- 独り言
情報処理技術者試験(2022年秋期)が終わりました
情報処理技術者試験(2022年秋期)が終わりました。
受験された皆さま、お疲れさまでした。
かくいう私も、システム監査技術者の試験を受験しました。
これまでで、開発系の資格は網羅していたのですが、情報処理安全確保支援士として登録したこともあり、システム監査の考え方も身に付けたいと思ったのがきっかけです。
合否は12月まで分かりませんが、勉強を進める中で色々と気づきがありました。
まず、システム監査という活動自体に、誤った認識を持っていることに気づきました。
「監査」という言葉があることから、情報セキュリティや合法性のチェックだと思っていましたが、実際にはもっと幅広く、『目的に対して合理的かつ効率的か』なども対象とするチェックでした。
例えば、『DX推進の一環として、営業管理システムを刷新する』という企画案があるとします。ここでまず、『そもそも、営業管理システムを刷新することで、どういう効果が期待できるのか』というのが問題になります。
営利目的の組織であれば、少なからず、「経営目標」があるはずです。
そして、組織の経営を支えるシステムの刷新は、何らかの形で「経営目標」に貢献するものであるはずです。業務の効率が向上して人件費が抑えられたり、紙での記録から電子帳簿等に切り替えることで、保管コストの削減なども考えられます。
このような、『実行しようとしている企画が、経営目標に対して、合理的かつ効率的か』というようなチェックも、「システム監査」の領域でした。
また、そもそも「監査」というものは、『「期待通りに事が運ぶように制御する手段(コントロール)」が適切に働いているかをチェックするものだ』とういことも知りました。
例えば、『パスワードは3か月に1回以上変更すること』という社内ルールがあったとします。これはおそらく、不正アクセスや情報漏えい等のリスクを低減するための「コントロール」です。
「監査」で行うのは、この「コントロール」が正しく機能しているか、というチェックです。「コントロール」を決めるわけでも、「コントロール」を実行することでもありません。対象の組織が実行しているはずの「コントロール」について、本当に正しく実行されているかを、客観的にチェックするのが「監査」という活動でした。
しかも、その「監査」の実行方法というのも、意外と泥臭い方法だったりしました。
例えば、社員のアカウントを管理するシステムやデータベースのログと全社員のアカウントのリストを取得し、パスワード変更のログが3か月に1回以上存在するかをチェックするといった内容です。
もちろん、実際の現場ではもっと効率的な手法を使っている可能性はありますが、想像以上に地道で細かい作業なのだと知りました。
このように、「システム監査」という活動について理解が深まったことで、開発をするときの考え方にも変化がありました。
情報セキュリティや監査しやすい仕組みへの配慮もそうですが、一番変わったことは、『このシステムは、組織の目標達成に寄与しているのか?』と考えるようになったことだと思います。
私が、仕事としてシステム開発に携わり始めてから結構経ちますが、納品した後、自分の携わったシステムが十分な費用対効果を生み出せてるかまでは、あまり考えたことがありませんでした。
『そもそも、このシステムはどう使われてるの?』
『発注元の経営層は、このシステムに満足してるの?』
『目標は達成できてるの?』。
漠然と疑問に感じたことはあっても、こんなにも明確に、しっかりと考えを巡らせたことは、これまでなかった気がします。
無論、システムの開発は私一人で行っているわけではないですし、システムの要件などは、発注元で既に取捨選択されていることがほとんどです。ですので、私があーだこーだと言ったところで、何かが変わるわけではありません。
しかし、何も考えずに、ただただ指示通りに設計し製造しテストするのと、頭の片隅にでも意識があるのとでは、何かが違うと感じています。クライアントによっては、機能の細部についてこちらから提案できることもあるので、そのような場合に、今回の学びが生きてくる気がしています。
そんなこんなで、この半年間「システム監査」について、勉強していました。
これはここで一区切りとして、来年春の試験をどうするか。
実はもう、ネットワークに関する参考書を買いました。
これは私の個人的な習慣なのですが、『試験が終わった帰り道に、次に受ける試験の参考書を買う』というルーチンを設けています。このようにすることで、次の目標が明確になりますし、先延ばし先延ばしで未実施のままになることも防げます。
今回は、私が初めて合格した高度試験で、もはやレガシーな知識になってしまっている「ネットワークスペシャリスト」を再受験すべく、参考書を買いました。
ただ、書店の店頭で、いくつかの参考書の目次や内容を見てみると、これまで愛用してきた出版社の参考書をはじめ、多くの参考書では内容が変わり映えせず、今一つ最新のネットワーク技術やデジタル技術(Web3.0等)に追いつけていないようでした。
『実績ができたぶん、内容を変えれなくなってきたのかなぁ』と残念に思っていると、傍らに、試験対策の参考書ではなく、ネットワークを一から解説しているような技術書がありました。目次や内容をチラ見すると、知りたい領域をカバーしているようだったので、試験対策の参考書ではなくその技術書を買いました。
さすがに、試験が終わった当日は、全力を出し切っているので読めませんが、数日後には、会社の休憩時間などに読み始めるつもりです。
『試験が終わった帰り道に、次に受ける試験の参考書を買う』。
これ、オススメです。自己研鑽に意欲のある方は、ぜひ試してみてください。
さて、長くなりましたが、試験直後の感想はここまでにしておきます。
今後、今回の勉強法などを整理していく予定ですが、公開しておいて不合格だと大変恥ずかしい思いをすることになるので、合格していたら公開することにします。
メンタル弱いんで……。
それでは、システム監査技術者試験を受験した、山本慎一郎でした。