情報処理安全確保支援士 対象者像とは?

久しぶりに情報処理安全確保支援士(以下「支援士」)について取り上げます。ネット上では「3年で15万円という維持費が高額」という話題で盛り上がっています。どうやらIPAもこの批判を受け、維持費の正式なアナウンスを11月初旬から下旬に延期し再検討しているようです。まさに前途多難という状況となってきました。しかし、維持費の話ばかりしていても面白くないので、本日は支援士の対象者像について考えてみました。IPAのホームページには以下の記載があります。

サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し,また,サイバーセキュリティ対策の調査・分析・評価を行い,その結果に基づき必要な指導・助言を行う者

この対象者像について、個人的に気になる「試験制度の課題」や「曖昧な役割と位置づけ」についてブログします。

試験制度の課題

支援士の試験制度は現行情報セキュリティスペシャリスト(以下「セキュスペ」)と同様とのこと。セキュスペは午後試験が事例解析です。技術分野の専門家を認定する上で、事例解析は知識やスキルを確認できるため有効です。しかし、実務経験の評価やコミュニケーション能力の確認は難しいと考えます。

しかしながら、支援士の対象者像では「~指導・助言を行う者」と定義されています。指導・助言を行うためには、相手が納得するレベルの実務経験とわかりやすい説明を行う能力が必要です。いくら技術に詳しくても、実務経験と説明能力が不足する者がサイバーセキュリティ対策を指導するのは難しいでしょう。情報セキュリティを専攻する大学の卒業者を支援士に認定することも検討しているようですが・・

結論、支援士の試験制度は実務経験を審査した上で、ペーパー試験は論述とすべきです。ただし、実務経験はサイバーセキュリティ対策のみに限定すると門戸を閉ざしてしまう(CISSPなどはその典型かと思います)ので、システムの開発や運用など関連業務を含める。あわせて、論述は経験に限定せず、ケーススタディ的に第3者への説明を論理的に行うという視点でも良いかと考えます。

試験制度を刷新するとコストがかかるので、セキュスペと同じ内容にしたと推察されます。しかしながら、国としてサイバーセキュリティに本気で取り組むのであれば、それを支える人材を認定する試験制度をもう少し考えたほうが良いと思います。

曖昧な役割と位置づけ

企業や組織において情報セキュリティ対策を推進するには、企業文化や組織内の力関係はもちろん、組織の資産である「人」「物」「金」「情報」に精通していることが必須です。このため、総務部門や情報システム部門などの有識者が対応することが一般的です。

支援士の対象者像にある「情報システムの企画・設計・開発・運用」に関しては、情報システム部門が、専門業者であるITベンダへ請負契約で委託するケースが多いと考えます。この場合、ITベンダはその時点で通常考えられるセキュリティ対策を実装し運用します。なぜなら、瑕疵責任を問われる可能性があるからです。さらに、情報システム部門もセキュリティ対策を要件として提示するケースが多いのではないでしょうか。

支援士の役割をその名のとおり「支援」とします。位置づけを「士業」とすると、外部コンサルタントとなります。この場合、企業の内情を知らない外部から、さらには契約上の責任もない支援という立ち位置で何を行うのか。この点、企業やITベンダからの活用方法が明確でなければ「士業」としては成り立たないのではないでしょうか。一方、位置づけを企業やITベンダの社員とすると、さらに厳しい状況となります。そもそも、なぜ士業でなければならないのか。維持費の負担はもちろん、企業としては優秀な社員を名簿で公開され、社員個人としては罰則規定による刑事罰のリスクを負うこととなります。

役割と位置づけ、ともに制度設計が不十分な気がしてなりません。IPAは維持費の再検討だけでなく、そもそもの役割と位置づけを検討すべきではないでしょうか。

最後に

支援士は情報資格初の「士業」と言われています。情報処理技術者の一人として、この資格が、情報処理技術者の社会的地位の向上に寄与することを期待しています。しかしながら、「士業」というだけで、世間から評価され、技術者が登録するということはないと思います。(一部の資格マニアは別ですが・・)

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

Copy Protected by Chetan's WP-Copyprotect.