Big4システム監査とは－将来性、必要な資格は？

それは大事件だ！

はい、では、ここから今回の首題のシステム監査のお話だよ

うん、大有りだよ！

クライアントのシステムが、機密性・可用性・完全性等の観点から安全だということを第三者の監査人が証明する仕事を指すんだよ。

Lineには写真や動画含めて他人に知られたくない内容も投稿してるけど、もしこれが情報漏洩して他のSNSで拡散されたら困るよね？

ここで登場するのがシステム監査人なんだよね

うん、システム監査人がLineってシステムを検証して、セキュリティが高いことを保証すれば、ずんだもんも安心して使えるよね

うん、実は受けているよ。
その証拠にLineのHPにSOC2、3っていうセキュリティに関するシステム監査を受けて、システムの安全性が保障されていることを公表しているんだ

うん、Lineのシステム監査はBig4のEYが実施しているんだよ！

EYがLineの安全性を保証してるのに、なんで個人情報漏洩なんて起きたんだろうね、、
この辺は、EYのSOC2,3報告書から説明できるから、今度説明するね

うん、語弊を恐れずいうと外部のシステム監査ってBig4含めた監査法人しか実施できないんだよね

説明するね。
システム監査の主な仕事は、クライアントのシステムが政府や任意団体が作っているセキュリティのルールに沿ってガバナンスを構築していることを保証するのが仕事なんだ。
クライアントになる企業は、法定でこのルールに従うためにシステム監査を受ける場合もあるし、顧客に安心してシステムを使ってもらうために任意でシステム監査を受けている場合もあるよ

で、そのルールってのはいろいろあって、
例えば次のようなのがあるよ
経産省　システム監査基準
政府(NISC)　セキュリティ統一基準
米国公認会計士協会　SOC2
米国国立標準技術研究所(NIST)　セキュリティガイド
EU　デジタルオペレーションレジリエンス

一部企業は準拠必須の法定監査の場合もあるけど、基本的には任意だよ。
Lineみたいな企業は、とりあえず一番知名度が高くて、セキュリティ全般を取り扱っている米国公認会計士協会のSOC2を利用しているね

どれもセキュリティに関するルールで、同じようなことが書いてあるから、主に行政向けに適用される政府(NISC)のセキュリティ統一基準を例にだすね

統一基準の構成は次の８章構成になっていて、各章に従うべき詳細なルールが記載されているんだ
第１章　総則
第２章　情報セキュリティ対策の基本的枠組み
第３章　情報の取扱い
第４章　外部委託
第５章　情報システムのライフサイクル
第６章　情報システムの構成要素
第７章　情報システムのセキュリティ要件
第８章　情報システムの利用

例えば第２章の情報セキュリティ対策の基本的枠組みには、教育についてルールを定めていて、「職員は教育計画に従って教育を受講すること」ってルールがあるんだ

うん、そうだよ。こういうルールについて守られていることを一個一個確かめていくのがシステム監査なんだ

この場合はね、行政職員にね、セキュリティに関する年間教育計画書と、その教育のための研修の出席簿を提出してもらうんだ

システム監査人は、提出してもらった資料を見て、年間の教育計画が定められていて、職員が研修に出席していることを確かめるんだよ

それだけだよ。ルールに記載されているとおり、教育計画を定めていて、実施していることを確かめるのが仕事だからね

だいたいこんなもんだね。研修の中身まではあまり見ないかな。見るの大変だからね

こういった確認項目が何百、ルールによっては1000個ぐらいあるんだ

うん、1000個分の資料を貰って、その確認結果をひたすら記録として残していくんだ・・・・・
政府の基準にISMAPってガイドがあるんだけど、とにかく検証項目が多いから、確認結果を記録するのに、エクセルで1万行以上作文し続ける必要があるんだって・・・

さっきの例は、極端に簡単な例を出したけど、脆弱性対策の検証とか、プログラム検証とか専門的な検証ももちろんあるよ
ただ、誰でもできる検証項目もかなり多いから、IT未経験者でもできる仕事でもあるんだ。この理由は 次のQAでもう少し深堀するね

専門的な知識を試される場面もあるけど、単調で膨大な量の作業を淡々とやることが多いため、好き嫌いがあるよ

細かい作業を淡々とこなせる人に向いている仕事だよ。これまでに総務やコンプ等の会社のガバナンスに関わってきた人にもお勧めだね

明確なゴールがないコンサルと違って、白黒はっきりしているっていう意味だとシステム監査の方が楽かもね。また、白黒はっきりしているから、イレギュラーも発生することが少なくてコンサルに比べて炎上することもずっと少ないね。
ただ、業務量でいえばコンサルと比較しても負けてないよ

うん、Big4は新卒でも採用しているから入れるよ

なれるよ。結構事例は多いよ

システムの安全性を担保するには、システム自体のセキュリティを上げる必要があるの はわかると思うけど、それだけでなく、そのシステムを裏で開発・運用している人に対しても 留意が必要なんだ

システムを調達する際に、信頼ができる業者から購入しているか、開発時に仕様書通りに設計しているか、運用時に、こっそり個人情報を抜き取っていないかなど、システムの裏にいる人たちが誠実にルールに従わないと、システムの安全性は担保できないんだよ

うん、そうなんだ。そうなってくると、システムだけじゃなくて、システムに開発に携わる人、それを管理する人、最終的にはシステムを作っている会社全体の哲学や教育方針なん かも見ていくことになるんだ

そのとおりだよ。こういった評価になると、システムに関する知識だけでなくて、組織の在り方そのものに対する理解が求められるんだ。
だからシステム監査は IT 未経験でもできる 仕事が多いんだよ

システム監査自体の需要は伸び続けているんだ。
IT化、IoT、DX等ますます実生活とITが結びつく社会になっているから、システム監査人がシステムの安全性を検証する機会がどんどん増えているよ

そのため、システム監査人の地位もどんどん上がっているね。
海外だと、1位の弁護士の次にシステム監査人の給料が高いって統計もあるしね。
日本でも、なんかの統計で6番目ぐらいにシステム監査の年収が高いって出てたのを見たことあるよ

うん、特に海外に関しては僕自身の体感的にもそこまで違和感ない統計結果だね

僕の周りでは、だいたい多い順に次の４つぐらいかな
１．Big4でシステム監査人を極める
２．事業会社の内部監査部門でシステム監査に転職
３．事業会社のシステム部門やコンプライアンス系に転職
４．セキュリティコンサル、プライバシー系のコンサルに転身
 
システム監査は専門職、かつ、将来性があるから、職に困ることはないと思うよ

IPAの情報処理系の資格、CISAかな。
特にCISAは難易度が低いわりに、肩書としてかなり有用だからコスパが高くておすすめだよ

うん、今まで述べてきたように、システム監査は将来性があるから大変お勧めだよ。
なにより、IT未経験でも、IT関連職の専門家になれるので大変コスパがよい仕事だよ

そうだね、違うけど、かなりの部分で同質性が認められるよ

うん、もちろん違うところもあるけど、一部で被っています

あくまでも個人的な意見だけどね
例えば、デロイトは、システム監査を監査法人側で監査アドバイザリーって形でやってるよ

PwCの場合も、似たような感じで
監査法人側に監査およびアシュアランスって括りのサービスがあって、ここでシステム監査関連サービスをやっていることが多いんだ

次にKPMGは、監査法人のアドバイザリー業務の中でシステム監査をやっていたりするんだ

で、EYはコンサルティング会社側で、しかもテクノロジーリスクコンサルティングの中でシステム監査関連の業務もやってるよ

システム監査って“監査”ってついてて、会計士協会が定めた厳格なルールに沿って実施する必要があるからめちゃめちゃ労力がかかるんだ

ふむ

だから、企業がシステム監査をお願いする場合、めちゃめちゃ金がかかるんだ。
さらに監査に協力する手間もかなり発生する

だから、企業によっては監査じゃなくて、もっと気軽に・安く、監査法人にシステムの安全性について評価してもらいたいってニーズがあるんだ

また、SOC2の監査を受ける前に、SOC2の評価に耐えられるか評価するためにSOC2のルールとのGap分析をしてもらいたいってニーズもある

他にも、システム全般じゃなくて、システムのセキュリティのうちプライバシーについてだけ評価をしてもらいたいときもある

さらに、システムの評価に加えて、具体的な対応方針についてもアドバイスを貰いたい場合もある

で、システムの安全性が確保できたあとは、さらに効率的な運用についてもアドバイスを貰いたい場合もある

そんなときは、システム監査ではなくて、助言業務、アドバイザリー業務、リスクコンサルって言葉を使ったサービスになる。
こうすることで、厳格な監査手続きに沿わずに簡易的なやり方で企業のセキュリティ診断やセキュリティの安全性向上のための対応ができるようになる

で、これらのサービスって、手続の複雑さや目的がちょっと違うだけで方法論はだいたい同じなんだ。
また、根っこの部分も全部同じで、システム監査・リスク系のサービスは、“規制等のルールに従うため”をスタートにしているんだよ。そういった意味で、個人的には、システム監査もリスクコンサルも同じような業務って考えているよ

うん、そう、それが言いたかったの。まじで引っかかる人いるみたいだから気を付けてください