目 次
情報セキュリティ資格を主催している国内の団体を、インターネットで検索したところ7つありました。これら団体は複数ランクの資格を提供していることから、資格の数はさらに多いです。各団体の主な資格は次のとおり。
- 情報セキュリティスペシャリスト(経済産業省)
- 情報セキュリティマネジメントシステム(ISMS)審査員(日本規格協会)
- 公認情報セキュリティ監査人(日本セキュリティ監査協会)
- 情報セキュリティ専門監査人(システム監査学会)
- ネットワーク情報セキュリティマネージャ(NISM推進協議会)
- 情報セキュリティ管理士(全日本情報学習振興協会)
- 情報セキュリティ技術認定(SEA/J)
今回は、これら情報セキュリティ資格の難易度、取得のメリットとその課題、およびキャリアプランについて、個人的に調べたことをブログします。情報セキュリティ関連の資格や仕事に興味がある方の参考になればと思います。
ちなみに、私が取得しているのは、情報セキュリティスペシャリストの前身である情報セキュリティアドミニストレータと、情報セキュリティ管理士の前身である情報セキュリティ検定1級となります。どちらも、10年以上前に取得したものであるため、現在では完全に過去の資格ですが・・
資格の難易度
筆記試験の難易度が最も高いのは、情報処理技術者試験の高度区分かつ、合格率が10%台の情報セキュリティスペシャリストでしょう。一方、受験資格のハードルが高いのは、数年の実務経験が必要となる、公認情報セキュリティ監査人の上位資格と、情報セキュリティマネジメントシステム(ISMS)審査員です。
それ以外は、筆記試験および受験資格ともに、それほど高くはないと考えます。民間団体やNPOが主催していることから、ある一定の取得者数が必要な事情があると思います。主催する団体が試験対策セミナーを実施しているケースもあります。
資格取得のメリットとその課題
これら資格を取得した後のメリットと課題は、大きく2つあると考えます。
情報セキュリティ関連制度の実施に携われる
情報セキュリティマネジメントシステム(ISMS)審査員はISMS認証の審査員になることができ、公認情報セキュリティ監査人は情報セキュリティ監査の監査人としての信用を高めることができます。
課題は、ISMS認証や情報セキュリティ監査の実施は任意であることです。すなわち、企業の自主性に委ねられるため、実施している企業は少ないです。ある程度、収支が安定している中堅企業以上でないと、情報セキュリティ対策にまで手が回らないのが実情と思います。実際に、ISMS認証の登録数は約5千社であり、取得率にすると企業全体の0.1%程度です。
このため、情報セキュリティマネジメントシステム(ISMS)審査員の資格を取得しても仕事があるとは限らないのが実態のようです。公認情報セキュリティ監査人など、情報セキュリティ監査に関する資格についても、監査制度に法的な強制力がないため、実際に監査業務に従事できる機会は少ないのではないでしょうか。
情報セキュリティの知識や経験を第3者に示すことができる
情報セキュリティの知識や経験としては、大きく3つに分けられると考えます。
情報セキュリティの管理について
人的セキュリティ、物理的セキュリティを含めた情報セキュリティ対策です。具体的には、情報セキュリティポリシーの制定や、CSIRTと呼ばれるインシデント対策チームの運営、および情報セキュリティ対策の啓蒙活動などがあります。
資格としては、今年4月に情報処理技術者試験の利用者区分として新設された、情報セキュリティマネジメントや、民間資格である情報セキュリティ管理士などが該当します。これらの資格を取得することで、情報セキュリティの管理に関する基本的な知識を持つことを証明することができます。
情報セキュリティの実装技術について
技術的セキュリティの対策です。具体的には、システムを構成するアプリケーション、ネットワークおよびデータベースに関する脆弱性対策を実装することです。専門的かつ高度な知識が求められるとともに、常に知識をアップデートする必要があります。
実装技術に関して高度な知識を証明できるのは、情報処理技術者試験の情報セキュリティスペシャリストです。来年の試験から情報処理安全確保支援士となりますが、その位置づけは変わらないと思います。
民間資格としてはネットワーク情報セキュリティマネージャや情報セキュリティ技術認定(CSPM)があります。前述の情報セキュリティスペシャリストを目指す際のステップアップに最適だと思います。特に、ネットワーク情報セキュリティマネージャはITSSレベル2~3であり、ITSSレベル4の情報セキュリティスペシャリストの下位資格との位置づけを明確にしています。
これら資格を取得することにより、情報セキュリティの実装技術に関する知識やスキルを証明することができます。
情報セキュリティの監査や認証について
情報セキュリティの管理や実装技術が適切に運用されているかを、第3者の立場でチェックします。このため、管理や実装技術に加え、監査技法などの知識と、監査や認証の結果を経営者などに適切に説明する能力が求められます。
資格としては、その名のとおり情報セキュリティマネジメントシステム(ISMS)審査員や公認情報セキュリティ監査人が該当します。これらの資格を持つことより、監査や認証の知識を保有することを証明することができます。
資格取得のキャリアプラン
情報セキュリティスペシャリストと情報セキュリティマネジメント、および情報セキュリティ技術認定は、資格の更新が不要です。このため、今後情報セキュリティ関連の仕事を目指す方は、まずこれらの資格を取得することをお勧めします。
なお、情報セキュリティスペシャリストと情報セキュリティマネジメントは国家試験であり、取得する価値は高いです。ただし、受験できるのは年2回となります。一方、情報セキュリティ技術認定は民間資格となりますが、全国のテストセンターでいつでも受験することができるというメリットがあります。
その他の資格は全て資格の更新が必要です。更新費用の支払いや、主催する団体が認定する講習の受講、および能力確認テストを受けるなどです。更新にはそれなりの費用が必要なため、資格を取得するのは、その資格が必要な仕事を目指す、または業務で必要となった時でよいと考えます。
コメント