★☆★JNSAメールマガジン 第100号 2016.12.2 ☆★☆
(株式会社ラック/ISEPA代表/持田 啓司)
「情報処理安全確保支援士」制度が10月21日に法律施行され、10月24日より登録申請の受付が開始されました。今回申請の対象となるのは、過去に情報セキュリティスペシャリスト試験及びテクニカルエンジニア(情報セキュリティ)試験に合格された方々です。この対象者は、情報処理安全確保支援士試験合格の経過措置として、制度開始から2年間に限り適用されるもので、来年から開始される情報処理安全確保支援士試験合格者とともに申請の対象となっています。
制度が明らかになるにつれ、いくつか気になる点も出てきましたので、制度の概要とあわせて述べてみたいと思います。
申請をしようとする対象者は、まずは申請に必要な書類の準備を行うことになります。登録申請書のほか、戸籍謄本(抄本)又は住民票の写し、試験合格証書のコピー、欠格事由に該当していないことを確認するための書類、登記事項等公開届出書を準備します。その後、登録免許税、登録手数料を納付して、申請書類一式をIPAに送ると、提出書類の審査を経て、「情報処理安全確保支援士登録簿」に登録され、「情報処理安全確保支援士登録証」が交付されることで、情報処理安全確保支援士(以下、情確士)を名乗ることができるようになります。
登録されると、登録情報などがIPAのウェブサイトにて公開され、情確士を活用したい企業等が確認することができるようになります。ちなみに初回の申請は、申請締切りが来年1月31日で、同年4月1日に登録簿に登録されます。
申請書類の中には、法務局等で発行してもらう登記されていないことの証明書(成年被後見人、被保佐人に該当しないことの証明)があります。これは、情確士になるうえでの欠格事由であり、サイバーセキュリティの確保を支援することを業とする者としては、適任ではないということです。
該当しないという申請だけで、証明書は不要としてもいいのではないかと思いますが、IPAが簡単に調べることのできない情報のため、必要な書類となったようです。理由は理解できますが、手続きとしてはちょっと面倒ですね。また、登記事項等公開届出書の提出もあります。これはIPAのWebサイトで公開する情報として、公開必須の情報とは別に、任意で非公開にしたい情報を指定できるようにしています。企業等が安心して情確士を活用できるようにしようという考えで公開するものですが、任意情報には「氏名」も入っているため、企業等が情確士の本人確認をする際には、公開情報である「登録番号」と、本人の持っている「情報処理安全確保支援士登録証」を確認する必要があります。情確士を活用しようとする企業側にとっては少し不便です。それぞれ、欠格事由は情確士の質の確保、公開情報の制限は情確士本人の安全を考慮した結果だと思いますが、情確士の登録のハードルや、活用しやすさなどを観点に、今後は見直しがなされることを期待しています。
経済産業省のニュースリリースでは「サイバーセキュリティに関する知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者」とされています。
しかし、試験範囲は今年まで実施されてきた情報セキュリティスペシャリストと同様となるようであり、情確士の業務範囲をカバーできないのではと考えています。例えば、試験範囲には大別して、テクノロジ系、マネジメント系、ストラテジ系の3分野がありますが、そのうちテクノロジ系の基礎理論やソフトウェア・ハードウェア、開発技術、ストラテジ系の経営戦略などは含まれておらず、あくまでも情報セキュリティ部分の知識を問う問題となっています。
しかし、「企業や組織における安全な情報システム」とは、経営に役立つものでなくてはならず、試験範囲に含まれないこれら分野の知識も必要となるはずです。ゆえに、不足部分をカバーする何らかの手段を制度に取り入れる必要があるのではないでしょうか。それは、更新のための講習に含まれるかもしれないし、情確士として行う業務を通じて得られる知識や経験であるかもしれません。
しかし、そもそも情確士制度の問題は、具体的な役割や業務内容が明確にされていないことにあります。今年4月の試験ワーキンググループの中間報告では、「情報処理安全確保支援士が担う役割の明確化をする」と記載されていますが、未だに明確になってきていません。情確士に登録して活躍しようとしている対象者のためにも、情確士を活用しようとする企業等のためにも、役割明確化は急務です。役割を明確にすることで、その役割を必要としている企業等が情確士に支援をお願いしやすくなりますし、情確士本人もその役割を責任を持って遂行し、不足するスキルの習得に継続して取り組む好循環ができると思います。
さらには、試験ワーキンググループの中間報告で記載のあった、他の情報セキュリティに関する試験・資格に合格した者や、大学等の教育機関で情報セキュリティに関する課程を修了した者の取扱いについても明確となってきていません。すでに市場にはCISSPやCISMといった情報セキュリティ分野の試験は数多く存在し、優秀な人材はそれらの資格を取得してきています。
大学等でもリカレント教育を中心に専門講座が行われてきています。これらの資格や講座の試験・講座内容や難易度を比較して、情確士試験と同等以上と認められる資格取得者を積極的に情確士に登録してもらうことは、制度本来の目的なのではないでしょうか。また、資格のスキル維持に関しても、国境がほぼない状況の情報セキュリティの分野において、国際化の観点からISO規格の人的資源マネジメントへの準拠を検討するなど、まだまだ制度本来の目的に沿って考えて行くべき点が多いと思います。
情確士は名称独占資格です。これは業務独占とは異なり、資格がなくても業務に携わることはできますが、資格がなければその名称を名乗ることはできない資格の事です。登録をせずに「情報処理安全確保支援士」の名称を使用すると罰則の対象となるわけです。この名称独占資格となっていることについて、情確士登録のメリットとして次の3つが挙げられています。
これらメリットとされていることについて感じることは、そもそも資格を持っているだけで、高度な知識・技能を保有しているとお客様となる企業等から認めてもらえるかというと、そうではないということです。そもそも情報セキュリティの仕事を依頼する際に、肩書きだけでお願いすることはほとんどありません。経験や実績をはじめ、それらに培われた技術や仕組みを持っているからこそ仕事を任せてもらえます。さらに、毎年6時間のオンライントレーニングと、更新前の6時間の集合研修だけで、最新知識や実践的な能力を維持できるとは考えられません。毎日の業務や勉強の中で培う知識と経験で養われていくものです。IPAがメリットとして挙げているこれらは、登録された情確士が実践の中で技能を発揮し、活用している企業等が認め始めてようやく受け入れられるはずです。
制度開始から数年経ち、情確士が社会に受け入れられ始めてからとなるかもしれませんが、本来であれば情確士の役割を明確にした上で、責任を持って支援活動を行う制度にしていくことが情確士の存在意義になると思いますし、存在意義が上がることによって、将来的には業務に見合った責任を背負った業務独占資格として明確な位置づけをされる時期が来ることを願っています。
情確士制度が始まったことで、この制度の概要と気になる点を述べてきましたが、情報セキュリティを組織の隅々に行き渡らせることは、何も情確士だけの仕事ではありません。経営層の理解はもちろん、現場で運用を行うエンジニアやITを活用する利用者。その間を橋渡しできる人材と、組織内のすべての人間が情報セキュリティにかかわってきています。今年からIPAでは情報セキュリティマネジメント試験も開始して、組織内で情報セキュリティのマネジメントができる人材の育成も注力しています。情報セキュリティにはさまざまな役割が組織内に存在し、分担して業務を行うことで情報セキュリティの更なる向上が図れます。
また、JNSA内の組織として、情報セキュリティ教育事業者連絡会(略称:ISEPA)を設け、教育事業者間の情報交換や人材育成に関する普及啓発を行っています。
筆者自身もISEPAの代表として、情報セキュリティ人材育成の一端を担っていますので、読者の皆さんも情確士制度を含めて人材育成に関するご意見があればJNSA事務局にご連絡いただければ、さまざまな場で、提案・意見を述べて行きたいと思っていますので、よろしくお願いします。
技術の進歩や利便性・快適性の追求で、安心・安全とのバランスが崩れかけている現代社会において、情報セキュリティ人材の育成は急務です。情確士は、2020年東京オリンピック・パラリンピックの年までに3万人の登録を目指していますが、私たちの生活はそこで終わりではありません。情確士制度はきっかけであり、2020年以降が新たな成長フェーズとなるように、先を見据えた組織のあり方とそれに応じた人材育成に取り組んで行きましょう。
【部会・WG便り】
★10月26日(水)に開催した「IoTセキュリティセミナー」での講演資料を公開しました。
こちらからご覧下さい→https://www.jnsa.org/seminar/2016/1026/
★産学情報セキュリティ人材育成検討会では、今年度2回目の「産学情報セキュリティ人材育成交流会」を開催いたします。
日時:2016年12月3日(土)15:00-20:00
場所:東京大学本郷キャンパス(文京区本郷7-3-1)
<プログラムはこちらをご覧下さい>
https://www.jnsa.org/internship/event.html
★U40部会のfor Rookies
WGでは、セキュリティ関連業務経験3年未満の方を対象としたワークショップを開催します。
募集人数は先着10名ですので、ご興味ある方は早めにお申込下さい。
日時:2016年12月14日(水) 15:00-16:30
参加対象者:セキュリティ関連業務経験3年未満の方
★12月16日(金)にCTF for GIRLS 第六回ワークショップを開催します。
CTFの中でも暗号分野に焦点を当てた女性限定のワークショップです。
日程:2016年12月16日(金)19時-21時 (受付開始18:30予定)
会場:株式会社インターネットイニシアティブ 2F セミナールーム
定員:100名(先着)
参加お申込みはこちらから。
http://girls.seccon.jp/news0.html
【事務局からの連絡、お知らせ】
★JNSAが関係しているセキュリティイベントはこちらに順次掲載しています。
ぜひご覧下さい。
https://www.jnsa.org/security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
*************************************
JNSAメールマガジン 第100号
発信日:2016年12月2日
発行: JNSA事務局
*************************************