前のページで挙げたようなキャリアパスへ移行するにしても、知識や経験のない人が社内外を問わず、現在と異なる職種でチャンスを得るのはそう簡単ではありません。そのためにやらなければいけないことはいくつかありますが、まず手始めにお勧めできることとして、目指す分野の勉強を始めること、そして得られた知識を少しずつでいいので、現在の仕事の中で実践していくことが挙げられます。具体的な方法について、いくつか考えてみましょう。
1.社会情勢や最新情報を得る
まずは高い意識を持つことが必要ですが、それを裏付けるために社会情勢を勉強しましょう。ビジネスニュースやITニュースを読む場合、特に企業の内部統制やリスク管理に関するテーマを重点的に読んでみるといいでしょう。これまでは縁の下の力持ちだったにもかかわらず、昨今このような職種が重視されてきた背景には、それなりの理由や経緯がありますから、まずはどのような流れがあるのかをウォッチするといいでしょう。
またITの世界の中でも、自分が開発者だったら運用の仕事を学ぶとか、専門分野でない分野の技術動向を知るというように、自分の専門以外の分野の知識や動向についても積極的に情報収集するといいでしょう。
2.専門書を読んでみる
1を実践し、内部統制やリスク管理について意識し始めると、少しずつ興味がわくにつれ、分からない概念やキーワードが出てきたり、もっと掘り下げて学んでみたい項目が出てくるかもしれません。
そのような意識が自分の中で育ってきたら、入門レベルでいいのでぜひ専門書を1冊通読することをお勧めします。すべてを理解する必要はありませんが、「何となくそういうことなんだな」という感じでいいので、大まかに全体像を理解しておけば今後の学習を深めるのに役立つはずです。
3.自社のセキュリティポリシーを読んでみる
中規模以上の会社であれば、リスク管理や情報セキュリティに関する社内ポリシーが作られている場合があります。その会社がどのような理念や考え方、やり方、姿勢で対応していくかを示したもので、ある意味、業務を遂行するうえでの土台となるものです。ポリシー、ルールがあれば読み、実際に現在の自分の仕事が準拠しているか、またその考え方や姿勢に沿って業務を進めているかを振り返って確認してみましょう。
4.業界のポリシーを読んでみる
例えば、経済産業省がまとめている「システム管理基準」のように、複数の公的機関から内部統制に関するガイドラインが示されています。ほかにも、日本でいうISMS(Information Security Management System)や国際的にはISO 27001のように、公的な制度として発表されているものもあります。
リスク管理や監査の仕事は、やみくもに個人の努力や思い付きで進めるものでなく、このような基準やガイドラインに照らしながら進めていくものです。実際の考え方や着眼点を学ぶのに役立つでしょう。
5.自分の仕事を文書化してみる
自分の仕事には、いくつかの決まったプロセスや手順があるはずです。始めは簡単な個条書きやフローチャートでいいので、自分の仕事を文書で表現してみましょう。どういうプロセスで成り立っているのか、どういう目的でどういうことをしているのかを整理することは、内部統制を考えるうえでの土台になります。
6.自分の仕事のリスク評価をしてみる
5で挙げた自分の仕事の「プロセス記述書」を作ったら、その中のどこにリスクがあるかを考えてみてください。例えば、運用の仕事であれば、あるステップで操作に失敗すると自社のシステムにこんな影響があるとか、開発であれば、ある工程での見落としがあるとシステムの品質にこんな影響があるとか、想像力を駆使して自分の仕事に潜むリスクについて、思いをめぐらしてください。
このとき大事なことは、ブレーンストーミングと同じで、たとえ可能性の低いことやちょっと荒唐無稽(むけい)な思い付きでも否定しないことです。とにかくいろいろな可能性を想定することが大事です。
7.リスクに対する対応策を考えてみる
6で、自分が日ごろ行っている仕事にはいろいろなリスクがあることが分かったかもしれません。中には、実際に起こる可能性が低くないこと、あるいは発生した場合の業務への影響が少なくないものもあるに違いありません。そのような要素こそ、まさにリスクと呼ぶものです。そこで、実際にどうすればそのリスクを減らすことができるか考えてみましょう。例えば、自分が操作ミスや入力ミスをするとシステム運用に影響が出る処理であれば、再度チェックをするステップを加える、上司や同僚に第三者チェックをしてもらう、目視確認や手作業で人為的なミスや見落としが発生しそうな処理であれば、管理ソフトを入れて自動化するというように、リスクを減らしてより確実に業務を遂行するにはどうすればいいか、ぜひ1度じっくり考えてみてください。
また、このような思索を行う際には、2で挙げたように専門書を再度ひもとくといいでしょう。そのときピンとこなかった内容がふと腑に落ちたり、またはどう考えればいいか考え方のヒントとなることがあるはずです。
いかがでしょうか。ここで説明した内容だけでも、初歩的なレベルながらITに関する内部統制、いわゆるIT統制に必要な要素は十分入っています。日ごろからこのような考え方や仕事の進め方を取り入れることで、まずはこの分野の専門家になる第一歩を踏み出すことができるはずです。
さらに、これらの職種で必要な分野について、もっと包括的な知識が得られ、内部統制にかかわる職を得るためにもいい材料として、国際的な専門資格の取得をお勧めします。次回はそれらの資格の詳細やそこで学べる内容について説明します。
公認情報システム監査人(CISA)
公認情報セキュリティプロフェッショナル(CISSP)
渡辺知樹
外資系企業でのISMS導入、SOX内部テストプロジェクトなどをリードし、現在も情報リスク管理や内部統制システムの整備を主な業務としている。現在、合同会社ランディングポイントジャパン代表として、後進の指導にも当たる。 公認情報システム監査人(CISA)。公認情報セキュリティプロフェッショナル(CISSP)。
Copyright © ITmedia, Inc. All Rights Reserved.