支援対象地域:札幌、仙台、関東、愛知、関西、広島、福岡

  • TOP
  •   
  • コラム
  •   
  • CGEIT認定とは?詳しく仮説させて

CGEIT認定の概要について

ここでは、GovernanceofEnterprise IT(CGEIT)認定について解説させていただきます。 CGEIT認定はISACA(Information Systems Audit and Control Association)が主催する認定資格の一つで、 幹部職を目指す人を対象として組織全体のガバナンスを処理し、個人向けの唯一のITガバナンス認定として扱われております。 また、世界中のビジネステクノロジーの専門家とその企業がテクノロジーの前向きな可能性を実現することを目的として設計されております。CGEIT認定は受験者や関係者が組織や個人としてテクノロジーを通じてイノベーションを可能にするための業務をより高いレベルにするための支援を実施しております。取得することで、企業の信頼できるアドバイザーの役割を担うことができるための知識やスキルを第三者に対して証明することができるうえ、ITに関するプロフェッショナルとして企業のビジネス戦略と目標に合わせ、IT投資を管理して投資収益率を最大化し、リスクを最小限に抑えながらIT運用とガバナンスの卓越性を追求します。 これらは企業や組織に対して非常に重要な役割を果たすことはいうまでもありません。

少し話はそれますが、ISACAについても簡単に紹介させていただきます。 ISACAは1967年に設立され世界的な信頼性と権威性のある組織の一つとして有名で、世界中に支部を持ち、日本国内でも様々な活動を行っております。大きな特徴の一つが世界中のプロフェッショナルや専門家から構成されるメンバーシップです。IS/IT、保証、セキュリティ、サイバーセキュリティ、リスク、ガバナンスなど多くのメンバーが在籍しており、自身が資格を取得することで、それらのメンバーと交流することが可能となります。 このようなISACAのコミュニティに加入し専門的な知識を獲得した プロフェッショナルとの交流は自身のキャリアアップや知見を広げることに繋がります。
そして、ISACAの実施する活気に満ちたオンラインコミュニティでは、業界の専門家、焦点を絞ったディスカッション、ボランティアなど 様々形のイベントが実施されております。 コミュニティから学習するだけではなく、自身のリーダーシップスキルとネットワークを磨き、コミュニティに還元することも可能です。 それらの循環によりISACAのコミュニティは多くのエンジニアのスキルアップや業界への貢献に寄与していると言えるでしょう。 また、学生のコミュニティもあり、 プロフェッショナルや専門家だけでなくこれからIT業界で働こうという若手も参加することが可能です。グローバルな学生コミュニティは情報システム 経営管理、会計、情報技術、サイバーセキュリティ、エンジニアリング 、コンピュータサイエンスなど多くの分野と技術に存在しており、学生の職業的アイデンティティを開発するのを助ける知識と資源へのアクセスが可能になるだけでなくそれらの専門家との人脈や繋がりは大きな財産になるでしょう。

さらに、ISACAの日本の支部についても説明させていただきます。 日本国内には、東京、大阪、福岡、名古屋に支部がありそれぞれ活動を行っております。 ISACAの研究委員会においては、担当委員による専門的な研究や定期的なミーティングなどが開催されており、 IT業界において重要な分野についての最新の研究や知識について学習できる機会を提供して業界やエンジニアの発展に貢献しております。この研究会は9つの研究会から構成されており、 それぞれについて紹介させていただきます。
一つ目は ISACA Journalを読む会で、東京支部の研究委員会のなかでも長い歴史を誇り、 2016年の総会で表彰された研究会となります。 ISACA JournalはISACAが出版している50年以上の歴史を持つ書籍で、この記事について融資が集まり議論する場を提供します。 ISACA Journalは定期的に出版され専門家による知識を獲得したり、オンライン限定的な記事として様々な記事を読んだりすることも可能です。 例えば「労働力と職場2025」というテーマでは、最新の職場環境とリスクについて専門家の記事を読むことが可能です。 世界中の組織は、従業員がどのように、いつ、どこで活動しているか、そして彼らをサポートするために何をする必要があるかを再考しています。その間、これらの同じ組織は他の機会を追求するために労働者が大量に出発するのを見ています。 この進行中の進化に対応するために、ITプロフェッショナルとリーダーは何をしなければならないかという 文献を読むことができます。 IT業界における様々なテーマを扱うため専門性は低いですが、ISACAの多くのカテゴリーに関係する 内容を理解し、キャリアアップに貢献することができる研究会と言えるでしょう。
二つ目は情報セキュリティ研究会となります。ISACAの中でも重要や役割を担う 情報セキュリティに関して研究を行います。世界的に情報セキュリティに関する需要が高まっていることはいうまでもなく、今後もその傾向は続くでしょう。 サイバーセキュリティのトレンドや政府等公共機関の動きをテーマに有志で発表しディスカッションを行うことが 活動の中心となります。 民間企業及び公的機関のセキュリティ担当・ITベンダー・監査法人で働くプロフェッショナルなどが参加するため 様々な知見を得ることができるという点は大きなメリットであり自身の成長に繋がることは間違いありません。 マイナンバー・暗号設定ガイドライン・情報漏洩事件・サイバーセキュリティ戦略・IPA10大脅威・CSIRTなど現在のトレンドを いち早く察知し理解をすることで、職場へのフィードバックや貢献など多くのメリットを得ることができるでしょう。
三つ目がCOBIT研究会となります。 ISACAとITガバナンス協会(ITGI)が提唱しているITガバナンスの成熟度を測るフレームワークであり、 計画と組織、調達と導入、デリバリとサポート、モニタリングと評価の4つの領域から構成されております。 COBITは1996年にリリースされ、マネージャーや監査人、ITユーザーに一般に通じる尺度や判断基準、 ビジネスプロセスやベストプラクティスを提供して情報技術を利用して得られる利益を最大化するための補助とし、企業内の適切なITガバナンスや内部統制に役立ちします。 COBIT研究会では今後さらに重要度を増していくCOBITについて、それらの実務における適用事例・適用案のディスカッションを行うことや、 ISACA国際本部のメディアで取り上げられたCOBIT関連文書の内容を議論することで知識を深めていくことができます。 業種やCOBITのCOBIT研究会実務経験の有無に限らずオープンな研究会のため、参加することで自身の知見を高めることができるでしょう。
四つ目がIFRS研究会となります。 国際会計基準審議会(International Accounting Standards Board:IASB)が策定する会計基準となる 「国際財務報告基準(International Financial Reporting Standards:IFRS)」についての最新情報や意見交換を実施します。 公認会計士が研究会幹事をしており会計やガバナンスを専門的視点から深く掘り下げた専門性の高い内容となっております。IFRSを自国の基準として採用するケースが非常に増えているため、 今後のキャリアアップや知識を深めるために役に立つでしょう。
五つ目がプロジェクトマネジメント研究会となります。 プロジェクトマネジメントについて、システムの企画・開発・モニタリング、システム監査のスムーズな実施のみならず、 人・時間・予算に関する問題を解決する知見として、特に新しい技術の受入れに際して起こる事象にフォーカスして研究を実施している研究会となります。 プロジェクトマネジメントに関する知識はあらゆるプロジェクトで役にたつでしょう。プロジェクトマネジメントに関する実際の事例や経験を聞く機会は決して多いとは言えないため 事例研究として新たな認識を得ることができます。 また、自身の所属する組織や団体を超えてディスカッションすることは、物事を俯瞰して見、自身の問題の解決の糸口となる気づきを獲得することができるでしょう。
六つ目が内部監査におけるシステム監査研究会となります。 監査部門やシステム監査を担当している担当者、もしくは製造業・ITベンダー・商社・銀行・公的機関など様々な関係者が集まり中心に議論を行う研究会となっております。 異なる立場や職業の様々な意見を聞くことで業界についての知識が深まり自身のスキルアップや知見を深めることに繋がるでしょう。
七つ目がクラウド利用研究会となります。 今やクラウドに関する技術に関する知識を理解することはITエンジニアにとって必須と言えるでしょう。 ITベンダー、システムコンサル、公共・民間の組織内のセキュリティ対策担当を中心にクラウドに関して議論を行います。
八つ目がAI研究会となります。 AIは人々の生活に大きな影響を与え産業の在り方や働き方に影響を変化をもたらすでしょう。 システム監査、サイバーセキュリティ、IoT、ガバナンスなどのテーマとも密接な関係のあるAIについて議論を行います。
九点目がシステム監査手法研究会となります。 以上が簡単ではありますがISACAの説明とさせていただきます。

さて、CGEIT認定は最新の市場の変化などに対応するために更新されており、以前の職務分野ではITガバナンスに焦点を当てていた内容を更新によって情報ガバナンスとビッグデータに焦点を当てるなどの変化が見られます。 また、新しい職務慣行は​​、データのプライバシーとガバナンスに関する法律と義務を追加で説明することで より実践に近い内容となっており、新興技術を説明するための情報ガバナンスなどの業界トレンドに基づく新しい概念の包含を含んだ内容となっております。 これにより、ITガバナンス作業を実行する専門家の役割と責任の定義をより高いレベルで遂行することが可能になるでしょう。CGEIT認定は様々な職業の方を対象としており、幅広い領域で活躍するための体系的な知識を提供します。 ISACAでは、IT戦略計画の策定や保持の監督ITを活用した投資ポートフォリオの管理やITガバナンス改善のため、業界で受け入れられている実践や枠組を助言すること、ITおよび情報システムの戦略的計画や制御フレームワークの策定、情報セキュリティを事業体のITガバナンスに組み込むこと、 エンタープライズアーキテクチャの管理、リスク戦略、計画、プログラムの策定や保持の監督などに関わる職業としてITガバナンスに関わるマネージャー、役員、コンサルタント、経営幹部などがフォーカスされております。 また、受けるための手続きやその後資格を継続するための 継続専門教育 (CPE: Continuing Professional Education) に関する知識も必要です。 多くの認定資格やベンダー資格と同様、CGEIT認定では 受験手続きや試験合格後の手続き、あるいは資格を継続するための手続きが必要です。 特に世界的な団体が発行している資格ということもあり、厳格に行われます。 CPEは技術面の研修と管理面の研修においてシステムの評価に直接適用できるか、または監査、コントロール、セキュリティに関わるスキルを向上させることに関わること、そしてそれらをISACAに報告することでカウントされる仕組みとなっております。 以上が簡単ではありますがCGEIT認定に関する説明とさせていただきます。

CGEIT認定の内容について

CGEIT認定の試験について説明させていただきます。 CGEIT認定では、 「エンタープライズITのガバナンス」「ITリソース」「メリットの実現」「リスクの最適化」 の4つから構成されております。「エンタープライズITのガバナンス」の出題比率は 40%で、 最も重要な内容である企業のガバナンスやそれに関する専門的な知識が問われます。 ガバナンスフレームワークはITにおけるガバナンスの大枠をつかむための内容となっており、 具体的にはガバナンスフレームワークの項目においてはガバナンスフレームワークのコンポーネントや組織構造、役割、および責任、戦略開発、法規制の順守、組織文化、ビジネス倫理などの知識が問われます。 テクノロジーガバナンスではガバナンス戦略と企業目標の整合、戦略的計画プロセス 、利害関係者の分析と関与、コミュニケーションと意識向上戦略 、エンタープライズアーキテクチャ、ポリシーと基準についての知識が問われます。 情報ガバナンスでは情報アーキテクチャ、情報資産のライフサイクル、情報の所有権とスチュワードシップ 、情報の分類と取り扱いについての知識が問われます。
「ITリソース」の出題比率は15%の出題比率で、 ITリソースプランニングではソーシング戦略、リソース容量計画、資源の獲得についての知識が問われます。 ITリソースの最適化ではITリソースのライフサイクルと資産管理、人材能力の評価と開発、契約サービスおよび関係の管理に関する知識が問われます。
「メリットの実現」の出題比率は26%で、ITパフォーマンスやそれらが企業にもたらすメリットや影響を様々な角度から検討することになります。 ITパフォーマンスと監視では、パフォーマンス管理、変更管理 、ガバナンスの監視、ガバナンスレポート 、品質保証、プロセスの開発と改善についての知識が問われます。 IT対応投資の管理では、ビジネスケースの開発と評価 、IT投資管理とレポート、パフォーマンスメトリクス、利益評価方法についての知識が問われます。
「リスクの最適化」の出題比率は19%で、ITビジネスにおけるリスクの理解やそれに関する知識が問われます。 リスク戦略では、リスクの枠組みと基準、エンタープライズリスク管理、リスク食欲とリスク許容度に 関する知識が問われます。 危機管理では、IT対応の機能、プロセス、およびサービス ビジネスリスク、エクスポージャー、および脅威、リスク管理のライフサイクル、リスク評価方法 に関する知識が問われます。

次に学習方法ですが、 ISACAから公式参考書などが出版されておりますので それらを使い学習するとより効率的な学習を実施することができます。 ISACA推奨する参考書の一つ目が 「CGEITレビューマニュアル第8版」です。個人がCGEIT認定の準備をし、エンタープライズIT(GEIT)のガバナンスを実装または管理する人、 またはGEITに関して重要な助言または保証の責任を負う人の責任を理解するのに役立つように設計されています。 これは、世界中のCGEIT認定に積極的に関与している対象分野の専門家によって開発およびレビューされた詳細なリファレンスガイドとなります。 これらは出題される 「エンタープライズITのガバナンス」「ITリソース」「メリットの実現」「リスクの最適化」に沿って設計がされており、受験者が重要な概念を理解し、最新の実務分野を研究するのを支援するために役立ちます。 また、各項目では自己評価の質問と回答の説明やさらなる研究のための提案されたリソースなどが提供されており、学習を支援します。
二つ目が 「CGEITレビューの質問、回答、説明、第5版」です。 これは取り上げられる質問の種類とトピックに候補者が慣れるように設計されており、 以前に試験に出題された質問と内容の種類と構造を理解してもらうことを目的としています。 実際の試験とは異なりますがマニュアルは300の練習項目で構成されており、それぞれを読むことで対策と知識が深まります。 受験者がより理解できるために、質問は質問、回答、および説明は、CGEITの職務領域でソートされています。 特定の分野に焦点を当てた質問を参照したり、各実践分野でカバーされているトピックの理解度を評価したりすることができるため より効率的な学習を実施することができます。 また、設置される75問は実際のジョブプラクティス領域と同じ割合でで配置されておりますので、 受験者は、このサンプルテストを使用して実際の試験をシミュレートすることができます。 また受験者は自身の理解度に応じてさらに調査が必要な領域を特定することが可能です。 それだけでなくサンプル試験の解答用紙と解答/参照キーも含まれており、 すべてのサンプルテストの質問は、練習領域でソートされた質問と相互参照されているため、ユーザーは正解の説明を参照し直すのに便利です。

CGEIT認定を受けるために

CGEIT認定を受けるための手続きについても触れておきます。 ISACAだけでなく、多くの認定資格やベンダー資格では 受験を行う際に受験制限があります。 また、試験合格後に一定の期間や手続きを経て正式に認定されるという形が非常に多く、 その後も更新のための手続きなどが発生することが一般的です。 CGEIT認定を受けるためにISACAのルールにのっとった形で手続きを行うことが必要となりますので、それらについて簡単に説明させていただきます。
CGEIT認定を受けるためには、まずは試験に合格する必要があります。 また、ISACAの定めるCPE方針に従い行動する必要があります。CPEはすべてのCGEIT認定適切なレベルの現在の知識と習熟度を維持することを保証するために個人の能力を維持することや、資格の要件を満たしている人とそうでない人の分類を実施するために存在します。CPEに関しては 管理、助言または監督の役割を果たし、および/または企業へのIT関連の貢献のガバナンスをサポートする最低5年の経験が必要とされております。 これらの5年間のうち、ITガバナンスのフレームワークの定義、確立、および管理に関連する最低1年間の経験が必要です。 残りのCGEITドメインの2つ以上に直接関連する追加の幅広い経験が必要です。 ISACAではCPEとして認められる方法や活動が複数あります。これらの適格専門教育活動といった活動を 対象者が実施することでCPEとしてカウントし、認証するという仕組みを取っておりますので対象者は資格の維持のためにしっかり理解する必要があります。

それではCPEについて詳しく見ていきましょう。 これらの活動は技術面の研修と管理面の研修においてシステムの評価に直接適用できるか、または監査、コントロール、セキュリティに関わるスキルを向上させるものと定義されており、 対象者のスキルアップや貢献などを評価します。具体例を出しながら説明させていただきます。
一点目がISACA専門教育活動と会議です。 ISACAの主催するコンファレンス、セミナー、ワークショップ、支部プログラム、 会議、関連活動に参加することがこれらに該当しCPEとして 実際に活動した時間から算出し、それらがCPEとしてカウントされます。 ISACA専門教育活動と会議では専門的な活動や専門家とのミーティングなどにより、対象者のスキルアップや知識のブラッシュアップに大きく役立つことでしょう。
二点目がISACA以外の専門教育活動と会議です。 直接ISACAが主催した活動でなくとも業界のイベントに参加することで様々な知識を獲得することができます。 社内研修、大学コース、コンファレンス、セミナー、ワークショップ、専門的な会議、関連活動などがCPEとしてカウントされます。
三点目が独学で学習を行うことになります。 独学用に構成されたコースを受講し、受講後にそれらの専門的なコース提供機関が終了証明書を発行してもらうことでCPEを獲得することが可能となります。 ISACAのオンラインでのプレゼンテーションイベントなどに参加した場合においてもCPEを獲得することが可能となります。
四点目がベンダーの販売やマーケティングのプレゼンテーションとなります。 情報システムの評価に関連するベンダーの製品やシステムについての具体的な販売プレゼンテーションを実施した場合にCPEとしてカウントされる仕組みであり、業界で様々な活動をしているという点において対象となります。
五点目が教育、講義、プレゼンテーションとなります。 情報システムの評価に関連する専門教育プレゼンテーションの考案と実施、および自習や通信教育コースの考案が それらに該当しCPEを獲得することが可能です。
六点目が記事、研究論文、書籍の出版となります。情報システムの監査とコントロールの職業に、直接的な関係がある資料の出版やレビュー(印刷物またはオンラインのいずれでも可)によりCPEを獲得することが可能です。 以上がCGEIT認定を受けるための手続きについての説明とさせていただきます。

CGEIT認定に関連する資格について

CGEIT認定に関連する資格について説明させていただきます。 ITガバナンスはどのような職業であっても重要な知識ではありますが、 ITガバナンスに関わるマネージャー、役員、コンサルタント、経営幹部などの管理職などが 特に関連の深い職業となります。 そういった観点で関連する資格をいくつか紹介させていただきます。

一つ目がPMP(Project Management Professional)です。 PMPはプロジェクトマネジメントに関する国際資格として 最も有名な資格の一つとなり難易度の高い資格として知られております。受験者のプロジェクトマネジメントに関する経験、教育、知識を測り、プロフェッショナルとしての確認を目的として実施される 資格となり、米国PMI本部が資格認定を行います。 PMPはPMBOK(Project Management Body of Knowledge)と呼ばれる プロジェクトマネジメントの知識を体系化したものをベースに幅広い範囲から出題されます。 PMBOKは国際的に標準とされているプロジェクトマネジメントの知識体系(ガイド、手法、メソドロジー、ベストプラクティス)で、建設、製造、ソフトウェア開発などを含む幅広いプロジェクトに適用できるプロジェクトマネジメントの 知識であり、実践的なプロジェクトマネジメントを行うための基礎的な知識を提供する基盤となります。 PMPを受験する際にはPMBOKをしっかり 学習しておくことは必須と言えるでしょう。
PMPでは様々なトレーニングが準備されておりますので 積極的に活用するといいでしょう。その代表例がPMI認定トレーニングパートナーとなります。 PMI認定トレーニングパートナーはPMIが認定するパートナーであり、PMIと提携している組織です。 これらのインストラクターを利用することが学習を効率的に実行することができるでしょう。 また、PMIの認定するオンデマンドのPMP試験準備コースは、自分の好みにあわせて試験の 準備を支援するために設計されたオンラインの自習型準備コースです。 自身の学習する内容にあわせてコースを選択し、オプションを実行することで学習を最適化することができるでしょう。

二点目がCISM(Certified Information Security Manager)となります。 CISMはCGEIT認定と同様、 ISACAが主催する認定資格として知られております。 CISMは日本語名称を「公認情報セキュリティマネージャー」「公認情報セキュリティマネージャー(CISM)」と呼び、その名の通り情報セキュリティの国際的資格となっております。情報セキュリティマネージャーに特化した資格として設計され、情報セキュリティマネージャーの実際の業務分析を元にした、基準と試験問題を開発する認定資格です。CGEIT認定とはやや領域が異なりますが、 専門的なプロフェッショナルとしての管理者に必要な知識が問われる国際的な資格であることは共通しております。 CISMは主に情報セキュリティガバナンス、プログラムの開発と管理、 インシデント管理、およびリスク管理の専門知識を問う資格であり、 特にセキュリティに関する知識や管理能力は現在のビジネスにおいて必須の知識と言えるでしょう。 「情報セキュリティガバナンス」「情報リスクの管理」「情報セキュリティプログラムの開発と管理」「情報セキュリティのインシデントの管理」 の4つの分野によって構成されており、それぞれについて高い専門知識が出題されるので、簡単に紹介させていただきます。
「情報セキュリティガバナンス」の出題比率は24%で、コーポレート・ガバナンス、それを支えるメカニズムである内部統制の仕組みを 情報セキュリティの観点から企業内に構築・運用することと定義されております。 また、情報セキュリティガバナンスのフレームワークと支持プロセスを確立し維持して、 確実に情報セキュリティ戦略が組織の目標と目的と調和し、情報リスクが適切に管理され、プログラム・リソースが責任を持って管理されるようにすると定義されております。 これらの知識を獲得することで正しい情報セキュリティ対策や管理、あるいは戦略の実施などを行うことが可能になるでしょう。
「情報リスクの管理」の出題比率は30%で、組織の目標や目標を達成するために、リスク選好度に基づいて情報リスクを許容レベルまで管理といった内容が出題されます。
「情報セキュリティプログラムの開発と管理」の出題比率は27%で、情報セキュリティ戦略と調和するよう 情報セキュリティプログラムを確立し管理する内容となっております。 正しい情報知識の戦略を持ちプログラムの開発を行うことやそれらを管理することは情報セキュリティの管理者として必須の知識となります。
「情報セキュリティのインシデントの管理」の出題比率は19%で、セキュリティインシデントや事故に関する内容が出題されます。 情報セキュリティのインシデントの検知、調査、対応、および復旧を行う能力の計画、確立、および管理を行って、ビジネスへの影響を最小限にとどめるための知識やノウハウについて出題されます。 情報セキュリティのインシデントはあらゆるビジネスにおいて企業にリスクをもたらしますので、それらについての正しい知識が必要となります。
以上が簡単ではありますがCGEIT認定に関連する資格の説明とさせていただきます。

まとめ

いかがでしたでしょうか? CGEIT認定について解説させていただきましたので、 参考にしていただけましたら幸いです。