情報処理安全確保支援士「食べていける資格」になるかは自分たちのがんばり次第?

情報処理安全確保支援士(以下「支援士」)の気になる記事を発見しました。

経済産業省に聞く――「情報処理安全確保支援士」制度はIT技術者の新しいキャリアデザインを開きますか?

この記事は12月1日に取材して、2月6日に公開されたということです。公開まで約2ヶ月もかかったということですが、記事を読んでその理由がわかりました。

取材者は、弁護士資格の就職難や、国際的に人気のあるセキュリティ資格のCISSPを引き合いに、支援士制度の課題にするどく切り込んでいます。しかし、曖昧な回答に、はぐらかされている感が伝わってきます。

今回は、私がこの記事を読んで感じた個人的な見解をブログします。

支援士はスーパーマン?

一昔前、情報処理技術者試験は特殊、1種、2種という段階的な区分で技術者を認定していました。しかし、システムが多様化・複雑化する中で、一人の担当がIT戦略企画、開発、保守、運用および各技術分野を高いレベルで業務遂行することが困難になってきました。

このため、情報処理技術者試験は分業を意識した複数区分となり、それぞれ毎に技術者を認定しています。しかし、支援士の業務は次のとおり驚きの範囲です。

 具体的な業務例としては、①経営課題への対応として――セキュリティポリシーの策定・更改、情報提供・助言指導といった業務、②緊急対応として――インシデント対応の全体統制や処理・復旧業務、③システム設計・開発として――設計段階までのセキュリティ対策、セキュアコーディングの推進、セキュリティテストを実施・評価する業務、④運用・保守として――ポリシーの実践、脆弱性の対応、品質管理、教育・普及活動、などが挙げられます。

支援士はこれら超上流工程から下流工程の全業務について、サイバーセキュリティの指導・助言を行うという立場です。当然ながら、各工程や分野について、相当の知識や経験が求められるといえます。

具体的に、企業内支援士の実務を考えると、ある時は、経営会議で社長や部長に「経営方針から当社のセキュリティ戦略を云々しなさい」と、またある時は、開発プロジェクトでプログラマに「プログラムのサニタイズ処理を云々しなさい」と指導するのでしょうか。

私には、どうも支援士の対象者像がスーパーマンすぎてイメージできません。今から10年程前、試験区分が管理者向けの情報セキュリティアドミニストレータ、技術者向けのテクニカルエンジニア(情報セキュリティ)と分かれていた時は、それぞれイメージできたのですが・・

高いレベルの専門家

また、記事には次のとおり書かれています。

高いレベルのサイバーセキュリティスキルを持った専門家を、国家資格として認定することが目的だという点は、はっきりと理解していただきたいと思っています。

一方で、スキルレベルではITSSレベル4としています。ITSSは上がレベル7まであります。レベル4まではペーパー試験である情報処理技術者試験で認定されますが、それより上は実務経験が必要となります。

私は、専門家というならレベル5以上ではないかと考えます。レベル5でやっと企業内のハイエンドプレーヤーという定義であるためです。しかし、レベル5だと実務経験の認定が必要となるため、支援士の制度上はレベル4までにせざる負えないということでしょう。

現行試験の情報セキュリティスペシャリストは支援士と同等とされていますが、専門学校の生徒や、他業種の社会人が多数受験して合格しています。このようなことを考えると、支援士をサイバーセキュリティの専門家というのは実態にそぐわないような気がします。

また、継続学習の義務が課せられるということですが、その目標をレベル4の維持としている点や、義務講習の時間数から専門家としてのスキル維持という点で疑問が残ります。この件は以下の記事に書いています。
情報処理安全確保支援士 受講が義務付けられる講習の案内を見て思ったこと

食べていける資格ではない?

取材者の質問である「その資格で食べていけるか?」については次のコメントです。

サイバーセキュリティは激しく変化を続けており、労働市場も含めてどうなっているかを正確に見通すことは難しいのが現状です。

資格の需要が予測できていないという本音なのでしょうか。さらに、

またそのために登録セキスペがいることを経営層に説明し、理解を深めてもらう取り組みが、登録セキスペを「食べていける資格」にしていくのではないでしょうか。

とのこと。文章の脈絡から主語が誰なのか不明ですが、おそらく支援士が自ら取り組む必要があるということではないでしょうか。最後に、

企業に属さずに登録セキスペで食べていこうと考えるならば、資格をベースとし、その先にプラスアルファのスキルを持つことが強みになると思います。登録セキスペ本来の職掌であるサイバーセキュリティだけでなく、たとえば企業のリスクを評価でき、それを正確に相手に伝え、具体的なソリューションをアドバイスできるところまで腕を磨けば、より顧客から望まれる技術者になれるでしょう。

とのこと。どうやら支援士の資格だけでは食べていくのが難しいようです。例えばということでITコンサルタントやシステム監査人のような知識が必要としています。書いてあるような業務ができれば、そもそも資格なんていらないのかもしれませんが・・

あとがき

情報セキュリティに関する業務は、何も起こらなくて当然であり頑張っても感謝されるという業務ではないといえます。私の実務経験でも、現場での情報セキュリティの教育や指導を頑張れば頑張るほど、システムの開発者や利用者から「面倒なこと言ってくる」と言われました。

そういったことを考えると、結局、経営層がトップダウンで取り組まないとサイバーセキュリティ対策は進まないといえます。もし、その役割を支援士に期待するのではれば、技術的なスキルはあまり役に立たない可能性が高いと思います。

経営層に働きかける方法としては、法制度としてサイバーセキュリティ対策を義務付けるのが最も効果的かもしれません。これは、会計監査において「ITへの対応」を法制度で義務付けされたことからも明らかです。

法制度でサイバーセキュリティ対策を義務付けられ、それを確認する専門家として支援士制度が存在するのであれば「食べていける資格」になるのではと思います。しかし、その場合は、今のままの試験制度では実務経験のない方も多数いると想定されるため運用が厳しいかもしれませんが・・

最後にお勧めの書籍を紹介します!

テクニックを使い、短期かつ効率的に合格したい方はこちら

時間はかかりますが、実務でも通用する知識を身に付けて合格したい方はこちら

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

コメント

  1. やっぱり変だよ情報セキュリティ資格 より:

    現在、”生産性向上特別措置法施行令(案)等に対する意見募集について#のパブコメが出ていますね。この中で、認定革新的データ産業活用事業者の”サイバーセキュリティに係る要員の確保”に情報処理安全確保支援士の配置が記述されていますので、支援士の存在価値が高まるかも知れません。
    ですがこのパブコメの他所で、革新的データ産業活用計画の認定申請書様式に6 データの安全管理(1)データの安全管理の方法に上記内容の適正性及びその運用について担保をする情報処理安全確保支援士を記載する欄があるのですが、これに注記があり1.申請者が中小企業者の場合は、IT コーディネータでも可。と記載されています。
    パブコメですから最終的に法定されるか分かりませんし、対象企業の規模感こそ違いますが、質的には国(経済産業省?)は情報処理安全確保支援士とITコーディネータについて、情報セキュリティ評価能力は同水準と見ていると推察されます。もしくはもっと深い事情があるのかも知れませんね。

    • pmblog より:

      コメントありがとうございます。当該制度を初めて知りました。ITコーディネータは、確かITパスポートの高得点者で情報分野の試験が免除されると記憶しております。
      そのような資格がセキュリティについて支援士と同列とは驚きました。様々な団体の利権などが絡んでいると思いますが、本当に制度を知らない方が設計しているのか、または意図的に大人の事情でそうしているのか・・
      本当に国のセキュリティを守ろうとしているのか心配でなりません。
      当該制度について、少し勉強してみます。情報提供ありがとうございました。

Copy Protected by Chetan's WP-Copyprotect.