時、日常的なシステムの運用を見直す時、日本国内で「基準」として用いることを目的として作成された「モノサシ」がシステム管理基準であり、システム管理基準に基づいて実施されていることを検証して、保証又は助言を行う技術者がシステム管理技術者、、ということです。
<参考>
ITガバナンスの観点を取り入れた「新・システム監査基準」
http://www.atmarkit.co.jp/fbiz/cbuild/complete/audit/02.html
基礎からわかるシステム監査入門
http://www.atmarkit.co.jp/fbiz/cbuild/serial/audit/index.html
