No Challenge, No Change. (挑戦なくしては何も変わらない。)
為せば成る 為さねば成らぬ何事も 成らぬは人の為さぬなりけり(上杉鷹山)
人生はNever too late.(デニー友利)
CISSP受かりました!
CISSP合格しました!
いやあ、本当によかったとです。
7万円弱の受験料を自腹した甲斐がありました。というか、そういう意味でも落ちれなかったですorz
あとは申請すれば晴れて名刺にも書けるってもんです。
CISA、情報セキュリティアドミニストレータ、CISSP・・・
はたから見ればセキュリティ系の人間間違いありませんね。
しばらくはセキュリティ系はこれくらいにして。
業務上、さすがに企業の基本的な仕組みがわかっていなくてやばい気がしてきましたので、そっちの勉強をしようと思っています。ERP(SAP、OracleEBS)などのパッケージがカバーしている業務の流れです。具体的には、販売・購買・在庫管理の仕組みです。もっというと、売掛金管理の仕組みや滞留在庫管理とかです。
このあたりの基本的な仕組みがわかっていないと、セキュリティ上どこにリスクがあるのか的確に判断できないです。
オラオラ系
最近の採用動向らしいです。
わたしの所属する部門はまだまだ拡大路線中みたいです。
さいきんは、コンサルの人をとりたいみたいです。
とくに○クセンチュアとかにいっぱいいそうなオラオラ系。
ところで、いわゆる戦略系コンサルは監査法人出身者は絶対採用しないらしいです。
なぜかって・・・
リスクをとらない思考に凝り固まってるからだそうです。
既成概念を打破するようなゼロベース思考が必要な戦略系では、そんな人材はご免なようです。
まあ、いろんな業務があるから一概には言えないことだろうけど。
確かに、業務外のことをしようとする人は少ないかもしれない気がする。業務については、ほんとスピーディで効率的なしごとをしてるけど。仕事はほんと早い人が多い。てか、早くないとさばききれない。
業務外のことをやることって大事だと思うんだけどね。
グーグルの革新的なサービスは、業務外のことから生まれてるものが多いというのは有名な話ですね。
業務時間の2割くらいだったかは、好きなことに費やしていいってさ。遊びじゃなくて、新しいサービスを生むような自由な発想をする時間。
そういう機会から、革新的なアイデアは生まれると思う。
指示待ちじゃなく、プロフェッショナルなんだから、そういう時間も必要。もちろん、業務時間外で。
プロ野球選手は試合以外の時間でも野球のことを考えている。サッカー選手も。
イビチャ・オシムの名言にもある。
プロフェッショナルとは、24時間、そのことを考えて、アウトプットを出すこと。
イチローや松井だったらどう考えてどう行動するか、これを想像するだけでも、相当な参考になります。
いくら環境が変わっても、そこの色に自分の全部を染められないように、自分というものを持ち続け、常に外部からの情報収集を怠らず、自己研鑽に励み、子供たちに自分のやっていることを堂々と話せるようなことを為していきたいものです。
夏野氏講演
昨日、元NTTドコモでiモード開発者の一人である夏野氏の講演を聞いてきました。
起業家志望者のコミュニティ(私は特に起業志望ではないですが)主催でした。
生きてきた中で3本の指に入る、感動した講演でした。
それはもう心を揺さぶられました。
夏野氏は裏のない、本心から語り、本心で行動してきた素晴らしい方だと思いました。
当たり前のことを当たり前にすること。
わたしの人生の信条は、一発限りの人生、自分のやりたいようにやらせろ!です。
この考えは間違っていないとさらに強く思いました。
それだけではなく、経営のノウハウがいくつか垣間見ることができ、それはもう耳の穴をかっぽじってよく聞け!一言一句聞き洩らすな!というくらい、とてもありがたいお話でした。
今回、あの西和彦氏もコメンテーターとしていらしており、すごく貴重な体験でした。
来月はあの堀江氏の講演なので、絶対行きたいと思ってます。
CISSP途中経過
4月くらいからちょっと真剣にやりだしてます。
勉強教材はこれ。
<問題集>
・CISSP Practice Questions Exam Cram (2nd Edition) Michael Gregg (著)
<参考書>
・The CISSP Prep Guide (All-In-One) Ronald L. Krutz Russell Dean Vines
・CISSP認定試験 公式ガイドブック Susan Hansche、John Berti、Chris Hare、 笠原 久嗣
・「国際CISSPサマリー日本語版」
いろいろ探してみたものの、問題集は英語しかなかったです。
日本語の公式ガイドブックがあるのですが、電話帳ばりの重量と厚さと法外な価格(15,000円也)。
問題集をやってると、公式ガイドブックに載ってないものがけっこうあって、あれあれ??と思ってたら、「国際CISSPサマリー日本語版」にはけっこう載ってました。また、The CISSP Prep Guideは重要ポイントのみしぼって記載している感じなので、けっこうお勧めかと。
問題集やってわからないと調べて、という形ですすめています。
しかし、問題集が英語なので、やけに英語なれしてきてしまい、本番で日本語の問題読んでもピンとこないのではないかという不安があります。日本語と英語併記なので、むしろ英語の文を読んだ方がスムーズかもしれません。。。
アゴラ
今度、アゴラ起業塾というところで開催される、元NTTドコモの夏野氏の講演をききにいってきます。
いつもシステムリスクに関する仕事ばかりだと、あれだとリスクがあるとかこれだとリスクはないとかとても後ろ向きな考えに陥りがちなので。
講演の感想などはまたかきたいと思います。
クラウドコンピューティング環境とシステム監査
どうも、お久しぶりです。
今後は、もう少し定期的に投稿していこうと思います(;^_^A
最近話題になっているクラウドコンピューティングですが(霞が関クラウドとか)、企業のITインフラが大きく変わる可能性が出てきています。
これに伴い、システム監査も大きく変わっていくことが予想されます。
・クラウドコンピューティングがどのように利用されるかというと、黎明期・普及期はある程度カスタマイズが不要で、セキュリティ上外部に移管しても問題ないシステムが移行されるでしょう。営業支援とかですかね。
・そして、次に現状パッケージを使用しているシステムが移行されるでしょう。
・最後に取り残されるのが、カスタマイズバリバリだったり、スクラッチだったり、システム自体が営業上の強みになっていたり、セキュリティ上外部委託をひどく嫌うシステム。これは今後50年はそのまま企業での管理のまま行くと思ってます。
で、クラウドにはほとんどが移行されると思ってます。特に中小企業は、情報システム部員を自社で持つよりも圧倒的に有利になるでしょう。
このような状況に進んでいく中、システム監査は各企業に対するものからデータセンターに対するものに変遷していくでしょう。現在、データセンターの監査というと、18号監査やSAS70監査があります。これらの監査がより進展していくと思ってます。
となると、データセンターの運営管理の監査のノウハウを身につけることはとても重要ですねー。
「内部統制報告制度に関するQ&A」の再追加について(金融庁)
金融庁から追加が出ました~。
http://www.fsa.go.jp/news/20/syouken/20090402-1.html
システムに直接かかわるところは問78ですね。
(問78)【システム変更に係る内部統制の評価方法】
システム変更に関する内部統制の評価において、変更依頼どおりにシステムが変更されたかを検証することは可能であるが、監査人から、逆に変更されたプログラムを任意抽出し、それがどのような手続で依頼・承認されたものであるか確認することが必要であると言われた。こうした逆方向の確認は、多大な労力がかかる場合がある。こうした確認は、必ず実施する必要があるのか。
(答)
1.システム変更に関するITに係る全般統制の評価については、システム変更が行われた当該システムの重要性や内容等により、評価や監査の手法は異なるものと考えられるが、基本的には、変更依頼どおりにシステムが変更されたかについて承認及び導入前の試験が適切に行われているかどうかを検証することになると考えられる(実施基準Ⅲ4⑵②ロa)。この場合に、変更依頼又は変更されたプログラム等からサンプリングし、それがどのような手続で依頼・承認されたものであるかを確認する方法が考えられるが、必ず双方が求められるのではなく、状況に応じて適切な手続を実施する必要がある。
2.実施基準においては、システム変更等があった場合、ITに係る業務処理統制の整備状況については、システム設計書等を閲覧することにより、企業の意図した会計処理が行われるシステムが作成されていることを確認することとされている。また、運用状況については、例えば、評価対象となった統制上の要点ごとに、サンプリングを行い、当該システムへの入力情報とシステムからの出力情報を比較し、予想していた出力情報が得られているかを入力データに基づいて、検算を行うこと等により確認するとされている(実施基準Ⅲ4⑵②ハ)。
(出典:内部統制報告制度に関するQ&A, 金融庁)
確かに回答のとおりかと。
申請書->プログラムの変更有無の確認、という流れで監査するのが一般的かと思います(外部監査、内部監査含めて)。
でも、場合によっては、統制手続きがちゃんとできてないくさいな、と思うときは突っ込んで逆からの手続き(プログラム変更->申請書)をするかと思います。
これは、システム変更管理(COBITのAI系)にとどまらず、セキュリティ管理(DS系)のたとえば、ユーザアクセス権限の付与なんかでも同じことが言えますね。
J-SOX初年度の期末が終わり、大詰めかと思いますので、あいまいな点を追加でだしたんでしょう。
人生迷走中
お久しぶりです。まだ生きてます、nampeです。
システム監査の仕事に就いてから半年くらいが経ちました。
その間、いろいろと思うところがありました。そして、人生を見つめなおしてました。
そこでたどり着いた、今現在の私の結論をかきたいと思います。
システム監査の仕事についてすぐ、なんだか萌えないなぁという気持ちになりました。
きっとはじめだけかと思い、しばらくがんばりました。
でも、やっぱり萌えません。心の底からわくわくするような、楽しい、もっと知りたいという感覚。
それがわいてきませんでした。
なんでだろう。考えました。
働く理由などをテーマにした本もたくさん読みました。
そこでたどり着いたのは、仕事=人生を賭けてやりたいこと=すなわち、好きなこと。
一発の人生、好きなことやってみんなの役に立ちたい!
そう思いました。
好きなこと=コンピュータか。
システム監査もコンピュータ関係です。でも違います。
コンピュータのなにが好きなのか?
考えました。
コンピュータの世界では新しい技術がどんどん出てきます。そして、その技術がどんどん新しい社会の仕組みを作っていき、よりよい社会が作られてきています。これはとてもおもしろいことだと思ってます。
だから、自分の好きなことというのは、新しいIT技術を使って新しい社会の仕組みを作っていくことなんだと思いました。
ではどんな仕事がいいのか。考えました。
新しい技術に触る機会がある仕事で、システムをデザインできる仕事。そう、システムインフラの設計です。
やっぱり巡り巡ってここに戻ってきました。
そして、できることなら、自分の設計したシステムが社会の仕組みに関わるようなものならなおさらやりがいがあります。つまり、公共性や社会性の高い国家的な大規模システム。そのようなシステムの設計をすることに人生を賭けたいと考えました。
システム監査は、おもにシステムの運営管理に関するコントロールの監査です。システムそのものはあまり問わないです。だから、システムの設計に関わることが少なく、萌えなかったんじゃないかって思いました。
もともと、システムインフラの設計をやっていたのですが、他社のシステムでこんな設計ではだめだというものを多々見てきて、なんとかしなければと思い、第3者的な立場のシステム監査に転職しました。
でも、実際は、第3者的な立場だからこそ、システムに深く突っ込んで監査することはできず、管理体制などうわっつらだけの監査にとどまってしまっていました。
だから、よりよいシステムを作って、よい社会の仕組みを作っていくには、やはりシステムの設計にかかわらなければならないと痛感しました。
これもいったん、システム監査をしたという経験がなければ分からなかったことかと思います。
人生迷走です。
でも、迷走し、あれこれ考えることはとても大事なことかと思います。
僕は僕の人生に対して真剣です。だってたった1度ですし、いつ死ぬかわかりませんし。
せっかくの人生、好きなことをやって、みんなの役に立つ。こんな素晴らしいことはないじゃないか!って。
サブプライムローンによる不況ですが、も一回、職探しをしなければならないかと思っています。
これもまた人生です。
では、また。
システム監査人として
システム監査人として監査のお仕事をさせていただいている中で、ほんとにこれが自分のやりたいことなのか?と自問自答しています。
そのために、システム監査の仕事はなんなのか、自分の仕事を理解することにつとめています。
つまり、なぜ監査が必要なのか。どういう観点で監査すべきなのかを考えることです。
どんなお仕事をしていても、こういうマインドは大切だと思います。プロフェッショナルとしては。
J-SOXに関するシステム監査について。そもそもなぜJ-SOXという法律ができたのか。
=>エンロン、ライブドアなどの会計不祥事を防ぐため。
J-SOXの中でシステム監査はなぜ必要なのか?
=>財務諸表を作る会社の内部の統制活動が有効に機能しているのかチェックする必要があり、業務プロセスはいまや情報システム化されているため、IT業務処理統制をチェックする必要がある。IT業務処理統制が有効に機能するためには、IT全般統制が有効に機能する必要がある。だから、システム監査は必要である。
こういうなぜなぜを論理立てていかないと、そもそもなんでRCMなんて必要なんだっけ??と思うようになってしまい、システム監査のお仕事自体が事務作業になり兼ねません。
まだまだ考えが整理されていませんが、システム監査とはなんぞやということを理解すべく、日々勉強に励んでいく所存です。
でも、やっぱり監査法人はプロ志向の人が多く、刺激になる反面、うかうかしてたら置いて行かれる弱肉強食の世界だなと思う今日この頃です。外資コンサルみたいにアップオワアウトというわけではないけれど、自己研鑽をしなくなったら終わりです。常に価値を提供できるようなプロフェッショナルになりたいと思います。
CISSP再開
ご無沙汰してます。nampeです。
CISSPの勉強をはじめる!と宣言しておきながら、退社やら引っ越しやらでやっと勉強を再開できてきました。
システム監査のお仕事は、まだまだ勉強することがたくさんですが、監査ポイントとして出てくる考え方が、CISSPの公式ガイドブックに載っていたりすることがわかったので、これは勉強しなきゃと思い、再開しました。
たとえば、最小権限の原則(Least Privilege)。Need-to-Knowとか言ったりします。CISAでも出てきたような気がしましたが、CISSPのCBKでは、もっと詳しく解説してあったりします。
というわけで、CISSPの勉強を始めたのですが、いかんせん日本語の情報が少ない・・・。
無料のオンライン問題も英語ですし。
将来、もしかしたら、海外に・・・・なんていう可能性もなくはないと思いますので、業務に関する英語を覚えるという点で、英語の問題集と格闘です。
TOEICが貧弱なわたくしとしては、かなり苦戦を強いられております。
しかし、情報セキュリティを体系的に勉強するのはとても大事だと思ってますし、社内でもCISSPを持っている人が少ないので、ここは競争力を上げる意味でも、とらないわけにはいきません。
為せば成る。
筆記試験は努力さえすればよいわけで、ゴールへの道がこれほど明快な試験はありません。
やれば受かる。やらなかったら受からない。
それだけです。