下村 源治さん －監査人インタビュー

ベテラン監査人が語る、セキュリティ監査の意義と、CAIS資格の価値

新卒でeコマース部門のマーチャンダイザーとしてキャリアをスタートし、その後情報セキュリティの道に進まれた下村さん。現在も事業会社の情報セキュリティ部門に所属し、10年以上のキャリアを持つベテランです。今回は、そんな下村さんにセキュリティ監査という仕事の意義や、取得されているCAIS資格の価値について、詳しくお話を伺いました。

下村 源治さん

ECのマーチャンダイザーからセキュリティの道へ

－これまでのキャリアについて教えていただけますか？

下村さん：セキュリティ関連のキャリアは10年以上にわたります。新卒で入社した会社では、当初eコマース部門のマーチャンダイザーとして、メーカーや問屋から商品を仕入れ、ウェブサイトで販売する仕事をしていました。
その後、情報セキュリティ部門へ異動となり、そこでキャリアチェンジをしてセキュリティの道を歩み始めました。私はエンジニア出身ではなく、非IT領域から情報セキュリティに携わることになったのが特徴的かもしれません。

－全く異なる分野からのスタートだったのですね。セキュリティ監査業務に関わることになったきっかけは何でしたか？

下村さん：情報セキュリティ部門で、ISMSの認証維持のために内部監査や、取引先のセキュリティ監査を経験したことが、監査業務を始めるきっかけとなりました。当時は上司と協力しながら、年間20社から30社ほどの取引先を対象に監査を実施し、経験を積みました。

－監査業務を始めた頃は、監査に対してどのような印象をお持ちでしたか？

下村さん： 初めての仕事だったので、戸惑うことも多々ありましたが、当時の上司がセキュリティの専門家で、その姿に憧れを抱き、ロールモデルとして一生懸命業務に取り組みました。特に監査は、取引先様へ出向いてインタビューや、証跡確認を行うため大変緊張しました。インタビュー時に言葉が出なくなることもありましたが、経験を積むうちに、実は大変楽しいことに気づくことができました。

－楽しさに気づけたというのは、どのような点だったのでしょうか？

下村さん： インタビューや証跡確認といったプロセスが、まさに自分の専門性を発揮できる機会だと認識したからです。自身の専門性が活かされていることを実感できますし、被監査組織の方々が「監査に詳しい専門性を持ったセキュリティのプロフェッショナルが目の前で監査してくれている」と認識してくれることが分かりました。そのような場面で自身のスキルアップを実感でき、非常に心地よく感じたため、ますます監査業務が好きになり、更なるスキルアップを誓いました。

企業・組織において重要度が高まる情報セキュリティ監査

－下村さんが考える「セキュリティ監査」とは、どのような仕事でしょうか？

下村さん：監査、特にセキュリティ監査は、組織のセキュリティレベル向上を支援する業務であると考えています。組織を取り巻く内部・外部環境は日々変化しています。規定や対策を講じても、継続的に適切に運用することは容易ではありません。

また、自社でのリスクアセスメントはどうしても評価が甘くなる可能性があります。こうした課題に対し、組織とは独立した第三者の専門家に依頼することで、自社では気づかなかった点を指摘され、改善する機会が得られます。このように、組織のセキュリティ課題を解決し、レベルを向上させるために、監査を有効活用することは非常に有効な手段であると考えています。

－セキュリティ対策というと、ソリューション導入に焦点が当たりがちですが、セキュリティ監査の現状をどのように捉えていますか？

下村さん：現状ではまだ十分とは言えない状況だと考えています。大企業には監査部があり、専門の方々がいますが、セキュリティ監査に専門性を持つ方はまだ少数です。また、多くの子会社を抱えるグループ会社では、グループ全体にセキュリティ監査が十分に行き渡っていないケースが多く見られます。したがって、セキュリティ監査の専門家を育成すること、そしてその専門家が第三者的な立場でグループ全体を監査できる体制を整えることが重要です。

－サイバー攻撃の高度化が進む中で、持続的なセキュリティレベル維持のためにも、監査は非常に重要なのですね。

下村さん：監査項目や基準を毎年見直し、時代や脅威に応じた内容にすることが重要です。それによって、新たな発見やリスク対策の助言が可能となり、持続的なセキュリティレベルの維持・向上に不可欠であると考えています。監査人の力量向上や、監査に用いるツールの高度化も必要だと感じています。

プロ意識を高く持ち、監査業務に取り組む

－監査業務を進める上で、最も大切にされている姿勢や取り組みは何ですか？

下村さん： プロ意識を持って取り組むことを非常に重要視しています。被監査組織の方々からは、監査人に対してプロフェッショナル、セキュリティの専門家というイメージを持たれていると認識しており、高い付加価値を発揮することを期待されていると理解しています。その期待に応えられるよう、常にプロ意識を持ちながらセキュリティ監査に取り組むことが、私自身の価値観の変化であり、大切にしていることです。

－プロ意識を維持するために、具体的にどのような活動をされていますか？

下村さん： 仕事に一生懸命取り組むことは当然ですが、それに加えて、JASAの活動に参加したり、IPAの試験作成委員として試験問題を作成したりしています。また、様々なセミナーに参加して勉強したり、時には自ら講演を行ったりすることもあります。このように、仕事とは異なる様々な場面で経験を積むよう努めています。

－監査を通じて得られた経験や、ご自身のキャリアへの影響について教えていただけますか？

下村さん：リスクへの感度が非常に高まったと感じています。組織のルールや対策が十分でも、世の中で発生しているサイバー攻撃や被害状況を考慮すると、さらに改善する余地があるのではないかと発見することが多々あります。このリスク感度を高めるには、監査経験はもちろん重要ですが、セキュリティやITの専門知識習得も有益です。JASAが提供する監査関連資格取得や、ベンダートレーニング参加などが役立つと考えています。

また、自社だけでなく他の組織を監査する場面で多くの学びがあります。「この会社はなぜこのセキュリティ対策を推進しているのか」「あの会社のセキュリティガバナンスはどのような背景で構築されているのか」といった点をヒアリングすることは、ケーススタディとして学習効果が得られ、知見を高めるきっかけとなります。こうした知見を積み重ねることで、監査の品質が高まると考えています。価値観の変化としては、先ほど申し上げたプロ意識を持つことができた点が大きな変化です。

－業界やビジネスについても理解しておく必要があるのですね。

下村さん：監査を行う際、被監査組織が置かれている業界・業種の特徴や、セキュリティ上の課題を事前にしっかりと認識しておくことが重要です。それを踏まえて臨まなければ、的確な監査結果を導き出すことはできません。そのため、セキュリティだけでなく、周辺知識も習得しておくことが重要になります。

情報セキュリティ監査の知見向上のため、CAIS資格を取得

－CAIS資格取得のきっかけは何でしたか？

下村さん： 新卒で入社した会社で上司と共に様々なセキュリティ監査を経験する中で、ある日、上司からセキュリティ監査を体系的に学び、資格を習得して対外的にアピールしたいという話がありました。ちょうど私も同様の思いを抱いており、共通の課題意識を持っていました。そこで、様々な情報を調べた結果、JASAがCAIS資格を付与し、関連トレーニングを提供していることを知りました。上司に提案したところ快諾いただき、上司と共にトレーニングを受講し、共に資格を取得した次第です。

－実際にCAIS資格を取得されてみて、いかがでしたか？

下村さん： トレーニングでは、座学と演習を通じて、セキュリティ監査の全体像を把握し、体系的な学びが得られたと感じています。研修資料は、自社でセキュリティ監査制度を整備する際にも非常に役立ちました。また、資格取得後には名刺に資格名を記載することで信頼性が高まり、社外で講演する際の自己紹介でアピールできるため、多くの方にこの資格を知ってもらい、挑戦してもらうきっかけにもなっているのではないかと感じています。しっかり資格を習得した専門家であるという認識を持ってもらえることは、肌で感じるところです。

－ これからCAIS資格の取得を検討されている方々へ、メッセージをお願いします。

下村さん：現代社会において、情報セキュリティの重要性はますます高まっており、監査を担う監査人や専門家の役割は、社会の安全と安心を確保するための要であると考えています。CAIS資格の勉強は大変な努力が必要で、困難に直面することもあるかもしれません。しかし、皆さんの努力は非常に貴重な財産となります。 習得したスキルや経験は、企業の情報資産を守り、ひいては日本全体のセキュリティレベル向上につながる、意義のあるものと信じています。困難に立ち向かう粘り強さ、知的好奇心、そして安全な社会を築きたいという情熱を持って取り組めば、きっとCAIS資格に合格できるはずです。ぜひ自信を持って、最後まで頑張っていただきたいと思います。