CISMとは？詳しく解説します

TOP
コラム
CISMとは？詳しく解説します

CISMの概要について

ここでは、CISM（Certified Information Security Manager）について説明させていただきます。 クラウドやビッグデータなど多くの新しいテクノロジーによって企業や人々の生活に変化が起きている一方で、情報の扱いや情報に関する知識などのリテラシーが求められるようになっていることも事実です。 CISMは日本語名称を「公認情報セキュリティマネージャー」「公認情報セキュリティマネージャー(CISM)」と呼びます。また、英語表記では「CISM（Certified Information Security Manager）」の他、「CISM」や「Certified Information Security Manager」という表記がされます。ここではCISM（Certified Information Security Manager）という記載方法で統一させていただきます。 CISM（Certified Information Security Manager）は情報システム監査に携わる国際的な組織であるISACA（Information Systems Audit and Control Association）が主催し、認定を行う資格となっております。
ISACAは1967年に設立され、資格認定を行う組織としては最も古い歴史をもつ団体の一となっております。世界中の80以上の国で15万人以上の会員を有する組織として活動を行っている団体として知られており、高い信頼性と権威のある団体として様々な活動を行っております。 ISACAの特徴は何といっても世界中のプロフェッショナルや専門家から構成されるメンバーシップです。 ISACAでは、IS/IT、保証、セキュリティ、サイバーセキュリティ、リスク、ガバナンスなど多くのメンバーが在籍しており、それらのメンバーと交流することで自身のキャリアアップに繋がります。活気に満ちたオンラインコミュニティでは、業界の専門家、焦点を絞ったディスカッション、ボランティアなど様々な方法でキャリアアップを図ることが可能です。また、自身のリーダーシップスキルとネットワークを磨き、コミュニティに還元することも可能であり、それらの循環によりISACAのコミュニティは多くのエンジニアの貢献に寄与していると言えるでしょう。また、ISACAでは学生のコミュニティもあり、プロフェッショナルや専門家だけでなくこれからIT業界で働こうという若手にも推奨することができます。ISACAのグローバルな学生コミュニティは情報システム経営管理、会計、情報技術、サイバーセキュリティ、エンジニアリング、コンピュータサイエンスなど多くの分野と技術に存在しており、学生の職業的アイデンティティを開発するのを助ける知識と資源へのアクセスが可能になるだけでなくそれらの専門家との人脈や繋がりは大きな財産になるでしょう。
ISACAは日本に東京・大阪・名古屋・福岡の支部が存在します。日本のISACAでは本部と連携しながらISACAの試験におけるトレーニングやサポートなど様々な方法で活動を行っており、12の常設委員会を設置しております。具体的には法務委員会、総務委員会、広報委員会、メンバーシップ委員会、教育委員会、調査研究委員会、基準委員会、CISA委員会、CISM委員会、CGEIT委員会、CRISC委員会によって構成されております。
CISM（Certified Information Security Manager）は主に情報セキュリティガバナンス、プログラムの開発と管理、インシデント管理、およびリスク管理の専門知識を問う資格となっております。情報セキュリティを扱う資格として、セキュリティマネージャー、セキュリティ担当役員、セキュリティ担当役職者、セキュリティコンサルタントなどの職種を対象としております。現在のIT業界のシステムでは、多くの企業の情報がセキュリティ攻撃の対象となります。企業のセキュリティ担当やセキュリティ責任者としての専門的な知識を体系的に学び、実践に則した知識を習得ことは多くのセキュリティエンジニアのキャリアアップの支援になることは間違いなく、そのような意味でもCISM（Certified Information Security Manager）は非常に役に立つ資格と言えるでしょう。また、CISM（Certified Information Security Manager）を取得するメリットはキャリアアップだけではありません。取得することで企業の内部や外部の関係者や様々な取引先から信頼性や権威性を獲得することができるという大きなメリットがあります。 CISM（Certified Information Security Manager）は国際的に権威のある資格であり、そのその認定資格を保有していることで知識を第三者に対して証明することが可能となります。また、ISACAのCISM（Certified Information Security Manager）を取得するメリットについてさらに補足させていただくと、所属チームの信頼性を高めることや組織の情報セキュリティプログラムとその幅広い目標および目的との整合性を確保することなどチームの強化にも繋がります。これによりチームをスムーズかつ円滑に運営し、企業に対しても貢献することが可能となります。 CISM（Certified Information Security Manager）はコンプライアンス、セキュリティ、整合性といった面を向上させることで顧客との信頼関係構築や維持を協力にバックアップしてくれるツールというように考えることも可能です。以上がISACAの主催するCISM（Certified Information Security Manager）についての説明となります。それではさらに詳しくCISM（Certified Information Security Manager）について解説させていただきますので、参考にしてみてください。

CISMのメリットについて

CISM（Certified Information Security Manager）を取得するメリットについて説明させていただきます。 一点目は知識やスキルの習得となります。情報セキュリティに関する専門的な知識を習得することで、エンジニア自身のキャリアアップや成長に繋がる点は大きなメリットと言えるでしょう。二点目はキャリアアップです。組織において情報セキュリティとしての専門家であることを示すということはエンジニアの価値を非常に大きく高めるでしょう。企業によっては情報セキュリティ系の資格の合格者を応募条件や推奨としている企業も決して少なくありませんのでCISM（Certified Information Security Manager）を取得することで転職市場におけるエンジニアの価値を高めます。もちろんISACAの主催する他の資格やベンダー資格などと複数の資格を保有していることは、さらに大きなチャンスとなることは間違いありません。三点目は世界的な認知度の高い資格であるということです。世界的な認知度が高く権威性のあるCISM（Certified Information Security Manager）を取得することで、日本国内だけでなく様々な国家に活躍する舞台を広げることができるでしょう。情報セキュリティ業界におけるCISM（Certified Information Security Manager）の認知度は高いことで知られております。

CISM試験の詳細について

CISM（Certified Information Security Manager）試験の詳細について説明させていただきます。 CISM（Certified Information Security Manager）試験は実践に則した知識を習得することができるように設定されており、ISACAの定義によりますと情報セキュリティマネージャーに特化した資格として設計しており、情報セキュリティマネージャーの実際の業務分析を元にした基準と試験問題、資格認定の前提として、情報セキュリティマネージメントとしての経験も必要というのが CISM（Certified Information Security Manager）の設計と概要に関する説明となっております。受検条件はありませんが、受験後に認定基準を満たすことが必要となります。 CISM（Certified Information Security Manager）を合格するためには、 200点から800点までのスケールドスコアにおいて450点以上を獲得する必要があります。

では、CISM（Certified Information Security Manager）の試験概要について詳しく説明させていただきます。 CISM（Certified Information Security Manager）は「情報セキュリティガバナンス」「情報リスクの管理」「情報セキュリティプログラムの開発と管理」「情報セキュリティのインシデントの管理」の4つの分野によって構成されております。
「情報セキュリティガバナンス」はコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用することと定義されております。 CISM（Certified Information Security Manager）では、情報セキュリティガバナンスのフレームワークと支持プロセスを確立し維持して、確実に情報セキュリティ戦略が組織の目標と目的と調和し、情報リスクが適切に管理され、プログラム・リソースが責任を持って管理されるようにすると定義されており、24％の出題割合となっております。
「情報リスクの管理」では組織の目標や目標を達成するために、リスク選好度に基づいて情報リスクを許容レベルまで管理といった内容が出題され30%の出題割合となっております。
「情報セキュリティプログラムの開発と管理」では情報セキュリティ戦略と調和するよう情報セキュリティプログラムを確立し管理する内容となっており、 CISM（Certified Information Security Manager）における出題割合は27％となっております。
「情報セキュリティのインシデントの管理」ではセキュリティインシデントや事故に関する内容が出題されます。情報セキュリティのインシデントの検知、調査、対応、および復旧を行う能力の計画、確立、および管理を行って、ビジネスへの影響を最小限にとどめるための知識やノウハウについて出題され、出題割合は19％となっております。
また、CISM（Certified Information Security Manager）のトレーニングについても紹介させていただきます。 CISM（Certified Information Security Manager）のトレーニングとしては、自身で学習を行う以外にも、ISACAが開催しているレビューコースを受講するという方法もあります。 ISACAの準備した国際本部作成のパワーポイントおよび各種資料を併用して教材として、本試験の対策や弱点克服を目的としております。ただし、レビューコースは2日間という限られた時間で実施させることもあり、学習を行う際の情報提供などが主な目的となることに注意しなくてはいけません。そのため、レビューコースを受講することでCISM（Certified Information Security Manager）の合格を保証されることはありませんので、受験者は基本的には自身で学習を進める必要がある点についてはいうまでもありません。また、CISM（Certified Information Security Manager）の合格後は様々な場面で資格の記載を行うシーンがあるかと思います。日本語表記の場合、「公認情報セキュリティマネージャー」「公認情報セキュリティマネージャー(CISM)」が正しい表記とされております。英語表記の場合、当ページで記載されている「CISM(Certified Information Security Manager)」もしくは「CISM」や「Certified Information Security Manager」が正しい表記となりますので、注意する必要があります。以上がCISM（Certified Information Security Manager）試験の詳細についての説明とさせていただきます。

CISMの継続について

CISM（Certified Information Security Manager）資格の継続について説明させていただきます。 多くのベンダー資格や認定資格は試験合格後一定期間を経て更新を行う必要があり、その条件として継続学習などの条件が設定されているケースが非常に多いです。 CISM（Certified Information Security Manager）に関しても同様であり、 ISACAの継続専門教育 (CPE: Continuing Professional Education) 方針に従い、一定期間中にトレーニングを実施しそれを報告することでCPEを獲得することが可能となります。 CISM（Certified Information Security Manager）における更新認定は毎年最低20時間のCPEの報告を行う、指定された3年間に最低120時間CPEを行う、毎年CPEの維持費用を支払う、 ISACAの職業倫理規定を守る、となっておりますので参考にしてみてください。上記を守らなかった場合、CISM（Certified Information Security Manager）は失効してしまいますので、注意が必要となります。
もう少しCPEについて詳しく解説させていただきます。 CPEとして認められる活動は複数存在しており、これらを適格専門教育活動と呼びます。適格専門教育活動は技術面の研修と管理面の研修においてシステムの評価に直接適用できるか、または監査、コントロール、セキュリティに関わるスキルを向上させるものと定義されております。 ISACAにおけるCPEとして認められているものの一点目がISACA専門教育活動と会議となります。 ISACAの主催するコンファレンス、セミナー、ワークショップ、支部プログラム、会議、関連活動に参加することがこれらに該当しCPEとして実際に活動した時間から算出し、それらがカウントされます。また、ISACA支部のプログラムや会議に参加した場合のおいて、それらの情報が全て記録されているわけではないため、参加者は出席した証明について後に提出する準備をしておく必要があります。
二点目がISACA以外の専門教育活動と会議となります。それらのISACAが後援していない活動に関してもCPEの対象となります。具体的には、社内研修、大学コース、コンファレンス、セミナー、ワークショップ、専門的な会議、関連活動などがCPEとしてカウントされます。
三点目が独学コースとなります。独学用に構成されたコースを受講し、受講後にコース提供機関が終了証明書を発行し、その証明書にコースで獲得したCPEの記載があるとカウントされます。また、ISACA後援のオンラインEニングプレゼンテーションイベントなどに参加した場合においてもCPEとしてカウントされます。四点目がベンダーの販売やマーケティングのプレゼンテーションとなります。情報システムの評価に関連するベンダーの製品やシステムについての具体的な販売プレゼンテーションを実施した場合にCPEとしてカウントされます。五点目が教育、講義、プレゼンテーションとなります。情報システムの評価に関連する専門教育プレゼンテーションの考案と実施、および自習や通信教育コースの考案が該当します。六点目が記事、研究論文、書籍の出版となります。情報システムの監査とコントロールの職業に、直接的な関係がある資料の出版やレビュー（印刷物またはオンラインのいずれでも可）が該当します。 CPEを獲得するためには、正式の出版やウェブサイト上に現れたものであり、要請された場合には、記事のコピーやウェブサイトのアドレスを提供する必要があります。また、書籍と研究論文については、目次と見出しのページも必要とされます。実際に執筆や検討にかかった工数をCPEとしてカウントすることが可能です。七点目がISACAの理事会や委員会での業務となります。これらはの理事会、委員会、小委員会、特別委員会への積極的な参加活動などがカウントされます。八点目が情報システム監査および情報システムコントロールに関する職業に対する貢献となります。 ISACAまたは他の機関のために行った業務で、情報システム監査および情報システムコントロールに関する職業に貢献する業務がカウントされます。上記以外ですと、ISACAの認めた試験のの考案とレビューや関連する資格の合格、メンタリングなどもCPEのカウントすることができます。上記で説明したいずれの方法でも問題ありませんが、事前に確認しCISM（Certified Information Security Manager）資格の継続を実施できるよう事前にCPEの計画を立てておくことが重要となります。以上がCISM（Certified Information Security Manager）資格の継続に関する説明とさせていただきます。

まとめ

いかがでしたでしょうか？ CISM（Certified Information Security Manager）について詳しく解説させていただきましたので、参考にしていただけましたら幸いです。