今回は、ISACA東京支部と国内の諸団体との交流について紹介したいと思います。国内には、システム監査や情報セキュリティ監査、内部監査などに関連した団体が活動しています。ISACA東京支部の濃淡の違いがあっても、それらの団体と交流がありますし、今後も関係作りを強化、進めていくべきとも思っています。
日本セキュリティ監査協会
私はISACA東京支部の理事としての活動の他に、情報セキュリティ監査協会(JASA)の幾つかのプロジェクトのメンバーともなっています。といっても、ここ数ヶ月は、すっかり幽霊メンバーとなっていますが。JASAとISACA東京支部、対立している訳ではありません。JASA幹事会メンバーの中にISACA東京支部の理事や理事経験者の方が多くいます。JASA主催のイベントに参加すると月例会や理事会など、ISACAの会合やイベントでも顔を会わせる方々が珍しくありません。時折、JASAなのかISACAの会合なのか、判らなくなることがあります。
JASAが設立される前に、ISACAの理事会でどんな応援が出来るか話し合った記憶があります。ISACA東京支部の歴代理事で、JASA設立に尽力された方は少なくありません。JASAが認定している公認情報セキュリティ監査人資格(CAIS)の最高グレードである公認情報主席監査人は、現在4人が認定されていますが、其の内3人がISACA理事経験者です。人的交流というか人脈が被っているのが実情です。ですから、双方に友好的な関係を構築できる素地は元々あったと言えます。
JASA主催にイベントをISACAが後援することもあります、その逆もあります。要請があれば、JASA主催イベントについてISACAメンバーに広報することもあります。当然、ISACA東京支部からお願いすることもあります。このように密接にとまではいっていませんが、可能な範囲の協力を行っています。
JASAでは、公認情報セキュリティ監査人(CAIS)の認定を行っています。私自身もホルダーの一人でもありますが、CISA/CISMとのダブルホルダー、トリプルホルダーという例も珍しくありません。CAISもCISA/CISMと同様に、資格認定維持にCPEが必要です。そこで、一昨年より、CAISホルダーの方に限って、ISACA東京支部月例会の参加費をビジターの三千円から引下げ、千円としました。これは、私が支部の理事会に提案し、了承を得られたので実施したものです。千円の根拠は、月例会で配布する資料代や講師料、会場費用などから概算したものです。
JASAの方でも、ISACAの月例会をCAISのCPEとして認定しているので(主任監査人資格以上は別途確認して下さい)、例えばCISAとのダブルホルダーの方は、双方のCPEとして申請可能です。ISACA東京支部とJASAとの交流の一環として有意義だろうと考えたのですが、当然CPEの獲得機会という実利も頭にありました。将来、JASA主催のイベントにISACAメンバーも積極的に参加する道が開ければ、さらに両団体交流の価値が高まることと思います。
JASAが発行する機関紙、Security Eyeを月例会で配布することもあります。前回の月例会(2007年2月26日)でも300部程、配布しました。実は、最新のSecurity Eyeには、私の書いた記事が掲載されているので、何か気恥ずかしく配布は止めようかと真剣に考えました。
この月例会では、私は司会をすることになっていたので、その場で自分の記事が掲載されたSecurity Eyeを配布されるのが格好悪くて、今でも止めればよかったと思っています。
翌2月27日に開催されたJASA主催の情報セキュリティ人材育成セミナでは、CISA/CISMのパンフレットを配布して貰いました。
このように、JASAとは一歩一歩、協力関係が構築されています(と私は考えています)。そして、現時点ではISACA東京支部として、最も縁の深い団体と言えるかもしれません(と、私は感じています)。
日本システム監査人協会
この日本システム監査人協会は、業界関係では老舗の団体ですね。公認システム監査人資格の認定をしている団体でもあります。公認情報システム監査人(CISA)と名称が似ているので、勘違いされる人が少なくないようです。
日本システム監査人協会(SAAJ)の会員も月例会の参加費を千円としています。SAAJ主催行事の後援を行うこともありますし、その行事について支部メンバーに連絡を行うこともあります。私自身の個人的見解ですが、団体間交流はここまでで留まっているとも感じています。
何故、SAAJ会員の方の参加費を千円としたのか、現支部理事会メンバーの誰も知らず、故に団体間交流も停滞していると言うのが、率直な感想です。交流の活性化を図るためにも初心に帰って見直すことも必要なのでしょうか。ご意見があれば、お願いしたいと思います。
日本内部監査協会
日本内部監査協会(IIA)とは団体としては密接な交流があるとは言い難いかもしれません。ISACA東京支部の年次総会では、IIAの役員の方を招待していますし、毎年出席されるのですが、私の知っている範囲ではそこまでという気がします。J-SOX対応において、内部監査とシステム監査、情報セキュリティ監査、決して無関係ではありません。今後は、密接に関係してくることは明白です。企業の中で内部監査やシステム監査に携わるISACA会員の中には、公認内部監査人資格(CIA)を保持する方も少なくありません。個々の会員単位では、双方の団体活動されているケースもあるでしょう。今後は、ISACAとIIAの交流の機会も増えてくることと思います。ちなみにCISAを保持していると、CIAの試験で多少、有利であったと記憶しています。
日本ITコーディネーター協会
日本ITコーディネーター協会(ITGA)とは、団体間の交流がどうなっているか、正直知りません。正式な交流は無いのかもしれません。しかし、個人として両団体のメンバーになっていることは珍しくないので、将来は交流の道が開ける可能性はありますし、そうあるべきかと思います。
ISC2
CISSPを認定しているISC2とは、現在のところ交流は全くありません。私は、ISACA東京支部の理事、そしてCISA/CISMのホルダーとしてCISMも知名度や有資格者の拡大に関心がありますし、推進していく立場でもあります。そうすると、どうしてもCISM vs. CISSPという図式が頭をちらつくのですが、しかし、個人的には何とか交流の道を開くべきかと思っています。このBlogに度々登場する長谷川さんはCISSPのホルダーで、しかも私などと違い、情報セキュリティの業界での存在感や、CISSPコミュニティでの影響力も大きい方です。長谷川さんを通じて、何とかならないかと思案中です(今のところ、私個人の考えでISACA東京支部の見解ではありません)。情報セキュリティ人材教育セミナの名刺交換会の席でも長谷川さんとは話したのですが、現在は個人的な人脈、ネットワーク作りが出発点として大事だと考えています。
蛇足ながら書き添えると、CISSPコミュニティという表現をされる方がいますが、これ言い当てていて妙だと思います。CISSPホルダーの皆さんの相互交流の雰囲気を良く表していませんか。CISAコミュニティとかCISMコミュニティとか言いませんし、ISACAとの相違点の一つだと、個人的には思っています。
日本セキュリティマネジメント学会
ISACA会員で、日本セキュリティマネジメント学会の会員になっている人も少なくありません。しかし、団体としての性格の違いからでしょうか、密接な交流があるとは言えないですね。ISACAと異なり、学術的な性格の強い団体ですから、互いが接触する機会が少ないと思えます。日本セキュリティマネジメント学会も月例会を開催しているので、お互いの月例会の情報を交換するようなことは考えてもいいのかもしれません。実務ベースのISACAのメンバーが、学術/研究的な月例会に出席することは有益ですし、日本セキュリティマネジメント学会会員が実務的なISACA月例会出席することも同じだと思います。
日本ネットワークセキュリティ協会
一回だけ、日本ネットワークセキュリティ協会主催の例会に出席したことがあるだけなので、私自身の個人的な人脈も無く、ISACAとの関係も正直なところ希薄です。日本セキュリティマネジメント学会以上に接点が少ないのかなと思います。情報の交換などは検討すべきかと、個人的には思います。
日本ITガバナンス協会
最後に日本ITガバナンス協会。交流があるどころか、全面的にバックアップしています。Cobitとの普及促進など、これから二人三脚で活動していかなければ成らない団体なのです。今後も当Blogで日本ITガバナンス協会の事を取り上げる機会は多くなると思います。
私自身が、ISACAとJASAの双方の活動に参加している関係で、当記事はJASAとの交流が主になってしまいました。他の諸団体とも、私が知っている以上に密接な交流があるのかもしれません。従いまして、本稿は私の個人的見解であり、ISACA東京支部としての公式見解ではないことを最後にお断りしておきます。
