土屋直子さん　～監査人インタビュー～

セキュリティ国際標準化のエキスパートに聞く、情報セキュリティ監査の重要性とその意義

NTTテクノクロス株式会社の土屋さんは、セキュリティマネジメントコンサルティングやクラウドセキュリティ認証支援、そしてISO標準化活動にも携わっているセキュリティの専門家です。
情報セキュリティ監査の仕事の意義、CAIS資格の価値、そして今後の展望についてお話を伺いました。

土屋 直子さん

文系学生からソフトウェアエンジニア、そしてセキュリティのエキスパートへ

－今、担当されている業務についてお聞かせください

土屋さん：セキュアシステム事業部に所属しており、現在の役職はプリンシパルアーキテクトです。これはスペシャリストコースにおける役職の一つとなっております。担当業務としては、主にセキュリティマネジメントに関するコンサルティング、およびISMS認証やISO/IEC 27017に基づくISMSクラウドセキュリティ認証などをお客様が取得される際の支援コンサルティングを行っています。

また、並行してISO標準化活動にも携わっており、ISO規格（ISO/IEC 27002やISO/IEC 27017など）の制定や改訂活動にも従事しています。このISO活動に携わるきっかけとなったのは、JASAのワーキンググループでの活動でした。

－土屋さんがセキュリティ分野に進まれたきっかけについてお聞かせください

土屋さん： 実は、学生時代は文系で国際関係学を学んでおり、現在の分野とは全く異なる領域でした。入社後、最初に配属されたのがセキュリティアプリケーションを開発する部署で、そこで2年間開発業務に携わりました。これがセキュリティ分野との最初の出会いです。その後、ISMSなどのセキュリティマネジメントに関するコンサルティングを行う部署に異動して以来、一貫してこの分野に従事しています。ソフトウェア開発もセキュリティ分野も初めての経験だったため、最初はかなりカルチャーショックを受け、大変でしたね。

監査業務に関わるようになったのは、ISMSなどのセキュリティマネジメントに関するコンサルティングを行っている中で、お客様の内部監査を弊社で代行させていただく機会が増えたことがきっかけです。

業務での担当をきっかけにCAIS資格を取得
JASAの活動を通して自身の可能性が広がる

－CAIS資格を取得された経緯や、取得後の変化についてお聞かせください。

土屋さん： 資格取得は会社の勧めもありました。当時、会社としてクラウドセキュリティのコンサルティングを手掛けるにあたり、JASAが立ち上げたクラウド情報セキュリティ監査制度（CSマーク）のプロジェクトに参加しました。その準備過程で情報セキュリティ監査人補の資格を取得したのがスタートです。

資格維持やJASAの定例研究会への参加は、私自身のセキュリティに関する知見を維持・向上させる上で不可欠な要素だと考えています。資格維持のためには、常にセキュリティの専門知識について学び続ける必要があるからです。

また、現在私はJASAの国際標準化ワーキンググループのリーダーを務めていますが、この活動は情報セキュリティ監査の基準となるISO規格をより使いやすいものにする目的で行われています。私の場合、JASAの活動を通じて標準化活動に携わるようになったこともあり、JASAは自身の様々な可能性を広げてくれた場だと感じています。

被監査者に気づきを与えられる監査を

－監査業務を始められた頃、監査という仕事にどのような印象をお持ちでしたか？そして、現在ではどのような仕事だとお考えですか？

土屋さん: 当初、監査には堅いイメージがありました。経験を積むにつれて、どうすればより有効的な監査ができるのか、奥が深いと感じるようになりました。監査は被監査組織から独立した立場にある監査人が行うものであり、被監査組織側にとっては、自組織だけでは気づくことのできなかった気づきを得られる場と考えています。私自身もお客様組織を監査させて頂く際、お客様に新たな気づきを提供できるような監査を心がけています。

－新たな気づきを提供するために、特に大切にされている姿勢や工夫はありますか？

土屋さん： 気づきを提供するためには、まず私自身がセキュリティについて深く理解している必要があると考えています。私はISO標準化活動にも携わっているため、監査の基準となるISO規格を深く理解する環境に恵まれています。この強みを活かし、例えば、規格ができた背景や、情報セキュリティ管理策の本来の意図などを、お客様にお伝えするようにしています。これにより、お客様が「この管理策にはこのような意図もあるのか。それでは、こういった部分をさらに強化すべきだな」と、新たな気づきを得られるような監査を心がけています。

また、資格取得で基本的な監査手法を学びましたが、実際の監査現場での実務経験を通じて、お客様の様々な状況に対応するための多くの経験が得られると実感しています。経験を積むにつれて、お客様の中に潜在的に存在する課題や、より広い視野から課題感やその周辺を捉え、お客様に新たな気づきを提供するにはどうすべきかといったことまで考えるようになりました。監査業務で得られた知見は、次のお客様への監査や、ISO規格の改善提案など、様々な形で活かせると思います。

監査手法をアップデートしつつ、監査のハードルを下げ
より多くの企業・組織が情報セキュリティ監査を実施できるように

－情報セキュリティ監査の現状についてどのように感じられているでしょうか。特に中小企業などでは、まだ十分に浸透していない印象があります。普及のためにどのようなことが必要だとお考えですか？

土屋さん： おっしゃる通り、情報セキュリティ監査は、大企業では取り入れられていますが、中小企業ではまだあまり取り組まれていない状況です。また、セキュリティソリューション導入後の効果測定や監査に関する話もあまり聞かれません。セキュリティの役割と責任は特定の専門家だけでなく、組織の要員一人ひとりに求められるようになってきており、監査という概念をさらに普及させていくためには、情報セキュリティ監査のスキルも、特別な専門家だけでなく、企業内でより多くの人が有し、実施できる形にすべきだと考えています。

また、監査方法自体も進化しており、JASAの研究会でも監査の自動化や次世代の監査、AI活用などが議論されています。そうした最新技術をうまく活用し、監査のハードルを下げていくことで、どの企業や組織にも広く監査が浸透するのが望ましい姿だと考えています。

－今後のキャリアや、監査業務に対する展望についてお聞かせください。

土屋さん： 監査業務は今後も継続していきたいと考えており、ますます重要視される分野になるでしょう。今後もJASAの定例研究会などにも参加し、これからの監査のあり方について議論していきたいと思います。

世の中のニーズに合わせて変化していく可能性のある監査に対し、新しい監査の手法や考え方を取り入れ、自身の監査スキルを高めていきたいと考えています。

－最後に、これからJASAの資格取得を目指す方々へのメッセージをお願いいたします。

土屋さん：JASAの資格を取ることや研究会に参加することにより、セキュリティの知見が高められます。また、ワーキンググループの活動を通して他社の方々との交流も深められ、セキュリティキャリアの可能性も開けると思いますので、ぜひ皆さん資格やJASAの活動にチャレンジしてみると良いと思います。