最後に、なぜ資格取得が必要なのか、そしてこれらの資格取得をとおして、ITガバナンスやIT統制に関する仕事に就くにはどうすればよいかを説明します。
情報セキュリティを広い目で見で見ると、企業のITガバナンスやIT統制の中で、情報リスクに対するもの、つまりITガバナンスの一分野です。よって、ITエンジニアとして十分な知識や経験を積んだら、次はそれらを生かしてセキュリティを体系的に学び、その集大成としてCISSPを取得し、セキュリティの専門家になるのが近道でしょう。
そこから横展開し、リスク管理や内部統制、企業のIT経営の手法といったガバナンスの考え方を体系的に学んでいき、CISAを取得し、ITガバナンスの専門家になる、というキャリアパスが考えられます。
例えば、これまで流通システムのシステムエンジニア(SE)だった人が同じ分野でさらに好条件の職を得るのは、過去の実績や習得したスキル、本人の熱意、今後の自分のキャリアに対するしっかりした考え方を示すことができれば、十分に可能性はあるかと思います。ところが、これまでSEやITコンサルタントだった人が今回解説しているようなITガバナンスやIT統制に関する仕事に応募した場合は、ある種のキャリアチェンジになるわけですから、最初の書類選考で選ばれるためにはどう採用側にアピールするかという問題があります。また実際に面接にこぎ付けた際には、経験がなくてもしばらく訓練したり経験を積めばおそらく専門家になれるだろうと、採用する側に思わせる必要もあります。
そのために、このような難易度の高い専門資格を取得していることは大いに役立つはずです。CISA、CISSPとも監査やセキュリティ、ITガバナンスに関する5年程度の経験が認定の条件になりますが、経験年数が足りない場合でも「試験合格」と履歴書に書き、採用する企業側にアピールすることは可能です(実際は四年制大学卒で何年、ITに関する業務の経験で何年と代替条件があるので、四年制大学卒で数年程度のIT業務の経験があれば、実質2年程度のITガバナンス経験で資格認定が可能です)。
J-SOXによる内部統制の確認と報告が義務付けられた最初の会計年度ということで、コンサルティング企業や監査法人、上場企業で、J-SOX担当者の人手が大幅に足りないといわれています。そこで、難易度の高い試験に受かったこと、ITガバナンスの考え方や重要性を理解していることはその分野での転職を狙うに際して大きな強みになります。また、これまでのSE経験の中でもセキュリティやITガバナンスに関して体系的かつ積極的に取り組んできて、実際に業務に適用してきたという人であれば、採用する側からは、比較的短期間の学習や訓練で戦力になる見られるため、採用される可能性が高くなります。
そもそもIT監査人というポジションは、CIOに次いでベテランITエンジニアの最終ゴールの1つと考える人も多く、資格取得のための勉強で、自分のキャリアアップへの職業訓練になり、実際に試験に合格して認定されれば、新しい分野にチャレンジするための武器にもなるということです。
公認情報システム監査人(CISA)
公認情報セキュリティプロフェッショナル(CISSP)
渡辺知樹
外資系企業でのISMS導入、SOX内部テストプロジェクトなどをリードし、現在も情報リスク管理や内部統制システムの整備を主な業務としている。現在、合同会社ランディングポイントジャパン代表として、後進の指導にも当たる。 公認情報システム監査人(CISA)。公認情報セキュリティプロフェッショナル(CISSP)。
Copyright © ITmedia, Inc. All Rights Reserved.