支援対象地域:札幌、仙台、関東、愛知、関西、広島、福岡

  • TOP
  •   
  • コラム
  •   
  • CRISCとは?詳しく解説させていた

CRISCとは?詳しく解説させていただきます


CRISCの概要について

ここでは、CRISC(Certifiedin Risk and Information Systems Control)について説明させていただきます。 近年のビジネスはテクノロジーの多様化により、多くの情報リスクや脅威に晒されております。 エンジニアリングとしての知識は当然ですが、変化し続けるテクノロジーに対応するための専門的な知識が問われるのがCRISCです。 また、クラウドやサイバーセキュリティに関する専門家の需要は年々高まっており、それに関する資格の価値が高まっていることは言うまでもありません。 ISACA(Information Systems Audit and Control Association)が主催する資格として有名な CISA(Certified Information Systems Auditor)もその一つです。 また、(ISC)²(International Information System Security Certification Consortium)が主催するCISSP(Certified Information Systems Security Professional)も有名であり、いずれも情報セキュリティを扱う資格となります。 CISSPは「セキュリティとリスクマネジメント」「資産のセキュリティ」「アイデンティティとアクセス管理」 「ソフトウェア開発セキュリティ」「セキュリティアーキテクチャとエンジニアリング」 「通信とネットワークセキュリティ」「セキュリティの運用」 「セキュリティの評価とテスト」の分野によって構成されており、いずれも現代のビジネスの情報セキュリティを考えるうえで非常に重要な内容となっております。 ここではCISAやCISSPに関する説明は割愛させていただきますが、興味のある方は詳しく調べてみてください。 また、2021年において年収が高いIT関連資格の上位資格として1位は「Google Certified Professional - Data Engineer」であり、 2位の「Google Certified Professional - Cloud Architect」、3位は「AWS Certified Solutions Architect - Associate」となっております。 また、当ページで紹介させていただくCRISCを始めとしてCISA、CISSP、CISM(Certified Information Security Manager、PMP(Project Management Professional、MCSE(Microsoft Certified Systems Engineer、CompTIA Security+、CCA-V(Citrix Certified Associate - Virtualization)など情報セキュリティに関連する資格が多く揃っていることも現在のIT業界の市場を反映していると言えます。
CRISCはリスクおよびセキュリティの専門家のための専門的な知識を問う資格であり、情報システム監査に携わる国際的な組織であるISACAが主催し、認定を行う資格となっております。 ISACAは1967年に設立され、資格認定を行う組織としては最も古い歴史をもつ団体の一つであり、80以上の国で12.5万人以上の会員を有する組織として活動を行っている団体として知られております。 また、CRISC以外でもCISAなど情報セキュリティに関する資格を主催しており、世界でトップクラスの認定団体です。 ISACAの説明によるとCRISCはエンタープライズITリスク管理に焦点を当てた唯一の資格となります。 更新された試験内容は最新の作業慣行と知識に基づいており、今日のビジネス環境における現実の脅威に取り組む際に、認定資格保持者をビジネスにおいて優遇します。 CRISCは、リスクを特定、分析、評価、評価、優先順位付け、および対応するためのベストプラクティスに基づいて、明確に定義されたアジャイルなリスク管理プログラムを構築した経験を検証します。これにより、利益の実現が促進され、利害関係者に最適な価値がもたらすとされております。

CRISCの試験範囲について

CRISCは2021年の8月に内容が更新され、新しいトレンドをより反映した内容となりました。 具体的には、ITリスク専門家の作業慣行の変更、および組織統治、継続的なリスクの監視と報告、 情報セキュリティとデータプライバシーの考慮事項にますます重点を置いた市場のダイナミクスとトレンドを試験内容に反映したものと考えてよいでしょう。 また、CRISCにおける試験内容の反映はITリスクと統制の対象分野の専門家、および世界中の著名な業界リーダーからの広範な調査、フィードバック、および検証を実施し試験内容が決定されました。 CRISCは「ガバナンス」「ITリスク評価」「リスク対応と報告」「情報技術とセキュリティ」の 4つの分野から構成されます。 ガバナンスは「組織の戦略、目標、および目的」「組織構造、役割、および責任」 「組織文化」「ポリシーと基準」「ビジネスプロセス」「組織資産」 「エンタープライズリスク管理およびリスク管理フレームワーク」「3つの防衛線」 「リスクプロファイル」「リスク食欲とリスク許容度」「法的、規制、および契約上の要件」 「リスク管理の職業倫理」が出題内容となります。 ITリスク評価は「リスクイベント(例、貢献条件、損失結果)」「脅威モデリングと脅威ランドスケープ」 「脆弱性と制御の欠陥分析(例、根本原因分析)」「リスクシナリオの開発」 「リスク評価の概念、基準、およびフレームワーク」「リスク登録」 「リスク分析の方法論」「ビジネスへの影響分析」 「固有のリスクと残余のリスク」が出題内容となります。 リスク対応と報告は「リスク処理/リスク対応オプション」「リスクとコントロールの所有権」 「サードパーティのリスク管理」「問題、検索、および例外管理」 「新たなリスクの管理」「制御タイプ、標準、およびフレームワーク」 「制御の設計、選択、および分析」「制御の実装」「制御テストと有効性評価」 「リスク治療計画」「データ収集、集約、分析、および検証」「リスクとコントロールの監視手法」 「リスクとコントロールのレポート手法(ヒートマップ、スコアカード、ダッシュボード)」 「主要業績評価指標」「主要なリスク指標(KRI)」 「キーコントロールインジケーター(KCI)」が出題内容となります。 情報技術とセキュリティは「エンタープライズアーキテクチャ」 「IT運用管理(変更管理、IT資産、問題、インシデントなど)」「プロジェクト管理」 「ディザスタリカバリ管理(DRM)」「データライフサイクル管理」 「システム開発ライフサイクル(SDLC)」「新技術」「情報セキュリティの概念、フレームワーク、および標準」「情報セキュリティ意識向上トレーニング」「事業継続管理」 「データプライバシーとデータ保護の原則」が出題内容となります。

CRISCの学習について

CRISCの学習について説明させていただきます。 RISC(Certifiedin Risk and Information Systems Control)に合格することで、グローバルな資格を入手することが可能です。 また、中堅のIT/IS監査、リスクおよびセキュリティの専門家としての能力を証明することができます。 さらに、ガバナンスのベストプラクティスと継続的なリスクの監視と報告を使用するスキルと知識を証明することが可能であり、ビジネスの回復力と利害関係者の価値を高め、同業者、利害関係者、規制当局との信頼を高める人材としての証明を行うことが可能になります。 CRISCは試験のコストや学習コストなどの観点から日本人にはややハードルが高い面もありますが、効率的に学習を行うことが合格のためのポイントとなるため、しっかりと事前の準備を行うことが必要となります。 CISAとCRISCを比較するとCRISCは日本語版の学習方法がないため、一定の英語力が必要になる点となります。 また、日本で実施されているベンダー資格のように項目ごとの得点などが明確でないため不合格になった際に どの部分の知識が足りずに不合格になったのか判明が難しいという点があげられます。 そのため、CRISCを学習する際にはとにかく平均的に学習を行い知識の穴がないようにしっかりと準備を行うことが必要となります。
それでは早速CRISCの学習について説明させていただきます。 CRISCの学習方法として一般的な方法の一つがISACAの主催するオンラインレビューコースを受講することです。 有料になってしまいますが、「ガバナンス」「ITリスク評価」「リスク対応と報告」「情報技術とセキュリティ」の試験範囲はカバーされているため一通りの知識を身につけ、効率的に学習を行うことが可能となります。 ビデオ、インタラクティブなeラーニングモジュール、ダウンロード可能なインタラクティブなワークブック、ダウンロード可能なジョブエイド、ケーススタディ活動、コース前後の評価が組み込まれています。 オンラインレビューコースのメリットは推奨される構造に従って、自分のペースでコースをナビゲートすることや優先する仕事の練習領域をターゲットにして学習を行うことができる点です。 学習スケジュールに基づいてコースを開始および停止し、次回中断したところから正確に再開して、コースにアクセスすることもできます。 オンライン学習コースと資料へのアクセスは即時行われるため学習をすぐに開始したい方にとっても便利です。 また、コストを抑えて学習を行うのであれば「CRISCレビューマニュアル」という書籍をオンラインショップから購入し、学習を行う方法もおすすめです。 「ガバナンス」「ITリスク評価」「リスク対応と報告」「情報技術とセキュリティ」の 試験範囲をカバーしていることは当然として、4つの領域の定義と目的、タスクと知識のステートメントや自己評価の質問、回答、および説明やさらなる研究のための提案されたリソース (ナレッジステートメントをサポートする参考資料とコンテンツ)などを理解することが可能となります。 これによりCRISCの理解が深まり、用語の定義などの説明も行われるため効率的に学習を実施することが可能になります。

CRISCの維持について

CRISCの維持について説明させていただきます。 多くの認定資格は一度合格した後、更新や何らかのメンテナンスを行う必要があり維持を行うための手続きが必要となります。 それにより資格取得後、時間が経過した後も最新の情報をインプットしていることの証明にも繋がり、 資格としての信頼性や権威性を担保することができるというのがその理由となります。 資格の維持に対して手続きが必要になることについては、ISACAも例外ではありません。 ISACAでは、CRISCの維持として継続専門教育 (CPE: Continuing Professional Education) 方針を設定しており、それに従い設定された時間を満たす必要があります。 CPE方針については「CPE方針は、 CISA全員が、情報システムの監査、コントロール、セキュリティの分野で、現在持っている十分な水準の知識と熟練度を維持することを目標としています。 CISAがCPE方針を遵守すれば、更に訓練を積んで情報システムと技術を評価でき、リーダーシップを発揮して組織の価値を高めることになるでしょう。」というCISAで説明されている説明を参考にしてください。
CRISCにおけるCPEは年間最低20時間を獲得して報告する必要があるとされ、それらはCRISCの知識またはCRISC関連のタスクを実行する能力の向上や進歩に関連している必要があります。 複数のISACAのCPEを満たすためにこれらの時間を使用することは、各認定の職務関連の知識を満たすために専門的な活動が適用できる場合に許可されます。 3年間のレポートサイクル期間で最低120時間のCPEを獲得し、それらをレポートすることが必要とされております。 CPEとして認められる活動には、技術面の研修と管理面の研修があります。 この研修は、バランス良く専門的な育成を行うために、情報システムの評価に直接適用できるか、または監査、コントロール、セキュリティに関わるスキルを向上させるものでなければなりません。また、管理スキルに関連するCPEは、監査または監査リソースの管理に関連するものでなければならないと設定されております。具体的に適格専門教育活動として分類されている場合を除き、実際の業務を行う場合はCPEとしてカウントされませんので、注意が必要となります。 また、当然ながらMicrosoft Word や Excel などの基本的なオフィス生産性ソフトウェアの研修は、 CPEとしては認められません。 活動によってはCPEとして認められる年間時間数に制限があります。CPEは15分単位で報告できます。これから説明する項目の適格活動と制限時間数がCPEとして承認されていますので、以下の内容を確認のうえ実行することで資格の維持を行う必要があります。やや細かい内容になりますが参考にしてみてください。

「ISACA専門教育活動と会議(時間数の制限なし )」について紹介させていただきます。 これらの活動には、ISACA会議、セミナー、ワークショップ、チャプタープログラム、および会議および関連する活動が含まれます。ISACAチャプターミーティングに参加すると、実際の期間に関係なく、最低1クレジット時間が得られます。現在、チャプタープログラムと会議のすべてがISACAデータベースに報告されているわけではなく、出席証明書を保管しておく必要があります。
次に「ISACA以外の専門教育活動と会議(時間数の制限なし)」について紹介させていただきます。 これらの活動には、社内トレーニング、大学のコース、会議、セミナー、ワークショップ、およびISACAが後援していない専門的な会議および関連する活動が含まれます。さらに、CPEは、認定レビューコースが認定のドメイン知識またはスキルを向上させる場合、そのコースから獲得できます。 個人は、アクティブな参加の時間数に応じてCPEを獲得します。
次に「独学コース ( 時間数の制限なし)」について紹介させていただきます。 これらのアクティビティには、CPEクレジットを提供する自習用に設計された構造化されたコースが含まれます。 これらのコースは、コースプロバイダーが修了証明書を発行し、その証明書にコースで獲得した CPE時間数が含まれている場合にのみ受け入れられます。 ISACAジャーナルクイズで合格点を達成すると、10時間のCPEを獲得することもできます。 追加のCPEは、ISACAが主催するオンラインeラーニングプレゼンテーションイベント (例:バーチャルトレードショー、ウェビナーなど)に参加すると獲得できます。 ISACAジャーナルクイズおよびISACAeラーニングアクティビティは、開催される各ISACA指定にカウントされます。
次に「ベンダーの販売やマーケティングのプレゼンテーション ( 制限時間数 : 年間10時間 )」について説明させていただきます。 これは年間10時間までは、認証のドメインに関連するベンダー製品またはシステム固有の販売プレゼンテーションを追加のCPEとしてカウントすることが可能という内容となっております。
次に「教育、講義、プレゼンテーション ( 時間数の制限なし )」について説明させていただきます。 これらは時間無制限で、専門的な教育プレゼンテーションの開発と提供、および認定のドメインに関連する自習/遠隔教育コースの開発、プレゼンテーションおよびコースがCPEとしてカウントされるという内容となります。
次に「記事、研究論文、書籍の出版(時間数の制限なし )」について説明させていただきます。 これらは時間無制限でCPEとしてカウントされます。また、職業に直接関連する資料の出版および/またはレビューも内容にカウントされます。提出物は出版物またはウェブサイトに掲載されている必要があります。 仮にISACAから内容の提出を要求された場合は記事のコピーまたはウェブサイトのアドレスを伝える必要があります。また、書籍などの場合は目次とタイトルページが利用可能である必要があり、それらを提出します。 資料の完成またはレビューにかかった実際の時間数に対してCPEがカウントされます。
次に「試験問題の考案とレビュー ( 時間数の制限なし )」について説明させていただきます。 試験またはレビュー資料の項目の開発に関連する時間をCPEとしてカウントすることが可能となります。 また、ISACAアイテムレビュー委員会が許可した質問ごとにCPEを獲得することが可能となっております。 また、ISACAに対して複数カウントすることが可能となっております。 「関連する専門試験の合格 ( 時間数の制限なし )」については他の専門資格の取得に対して2時間のCPEがカウントされることになります。
最後に「ISACAの理事会や委員会での業務 ( 制限時間数 : ISACA資格ごとに年間20時間 ) 」について説明させていただきます。 ISACA理事会、委員会、小委員会、タスクフォースへの積極的な参加、またはISACA支部の役員としての積極的な参加が含まれます。アクティブな参加の1時間ごとに1時間のCPEが獲得されます。 積極的な参加には、チャプターWebサイトの開発、実装、保守が含まれますが、これらに限定されず幅広く認められます。 また、このような活動は、開催されるISACAの指定ごとに複数回カウントすることが可能となっております。 「情報システム監査および情報システムコントロールに関する職業に対する貢献」についてはISACAおよび専門職に貢献するその他の組織のために実行される作業がカウントされます。 「メンタリング ( 制限時間数 : 年間10時間 )」については、年間10時間までCPEとしてカウントされます。 コーチング、レビュー、試験準備の支援、または組織、章、または個人レベルでのキャリアガイダンスの提供に直接関連するメンタリングの取り組みがその内容に該当します。また、メンタリング活動は、ISACA試験またはキャリア開発の準備として特定の人をサポートする活動と定義されておりますので、注意が必要となります。

まとめ

いかがでしたでしょうか?CRISCについて詳しく解説させていただきましたので、 参考にしてみてください。






Copyright © IT求人ナビ
30秒で
無料会員登録