Man On a Mission

システム運用屋が、日々のあれこれを記録していくブログです。情報処理技術者試験の話題多し。高度試験の攻略なども。最近はやや歴史づいてます…。

情報処理安全確保支援士について

ご存知の方も多いと思いますが、情報セキュリティスペシャリスト試験が、新資格制度に置き換えられることになりそうです。
新しい資格の名前は情報処理安全確保支援士です。
情報処理安全確保支援士です。
色々言いたいことがある方もいるかと思いますが、ひとまず飲み込んで頂いて話を進めます。

この新資格制度の詳細は、まだ確定していないのですが、2016/4/27に経済産業省より情報経済小委員会試験ワーキンググループの中間取りまとめが出ました。
こちらを元に、本記事で少しまとめてみます。

 なお、これから記述する内容は全て2016/5/1時点での情報であり、今後、変更があるかもしれない事をお断りしておきます。

※ 2016/06/28 IPAよりプレスリリースがありました。別記事にてまとめております
当記事(というか中間とりまとめ)そのままの内容で確定することになりそうです。

また、記事中の解説には、多分に私の個人的感想や偏見が含まれておりますので、その点を勘案しつつお読みください。

なぜ、新しい資格制度が必要なのか

情報処理安全確保支援士は、2017年度より実施予定で、年2回、情報処理技術者試験と同日に試験が行われます。
(なお、根拠法は「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」で、2016/4/15に成立しています。)

何を目的にした資格なのか、情報経済小委員会試験ワーキンググループの中間取りまとめより、適当に抜き出しつつまとめてみます。

近年の情報技術の浸透に伴い、サイバー攻撃の件数は増加傾向にあり、その対象の広がりや技術の進展、被害規模の拡大はすさまじいものである。2020年東京オリンピックパラリンピック競技大会の開催等を控え、万全な情報セキュリティ対策の体制整備が求められているところ、実態としては情報漏えい事案が頻発している。
これらの事案発生の背景には、企業等における情報セキュリティ対策の必要性への意識が未だ低調であることに加え、情報セキュリティ対策を担う実践的な能力を有する人材不足があり、我が国の社会全体として早急な情報セキュリティ人材の確保が求められている。

 えーっと、情報セキュリティ対策を万全にしてえんだが、現状がダメだからなんとかしないといけねえ、ということです。
オリンピックで必要だのと、そのくだりは必要なのかという感がありますが、まあ、なんか重要なんでしょう*1

とりあえず、それを資格でどうこうしよう、っていうのもなんだか迂遠な感じがしますが、情報セキュリティスペシャリスト試験じゃダメなんでしょうか。

 一方、「情報処理技術者試験」においては、試験合格後のフォローがなく、最新の動向を踏まえて専門的な知識・技能が維持されているか確認できないといった指摘がある。

…中略…

その結果、これまで実施してきたSC試験をベースとして、定期的に実践的な能力を確認する更新制の導入や登録者の情報を公開する登録簿の整備等を行い、情報セキュリティ人材の質の担保と人定の可視化を図る、新たな国家資格制度の創設が提言された。

 試験受けたらそのままになってるのが気に食わねえ、ということのようです。
この辺、一時期、噂になってた情報セキュリティスペシャリスト更新制からつながってる部分ですね。
それで、更新制の新試験制度に移行する、と。

試験とか更新とか、具体的な内容は?

情報処理安全確保支援士になるには、試験の合格および登録が必要になります。
また、資格保持者となった後は、講習の受講義務が課せられます。

試験

試験については、情報セキュリティスペシャリスト試験をベースにするとのこと。
情報セキュリティスペシャリスト試験を廃止にする、とは明記されていませんが、文脈からすると置き換えということになりそうです。

ちなみに、情報セキュリティスペシャリスト試験の合格者*2は、試験免除となります。
ただし、合格から一定期間(未決定。例として3年が挙げられている)、経過している者は、登録後速やかな講習受講が義務付けられるとされてます。
また、制度開始から一定期間(未決定。例として2年が挙げられている)登録しなかった場合、試験の免除を受けられなくなるようです。

他にも、政府指定のポストに一定期間従事してたり、他のセキュリティ資格保持者だったり、大学とかで情報セキュリティに関する課程を終了してたりすると、全部または一部の試験が免除される、とあります。
この辺、ごちゃごちゃしてるので、気になる方は中間取りまとめを読んでください。

登録

試験合格後の登録をもって、晴れて情報処理安全確保支援士となります。
登録すると、登録簿への氏名や生年月日、資格試験合格日などが記載されます。
さらに、登録簿はホームページ上に公開されるとのことです。氏名や勤務先などは公開・非公開を選べるようですのでご安心を。

講習と更新

更新制度については、定期的な講習受講によるものとなる模様。
1年ごとに6時間程度のオンライン講習、3年ごとに1回の集合講習(実地講習。6時間程度)を受けなければならないようです。
オンライン講習で学習した知識を、集合講習で問うことで、替え玉受講を防止するとのこと。

なお、集合講習は年2回、主要都市で開催する、と記述されてます。
主要都市って具体的にどこにするつもりでしょうね?
開催場所の選定によっては、地方にとって負担が大きい制度になりそうです。

また、集合講習で習得度確認テストが行われ、一定レベルに達していないと判定された場合は、再講習。再講習後も不十分と判定されると登録取り消しとする、という運用が挙げられてます。まだ決定では無いですが、この方向性で行くとみてよいでしょう。

講習については受講料の徴収もあるようです。

情報処理安全確保支援士制度の普及策

さて、制度的な枠組みはともかく、この資格制度の普及についてはどうするつもりでしょうか。
以下、中間取りまとめより引用。

情報処理安全確保支援士が情報セキュリティの専門的・実践的な能力を有する人材として、我が国企業等における情報セキュリティ対策を牽引していくためには、本制度を普及させ、企業等から適切な評価を得られるような取組を進めていくことが不可欠である。
…中略…
本制度の普及のためには、情報処理安全確保支援士が、企業等における情報セキュリティ対策においてどういった役割を担うことができるのか、また逆に、どのような業務を担う者が情報処理安全確保支援士の資格を取得するべきなのか、それを整理し、明確にする必要がある。
…中略…
したがって、上記の業務・役割について、産業界等とも連携し早急に取りまとめ、情報処理安全確保支援士をその中に位置付けることが必要である。

なるほど。
この資格持ってる奴が評価されるようにしないといけねえ、まずは、この資格持ってる奴が何すんのか、はっきりさせるとこからだ、ということのようです。
決まってないのかよ!
…失礼、取り乱しました。
一応、上記に引用した箇所の後ろに、情報セキュリティを担う人材のキャリアパスの確保・メリットの付与という一文がありまして、資格のメリットを確保する必要があることは認識している模様です。
しかし、どのように確保するかはあいまいで、企業や社会に対する働きかけとか、ブランディング等が挙げられているだけです。
その辺の検討は、まだまだこれから、ということのようです。

他には、有資格者のコミュニティ構築を促すとか、産学官連携による継続的な人材育成とか、情報処理安全確保支援士の企業における活用を進めるとか記載されてます。

上記のうち、資格のメリット確保にも関係しそうな「情報処理安全確保支援士の企業における活用」について、以下の取組が挙げられています。

  • 情報処理安全確保支援士やその他情報セキュリティ関連資格を有する者を活用し、情報セキュリティ対策を推進している企業に対する認定/表彰制度の創設
  • 情報処理安全確保支援士が監査等を担った商品・サービス等に対する認定制度の創設
  • 一定の業務分野に関する、情報処理安全確保支援士等の実践的な能力を有する人材の配置の義務化
  • 企業等が保有する有資格者数等の情報公開の推進
  • サイバーセキュリティ保険における有資格者数の要件化
  • 政府調達における有資格者の参画の要件化

うーん、企業からの需要が増えれば、資格取得のメリットに直結する可能性もありますが…。
なんか表彰だの認定だのと、微妙ですね。
人材の配置の義務化は、一定の業務分野とか書いてあるし、「サイバーセキュリティ保険における有資格者数の要件化」は興味深いけど、歴史の浅い保険商品なので未知数です。

それと、一つ別の懸念なんですが、情報処理安全確保支援士って名前、やっぱりわかりにくくありませんか?

個人的に、資格は名称が重要で、ぱっと見でどんなことがやれるのか分かるのが望ましいと思ってます。
しかし、実際にはそうでない名称の資格が多く、現行の情報処理技術者試験でもわかりにくい名前で辛酸をなめてる資格がみられます。ITサービスマネージャとか。
ITサービスマネージャとか。
情報処理安全確保支援士って名前だと、一般の人どころかIT関係者からも何の資格か見当もつかんってことになりませんかね?

最後に

まだ施行されてない資格制度なので、どうしても懸念することが多く、ネガティブな感想ばかりになってしまいました。
しかし、情報処理安全確保支援士制度は未だ中間とりまとめの段階です。あまりネガティブに捉え過ぎるのも良くないですね。少し反省。
これらの懸念が杞憂に終わることを願いつつ、今後の動向を見守りたいと思います。

 

 

*1:4万人のエンジニアがボランティアでセキュリティ対策するとかいう話をしてた人もいましたねえ…。

*2:その前身となる情報セキュリティアドミニストレータ試験及びテクニカルエンジニア(情報セキュリティ)試験も含む