電子政府の総合窓口(e-Gov)に「情報セキュリティサービス基準」に関する意見公募が掲載されています。
パブリックコメント:意見募集中案件詳細|電子政府の総合窓口e-Gov イーガブ
ザクっと紹介すると、情報セキュリティサービスを提供する事業者が満たすべき基準を定めたものです。
サービスは次の4つです。
- 情報セキュリティ監査サービス
- 脆弱性診断サービス
- デジタル・フォレンジックサービス
- セキュリティ監視・運用サービス
この基準は法令ではないため強制力はないですが、今後、事業者がガイドラインとして従う基準になるといえます。7ページ程なので、詳細は読んでもらえればと思います。
情報処理安全確保支援士の登録者または試験合格者に係る内容となっています。
特に情報処理安全確保支援士について「資格を取得するメリットなし」「登録・維持に費用が掛かるだけ」と否定的な意見を持たれている方は必見です。
なぜなら、情報セキュリティサービス事業者が持つべき技術要件として、情報セキュリティ資格を持っている者が業務に従事することが定められているからです。当然ながら、情報セキュリティ資格には情報処理安全確保支援士が含まれています。
今回は情報セキュリティサービス基準について個人的に気になることを3つブログします。
技術要件についての疑問
情報処理安全確保支援士は脆弱性診断、監視・運用の2つのサービスの技術要件に、公認情報システム監査人(以下「CISA」)は監査、脆弱性診断、監視・運用の3つのサービスの技術要件に書かれています。
すなわち、CISAであれば情報処理安全確保支援士の業務を実施できるという立て付けです。しかし、CISAは基本的に監査業務をベースとする資格だといえます。実務経験を勘案しても、脆弱性診断や管理・運用に関する専門家とはいえないのではないでしょうか。
脆弱性診断、監視・運用の2つのサービスは、高度なセキュリティ技術を認定された情報処理安全確保支援士の専売特許とすべきであると思います。
いずれかの資格を有する者を業務に従事とは?
情報処理安全確保支援士には登録された方と試験合格の方がいます。「資格を有する者」という書き方は、試験合格の方も「情報処理安全確保支援士となる資格を有する者」という解釈で含まれるのか曖昧です。
試験合格の方も含まれるのであれば、高い費用を掛けて登録した方は、自己啓発以上のメリットが得られないことになります。
また、業務に従事ということも、必置義務なら1事業場に何人以上や、業務への関与度合いなども明確にすべきかと思います。
研修を修了している者でも良い?!
技術要件は「次のいずれかの要件を満たすこと」とあり、要件の最後に「サービス品質確保に資する研修を修了している者」と書かれています。
結局、CISAや情報処理安全確保支援士などでなくても、サービス品質確保に資する研修を修了している者であれば良いようです・・
あとがき
私は情報処理安全確保支援士の試験合格者の一人として、もう少し気になることを整理して意見を出そうかと考えています。多くの意見があれば、情報処理安全確保支援士のメリットにつながる基準・ガイドラインの制定や、将来的には法令の改正につながるかもしれません。
意見公募では「忌憚のない御意見を下さい」と書かれています。