情報処理安全確保支援士 情報セキュリティアドミニストレータを復活させるべき

情報処理安全確保支援士
この記事は約3分で読めます。

情報処理安全確保支援士(以下「支援士」)は良くも悪くも注目されているようです。このサイトも支援士をキーワードとしたアクセスが増えてきました。

2020年までに3万人を目標とする支援士ですが、現在の申請者は情報処理推進機構(以下「IPA」)によると400人程度のようです。

今回の登録では、過去に同等とされる情報セキュリティスペシャリスト(以下「SC」)とテクニカルエンジニア情報セキュリティ(以下「SV」)の約46,000人がみなし合格者となります。試験を受けなくても良いという条件にもかかわらず、申請者が0.9%程度とはIPAも想定外ではないでしょうか。

しかし、この結果は必然です。なぜなら、情報セキュリティアドミニストレータ(以下「SU」)の合格者、約25,000人をみなし合格者の対象外としたためです。今年4月の「試験ワーキング中間とりまとめ」でSUはSC、SVと同様にみなし合格者とされていました。しかし、パブリックコメントにて

「情報セキュリティアドミニストレータ試験」合格者をみなし対象者とすることには、再考が必要である

という意見を受け、IPAは最終段階、すなわち10月のプレスリリースにていきなり除外としました。支援士の制度に注目し、みなし合格者としての登録を考えていたSUにとっては、まさに「梯子を外された」という感じではないでしょうか。

SUは平成13年度から開始された、情報セキュリティに関する初の国家試験でした。受験者の多くは、他高度試験の合格者とされる中、合格率が10%台前半という難度でした。後に、開発者向けにSVが開始され、SUは利用者向けとして明確に区分されるようになりました。

一方、SCは平成21年度の制度改定でSVをベースにSUを包含する形で開始されました。私の知るかぎりSCは、高度試験の登竜門として応用情報技術者の合格後に受験する若手が多いです。また、専門学校の生徒が合格して広報されるのも、ほとんどがSCではないでしょうか。

この歴史的経緯から、現在、SUは企業の中堅・ベテラン層に、SCは若手に多いのが実態ではないでしょうか。立場上、SUは実務のキーマンとして多忙であり、後継資格とされるSCを取得している方は少ないと思います。

では、SUはセキュリティの知識やスキルのレベルが低いのでしょうか?私はそうは思いません。情報セキュリティの国家試験を一番乗りで取得したアンテナが高い方々です。現時点においても、各分野の実務者として高いレベルだと考えます。

情報セキュリティ対策は日進月歩ですが、これはベースとなる知識やスキルの上に位置付けるべきです。例えば、データベースのセキュリティ対策には実務経験に加え、データベーススペシャリスト試験レベルの専門知識が必要です。プロジェクトマネジメントや他分野も同じだと言えます。

こう考えるとSUの多くは、高いITのベース知識があり、古いですがセキュリティの知識も認定されています。

しかし、パブリックコメントでSUは、

義務講習により、最新のサイバーセキュリティに関する知識・技能の習得を補完することは難しいと判断されます

とのこと。確かに試験範囲が開発者向けではなく、10年以上前のセキュリティ知識ではあります。しかし、前述のことを総合的に考えると、SUのサイバーセキュリティに関する能力が劣るとは一概に言えないと思います。

知識だけでいうと「企業と法務」はSUのみの試験範囲であったことから、企業内CSIRT(情報セキュリティ対策チーム)の構築にはSUが適任ではないでしょうか。さらには、古い知識を義務講習のみで補完できないとなると、支援士の制度自体を・・・・

ということで、個人的ではありますが、タイトルのとおりSUをみなし合格者とすることにより、もしかすると支援士の登録者が増えるのでは、そして目標を達成できるかも。と思います。私が登録するかどうかは、わかりませんが・・

コメント

  1. 通りすがりA より:

    通りすがりの者ですが、コメント失礼致します。
    10年ほど前にSUに受かった身としては、外されても仕方ないと思っております。
    なんせ、当時高校生で実務経験もない私が受かる程度だったのですから、た様の仰るとおり、素人向けの試験だったのでしょうね。すでにSVと分かれていましたし。
    しかし、仮に対象に入っていても登録はしなかっただろうと思います。
    理由は、過去にペーパーテストに受かった程度の人にばらまくようでは希少性の欠片もなく、力量の証明も出来そうにないためです。せめてcisspのように実務経験の裏付けでもあれば別なのだと思うんですけどね。

  2. pmblog より:

    コメントありがとうございます。サービス基準の各サービスに関する専門性を満たす資格には私も疑問が多いです。
    脆弱性診断に監査主体のCISAが認められていたり、実務経験を認定するCISSPやCISAと支援士やシス監が同列であったりと、資格を詳しく知る者からすると信用ならないと感じる内容ではないでしょうか。資格の信用において、実務経験の有無は大きな違いだと思います。
    支援士の登録制度を考えたときに実務経験(開発業務含む)を有する者を対象者としておけば良かったのではと思います。
    個人的には知識+実務経験が担保されてはじめてプロフェッショナルと言えるのではと考えます。

  3. やっぱり変だよ情報セキュリティ資格 より:

    情報セキュリティアドミニストレータの件、もう古い話なのかもしれませんが、昨今の経済産業省の活動から疑問を感じるところがありますので、長文恐縮ですがコメントさせていただきました。
    まず、情報処理安全確保支援士制度が開始して以降も、同じ経済産業省の「情報セキュリティ監査企業台帳」制度で、申請書類上の監査関連資格の取得状況の欄には以下資格の記載があります。
    ーーーーーーーーーーーーー
    公認情報セキュリティ主任監査人
    公認情報セキュリティ監査人
    情報セキュリティ監査人補
    情報セキュリティ監査アソシエイト
    システム監査技術者
    情報セキュリティアドミニストレータ
    情報セキュリティスペシャリスト
    ISMS主任審査員/審査員
    公認システム監査人
    公認情報システム監査人
    JASA監査人研修(  年度)
    NRA自治体業務知識研修
    その他(      )
    ーーーーーーーーーーーーー
    つまり、情報セキュリティ監査行Mの対象資格者に「情報セキュリティアドミニストレータ」を認めていた訳です、もし情報セキュリティアドミニストレータが素人(アマチュア)であれば監査というプロフェッショナル業務はやらせていなかったはずです。ここで疑問を感じます。
    ところが、同じ経済産業者が平成 30 年 2 月 28 日に公表した「情報セキュリティサービス基準」の 情報セキュリティ監査サービスの提供に必要な専門性を満たすとみなすこ
    とができる以下に例示する内容相当の資格には
    ・ 公認情報セキュリティ監査人
    ・ 公認システム監査人
    ・ CISA(Certified Information System Auditor)
    ・ システム監査技術者
    のみで、情報セキュリティアドミニストレータはありません。ただし、この時点で情報セキュリティスペシャリストも情報処理安全確保支援士もないため、やはり情報セキュリティスペシャリストも情報処理安全確保支援士も少なくとも情報セキュリティ監査業務においては、情報セキュリティアドミニストレータと同等以下と見なされている考えるのが自然で、むしろここに挙げられている資格の方が、情報セキュリティ監査では情報処理安全確保支援士よりプロフェッショナル性が高いと見なされてるのではないでしょうか。

  4. より:

    個人的にはSUが対象外となったのは妥当と考えます。
    SUとSVは併存していた時期があり、その際の私の認識は、SV>SUでした。
    (私自身がIT技術者で、SV:プロ向け、SU:素人向け、という考えを持っていたため。)
    その後、情報セキュリティ系の高度資格は、現在のSCに統合されましたが、SVの後継資格という意味合いの方が強いと思っています。
    SUは「管理者」向けで、どちらかと言うと、支援される側の資格のような気がします。
    なので、SUが対象外となったのは、自然な流れだと思います。

    • pmblog より:

      た様 コメントありがとうございます。技術レベルではご指摘のとおりかと思います。SVはテクニカル,SCはスペシャリストという区分からも明らかですね。SUは利用側ですが、さらに昔、SSの頃は利用側、開発側にまたがる管理者でした。SSの私としては、セキュアドが技術者として「素人」という意見には賛同しかねますが・・個人的には、セキュリティ対策において管理者と技術者は互いに補完するものだと思います。

Copy Protected by Chetan's WP-Copyprotect.