グラフの目盛り
その職業で行う仕事の内容を職業間で比較可能な形で表しています。
- 1
- 2
- 3
- 4
- 5
どんな仕事?
コンピュータやネットワークに情報セキュリティ上の問題がないか客観的な立場から監査する。コンピュータやネットワークに対する攻撃に対して脆弱性がないか、情報漏洩に繋がるような問題点がないか、等々を一定の基準に基づき点検する。情報セキュリティ監査人と呼ばれることもある。 情報セキュリティ監査には「保証型監査」と「助言型監査」がある。対象となるコンピュータやネットワークが監査基準に照らして適切であると保証するのが「保証型監査」であり、監査対象の情報セキュリティ上の問題点を指摘し、改善に向けた助言を行うのが「助言型監査」である。セキュリティ監査を行う目的としては、会社や団体の情報セキュリティが適切か組織内で点検する「内部目的」と、会社や団体として外部に情報セキュリティが適切に行われていることを示すための「外部目的」がある。助言型監査は主に内部目的のために行われ、保証型監査は主に外部目的のために行われる。 監査の基準としては、経済産業省の「情報セキュリティ管理基準」及び「情報セキュリティ監査基準」並びに総務省の「地方公共団体における情報セキュリティ監査ガイドライン」等がある。経済産業省の「情報セキュリティ管理基準」では、情報セキュリティのマネジメントにおける計画、実行、点検、処置に必要な事項を示し、実施方法の例も記載されている。「情報セキュリティ監査基準」では、誰が監査するか、監査での遵守事項、監査実施の枠組み、監査報告での留意事項、監査報告書の記載方法が示されている。「地方公共団体における情報セキュリティ監査ガイドライン」では、地方自治体での実施を前提に、監査の手順、監査の項目等が示されている。また、国際標準化機構 (ISO) と 国際電気標準会議 (IEC) が共同で策定した、情報セキュリティのマネジメントに関する規格もある(ISO/IEC 27002)。これら監査基準、ガイドラインをもとに各組織が組織内でより具体的な監査基準を作成している場合が多い。 監査の対象は幅広く、コンピュータ、ネットワーク、オペレーティングシステム、データベース、アプリケーション、クラウド等の情報セキュリティ上の問題点を点検する。さらに、サーバルームに入る人を管理しているか、USBメモリー等が適切に扱われているか等、人の側も対象となる。 一般的には既に稼働しているコンピュータやネットワークの監査を行う。 監査を客観的に行うため、当該システムの開発者や運営者ではない第三者が監査を行う。まったく独立した監査会社が行う場合もあるが、グループ内の監査を専門に行う会社や部門がグループ各社のコンピュータやネットワークの監査を行う場合もある。第三者として独立した監査会社が行う場合は、最初に監査に関して、内容、方法、期間、経費等を顧客と打ち合わせる。グループ会社に対して行う場合は、まず監査を予告し、関係書類を出してもらう。 審査では関係書類を受け取り、監査基準に基づき運用されているか記録等を確認する。提出された書類に疑問点がある場合、必要であれば追加の資料提出を求めたり、ヒアリングを行ったりする。対象となるコンピュータやネットワークに対して脆弱性診断、ペネトレーションテスト等を行うことがあるが、その実施結果の報告書に基づき監査することも多い。 監査では膨大な量のドキュメントを確認するため、3名から5名程度でチームを作り、提出された書類等を点検し基準に適合しているかみていく。監査結果は監査報告書にまとめる。 監査結果をもとに会社や団体の情報セキュリティに関して監査対象の顧客等と検討後に、社内規定等の見直しに参加することもある。 ◇ よく使う道具、機材、情報技術等 ワープロソフト、表計算ソフト(Excel、スプレッドシート等)、プレゼン資料作成ソフト(PowerPoint、Keynote等)、パソコン
求人情報を検索したい方はこちらから。
(ハローワークインターネットサービスへ移ります)
ジョブ・カードを活用してキャリアを整理したい方はこちら
(クリックすると別サイトのマイジョブ・カードへ移ります。)
(クリックすると別サイトのマイジョブ・カードへ移ります。)
[ 動画 ]
タスク(職業に含まれるこまかな仕事)
実施率
69.4 %
社内の監査基準に沿って監査する。
65.3 %
必要であればヒアリング等を行う。
55.1 %
必要であれば追加の資料提出を求める。
51.0 %
提出された資料をチームで手分けして点検する。
49.0 %
監査結果を報告書にまとめる。
46.9 %
国際的な基準ISO/IEC 27002に沿って監査する。
44.9 %
提出された書類の疑問点を確認する。
40.8 %
関係書類を提出してもらう。
38.8 %
監査後に社内規定の見直しに参加する。
38.8 %
監査結果をもとに情報セキュリティに関して監査対象の顧客等と検討する。
38.8 %
監査の途中結果に関してチームで検討する。
38.8 %
総務省「情報セキュリティ監査ガイドライン」に沿って監査する。
36.7 %
監査を予告する。
34.7 %
稼働直前のコンピュータやネットワークを対象として監査する。
34.7 %
監査に関して、内容、方法、期間、経費等を顧客と打合せる。
30.6 %
対象となるコンピュータやネットワークの脆弱性診断を行う。
30.6 %
経済産業省「情報セキュリティ管理基準」、「情報セキュリティ監査基準」に沿って監査する。
26.5 %
対象となるコンピュータやネットワークのペネトレーションテストを行う。
24.5 %
監査結果を顧客等にプレゼンする。
仕事の内容
スキルレベルごとのタスク
※厚生労働省が2023年度に実施した委託調査結果に基づき掲載(結果の概要はこちら)
就業するには?
情報セキュリティ監査を専門に行う会社に入るか、IT企業に入り、セキュリティ部門等に配属されて、情報セキュリティ監査を担当する。正確な就業者数等統計はないが、大卒が多く、理系も文系もおり、男女ではやや男性が多いと考えられる。情報セキュリティ監査は2000年以降、整備されてきており、整備に合わせて、情報セキュリティ関係やシステムの運用等の業務を行ってきたベテランが監査を行うようになったことも多く、若年者の比率は高くない。 経済産業省の情報セキュリティ監査制度に基づく情報セキュリティ監査人資格制度があり、特定非営利活動法人の日本セキュリティ監査協会(JASA:Japan Information Security Audit Association)が認定試験を行っている。情報セキュリティ監査人資格制度には、監査チームのリーダーとして監査計画を作成、監査し、報告を行う「公認情報セキュリティ主任監査人」、監査計画の策定や実際の監査、報告を行い、主任監査員の指導のもとでリーダーとして監査を主導する「公認情報セキュリティ監査人」、監査チームにOJTとして参加し、監査を支援する「情報セキュリティ監査人補」、監査チームのリーダーからの要請に応じて監査に対してさまざまな助言を行う「情報セキュリティ監査アソシエイト」がある。これらの資格を持っていることが望ましいが、持っていなくても業務は可能である。情報処理推進機構(IPA)の国家試験「情報セキュリティマネジメント試験」、「情報処理安全確保支援士試験」の知識は業務をする上で役立つ。 採用後、監査チームの一員となり、OJTで知識やスキルを身に着けていくことになる。日本セキュリティ監査協会等のセミナーや研究会に参加することもある。 監査チームの一員に加わり、実業務を通じてノウハウを習得し、上記の「情報セキュリティ監査人補」「公認情報セキュリティ監査人」「公認情報セキュリティ主任監査人」へとスキルを高め仕事の幅を広げていく。 新しい仕事であり、特定のキャリアルートがあるというわけではないが、情報セキュリティ関係の脆弱性診断やデジタルフォレンジックのような仕事に移る人もいる。 倫理性、責任感、正確さ、チームワークが求められ、ITの発展に伴う知識やスキルの更新も必要となる。また、書類の交換、ヒアリング等が多いことからビジネスマナーが必要であり、文書作成やコミュニケーションのスキルも求められる。
希望する職業に必要な職業スキルや知識などの訓練コースや講座を探したい方はこちらから。
ジョブ・カードを活用してキャリアを整理したい方はこちら
(クリックすると別サイトのマイジョブ・カードへ移ります。)
(クリックすると別サイトのマイジョブ・カードへ移ります。)
学歴
この職業で実際に働いている人が多いと感じる『学歴』を表しています。必須とは限りませんので、詳細は「就業するには」を確認してください。
- 0
- 20
- 40
- 60
- 80
- 100 %
グラフの目盛り
2.2 %
6.5 %
8.7 %
4.3 %
6.5 %
76.1 %
15.2 %
6.5 %
6.5 %
入職前後の訓練期間、入職前の実務経験
- 0
- 20
- 40
- 60
- 80
- 100 %
30.4 %
2.2 %
8.7 %
15.2 %
10.9 %
2.2 %
13.0 %
0.0 %
2.2 %
15.2 %
- 0
- 20
- 40
- 60
- 80
- 100 %
34.8 %
4.3 %
2.2 %
4.3 %
13.0 %
13.0 %
2.2 %
2.2 %
2.2 %
21.7 %
- 0
- 20
- 40
- 60
- 80
- 100 %
10.9 %
2.2 %
17.4 %
19.6 %
6.5 %
13.0 %
8.7 %
2.2 %
4.3 %
15.2 %
労働条件の特徴
監査対象となるのは大企業が多いことから、情報セキュリティ監査を行う側の会社も東京に集中している。 機密情報、個人情報を扱うため、多くは正社員であり、協力会社の社員が監査チームに加わることもあるが、その人も多くは協力会社の正社員である。賃金は月給制で、土日祝日が休み、朝から夕方までの勤務というところが多い。監査は計画的に行われ、時期により集中することはあまりないことから、特に残業時間や休日出勤が多いということはない。 近年、情報化が急速に進展し、最近ではデジタルトランスフォーメーション(DX)に取り組む会社も多く、あらゆるものがインターネットにつながるIoTも広がっている。2020年、コロナ禍でリモートワークが急速に広がり、新たな監査の必要性が生まれているという組織もある。一方でコンピュータやネットワークの安定稼働が社会から強く求められることから、仕事は質、量ともに拡大している。また、情報セキュリティ監査を実施しているのは大企業でもそれほど多くなく、必要性の認識が高まるとともに仕事が増えていくと考えられる。
統計データ
セキュリティエキスパート(情報セキュリティ監査)が属する主な職業分類(厚生労働省編職業分類の「他に分類されない法務・経営・文化芸術等の専門的職業」等)に対応する統計情報です。
※「統計データ」は、必ずしもその職業のみの統計データを表しているものではありません。各統計データで使用されている職業分類の詳細については職業分類対応表をご覧ください。
※各統計データに関する留意事項についてはこちらをご覧ください。
※関連団体等が別途就業者数等を公表している場合は「労働条件の特徴」本文中に記載されていることがあります。
データ表示対象地域を選択(就業者統計データおよび求人統計データの都道府県別の数値が表示されます。)
就業者統計データ
就業者数
(出典:令和2年国勢調査の結果を加工して作成)
全国
309,100
人
都道府県を選択すると都道府県別の数値が表示されます。
労働時間
(出典:令和5年賃金構造基本統計調査の結果を加工して作成)
全国
162
時間
都道府県を選択すると都道府県別の数値が表示されます。
賃金(年収)
(出典:令和5年賃金構造基本統計調査の結果を加工して作成)
全国
551.4
万円
都道府県を選択すると都道府県別の数値が表示されます。
年齢
(出典:令和5年賃金構造基本統計調査の結果を加工して作成)
全国
41.6
歳
都道府県を選択すると都道府県別の数値が表示されます。
賃金分布(グラフ)※全国のみ
(出典:令和5年賃金構造基本統計調査の結果を加工して作成)
スキルレベル別給与データ(年収)
※厚生労働省が2023年度に実施した委託調査結果に基づき掲載(結果の概要はこちら)
〈企画立案・プロジェクト管理〉
ITSSレベル3
600.0万円 ~ 900.0万円
ITSSレベル4
650.0万円 ~ 950.0万円
ITSSレベル5以上
700.0万円 ~ 1100.0万円
※金額は第一四分位から第三四分位の範囲を表しています。
ハローワーク求人統計データ
求人賃金(月額)
(令和5年度)
全国
26.9
万円
都道府県を選択すると都道府県別の数値が表示されます。
有効求人倍率
(令和5年度)
全国
0.56
都道府県を選択すると都道府県別の数値が表示されます。
一般的な就業形態
この職業で実際に働いている人が多いと感じる『就業形態』を表しています。
- 0
- 20
- 40
- 60
- 80
- 100%
グラフの目盛り
82.6 %
6.5 %
13.0 %
15.2 %
4.3 %
10.9 %
0.0 %
0.0 %
2.2 %
0.0 %
産業景況データ
セキュリティエキスパート(情報セキュリティ監査)が属する産業(情報通信業、学術研究,専門・技術サービス業)の産業別景況動向をグラフで見ることができます。(産業全体の景況動向はこちら)
労働者過不足判断
(出典:令和6年 厚生労働省「労働経済動向調査」)
グラフの数値が大きいほど、労働者が不足と判断している。
法人企業景気予測 (出典:令和6年 内閣府・財務省「法人企業景気予測調査(BSI)」)
グラフの数値が大きいほど、景気が上昇と予測している。
職場情報の検索・比較
残業時間(時間外労働時間)や有給休暇取得率、平均年齢など、企業の様々な職場情報を検索・比較したい方はこちら(クリックすると別サイトのしょくばらぼへ移り、 セキュリティエキスパート(情報セキュリティ監査)が属する産業(情報通信業、学術研究,専門・技術サービス業)で検索ができます)
しごと能力プロフィール
この職業の「しごと能力」プロフィール
この職業に関係のない「しごと能力」プロフィール
- 0
- 1
- 2
- 3
- 4
- 5
- 6
- 7
5.0
5.1
4.7
4.8
3.2
2.7
2.7
2.5
3.4
3.0
4.5
4.4
4.2
4.6
4.3
4.7
4.4
4.3
4.3
4.0
4.4
4.2
3.6
4.0
3.7
3.4
2.9
3.1
2.8
3.3
2.8
3.8
4.3
4.0
4.1
3.9
3.1
2.9
3.1
この職業の「しごと能力」プロフィール
この職業に関係のない「しごと能力」プロフィール
- 0
- 1
- 2
- 3
- 4
- 5
1.9
2.5
1.2
1.2
1.8
1.4
0.6
0.8
0.4
1.3
2.8
1.5
0.6
0.7
1.4
0.8
0.5
0.3
1.2
1.1
0.5
0.3
0.6
1.7
1.9
1.3
0.3
0.3
0.3
2.2
1.6
2.5
2.1
この職業の「しごと能力」プロフィール
この職業に関係のない「しごと能力」プロフィール
- 1
- 2
- 3
- 4
- 5
3.1
3.3
3.2
3.3
2.8
2.6
3.7
3.1
3.1
3.0
3.0
2.9
2.7
3.0
2.8
2.7
2.7
3.0
3.0
1.7
1.7
1.7
2.1
1.8
1.7
1.5
2.0
1.7
1.7
1.7
1.9
1.8
1.8
1.9
2.2
この職業の「しごと能力」プロフィール
この職業に関係のない「しごと能力」プロフィール
この職業の「しごと能力」プロフィール
この職業に関係のない「しごと能力」プロフィール
- 1
- 2
- 3
- 4
- 5
3.2
3.5
3.1
3.1
3.4
3.4
3.3
3.8
3.0
3.4
この職業の「しごと能力」プロフィール
この職業に関係のない「しごと能力」プロフィール
- 1
- 2
- 3
- 4
- 5
4.4
3.7
3.6
4.0
2.5
3.0
3.5
3.0
3.5
3.9
2.9
2.6
3.3
4.8
1.6
1.3
4.9
1.3
1.8
2.7
3.4
3.5
4.8
1.5
1.5
1.2
1.4
1.2
1.3
1.5
1.4
3.0
2.4
2.0
2.7
2.0
規則的(ルーチンやスケジュールが決まっている)
不規則(天候、生産需要、契約期間などで変わる)
季節的(一年のうちの一定の時期だけ)
類似する職業
データはありません
関連リンク
特定非営利活動法人 日本セキュリティ監査協会(JASA:Japan Information Security Audit Association)
