サイバーセキュリティ人材の育成に関する施策間連携ワーキンググループ報告書を読んで

ITセキュリティ
この記事は約4分で読めます。

電子政府の総合窓口であるe-Govのパブリックコメントでは、法令改正や政策についての意見を募集しています。

本日、このe-Govを見ていて、情報処理安全確保支援士(支援士)に関わる案件が掲載されていることに気付きました。

「サイバーセキュリティ人材の育成に関する施策間連携ワーキンググループ報告書」に関する意見募集です。

パブリックコメント:意見募集中案件詳細|電子政府の総合窓口e-Gov イーガブ

各省庁の人材育成施策の連携を目的としたワーキンググループの報告ですが、サイバーセキュリティ人材の「ありかた」についても書かれています。

今回は、この報告書を読んで、今後、セキュリティ試験がどのようになっていくかを考えてみました。あくまで、個人的な考えなので参考程度に読んで下さい。

報告書の概要

ポイントは、サイバーセキュリティ人材を次の3層で定義していることです。

  1. 経営層
  2. 戦略マネジメント層
  3. 実務者・技術者層

この報告書は、戦略マネジメント層、実務者・技術者層を対象としています。

戦略マネジメント層は経営企画部門や事業部門の担当者、実務者・技術者層はシステム部門やITベンダの担当者とのこと。

そして、役割を次のとおりとしています。

戦略マネジメント層は企業のセキュリティリスクをマネジメント、その対策を立案、実務者・技術者層を指揮する。

実務者・技術者層は戦略マネジメント層の示す方針を理解し、セキュリティリスクの対策を実践する。

これら役割に求められる知識・スキルは次の3つ。

コンセプチュアルスキル、ヒューマンスキルおよびテクニカルスキルです。

戦略マネジメント層は各スキルをバランスよく、実務者・技術者層はテクニカルスキルを重視とのこと。

試験制度への影響

戦略マネジメント層向けに、新しいセキュリティ試験が創設されるような気がします。

現在、セキュリティ試験として情報セキュリティマネジメント(セキュマネ)と情報処理安全確保支援士(支援士)があります。

この報告書では、この2つの試験が戦略マネジメント層と実務者・技術者層をカバーするとしていますが、試験制度上、セキュマネはITを利活用する者、支援士は技術者です。

このため、戦略マネジメント層がセキュマネ、実務者・技術者層が支援士というすみ分けとなりそうです。

しかし、現場人材と試験制度の矛盾からそのように書けなかったと思います。

現場指揮系統の人材レベルとしては戦略マネジメント層≒実務者・技術者層であるが、試験制度の試験レベルとしてはセキュマネ<支援士となるからです。

試験センターのサイトでは、セキュマネからステップアップしたい方向けの試験として支援士が紹介されています。

このあたり、試験制度の矛盾かもしれませんが、セキュマネはITを利活用する者と棲み分けしながらも、支援士の下位試験という位置付けです。

しかしながら、支援士は、前身が試験がテクニカルエンジニアおよび情報セキュリティスペシャリストなど技術の専門家なので実務者・技術者層向けだといえます。

ITを利活用する者のステップアップが支援士というキャリアパスにはかなり違和感があります。

このため、戦略マネジメント層向けにITを利活用する者として、支援士と同等レベルのセキュリティ試験が必要になると思います。

平成21年度の制度改定で廃止された情報セキュリティアドミニストレータ試験を復活させると良いのではと思います。

あとがき

サイバーセキュリティに関する各省庁の施策として、具体的な人材育成の進め方などが書かれており読み応えのある内容となっています。

セキュリティ人材のスペシャリストに関する国家資格として、上級に会計士と弁護士、中級に支援士が位置づけられているなど、意図がわからない部分もありますが・・

ちなみに、内閣サイバーセキュリティセンターのサイトでも「広く国民の皆様からの意見を募集」として掲載されています。

「セキュリティマインドを持った企業経営ワーキンググループ報告書(案)」及び「サイバーセキュリティ人材の育成に関する施策間連携ワーキンググループ報告書(案)」に関する意見募集について

興味のある方は一読されることをおすすめします。意見の募集の期限は5月17日とまだ期間があります。

コメント

  1. 初めまして、いつもBlogを拝読しているものです。貴重な御意見、まことに参考になります。

    ところで、政府の取組方針とは別に、与党自由民主党からサイバーセキュリティに関する提言が行われております。
    https://jimin.ncss.nifty.com/pdf/news/policy/137263_1.pdf

    夏に策定される予定の政府のサイバーセキュリティ戦略や予算概算要求にどのように影響するのかはまだ明らかではありませんが、「脆弱性診断士」(仮称)の検討等情報処理安全確保支援士の今後に深く影響する可能性がある内容も盛り込まれておりますので、もし御興味があれば如何でしょうか。

    • pmblog より:

      名無し検定1級さん コメントありがとうございます。提言を拝見しました。「脆弱性診断士」とは驚きです。この背景には情報処理安全確保支援士が中途半端という点があると思います。なぜなら、脆弱性診断に必須なスキルといえるプログラム言語を知らなくても合格できるからです。
      システムの脆弱性を診断するにはプログラム言語を解析できる能力が必要です。これについてはアメリカのGIACという資格が世界的に認知されています。ので新たに創設する必要性には疑問を感じます。さらに言うと支援士もCISSPでよかったのではと最近は思います。

Copy Protected by Chetan's WP-Copyprotect.