内閣サイバーセキュリティセンター(NISC)よりサイバーセキュリティ2017が公表されました。
サイバーセキュリティ2017は「政府が2017年度に実施する具体的な取組を戦略の体系に沿って示したものである」と書かれており、サイバーセキュリティについての情報を得ることができます。
情報処理安全確保支援士(以下「支援士」)または私と同様にこれから試験を受験する方にとっては、支援士の扱いが気になるのではないでしょうか。
結論から言うと、支援士については最後のページに申し訳程度に書かれているだけです。
経済産業省において、情報セキュリティに係る最新の知識・技能を備えた専門人材の国家資格として2016年に開始した情報処理安全確保支援士(登録セキスペ)制度の着実な実施に向けて必要な措置を講じるとともに、当該制度の普及のため、企業や団体への周知等を積極的に行う。
支援士の制度が本格開始されてからそろそろ1年が経ちますが、名称独占以外のメリット、例えば必置義務や業務独占などは当面なさそうです。
今回は、支援士に登録するメリットについて思うことをブログします。あくまで個人的な意見なので、参考程度に読んでもらえればと思います。
メリットがあまりない理由
支援士のメリットがあまりない理由としては、ペーパー試験の合格だけで登録できること、かつ試験のレベルは高いですが、実践的ではないためだと思います。
単刀直入に言うと「支援士というだけでは実務能力があるかどうかわからない」ということです。
例えば、支援士の試験問題はセキュリティ対策の考え方を問う良問が多いですが、実際にサーバやルータを設定する知識までは求められません。
私の場合、ネットワークセキュリティの試験問題を6割正答できますが、サーバやルータのセキュリティ設定を実務で行った経験はありません。
もう少し上流の業務として、企業のセキュリティインシデント対応を考えてみても、試験レベルの教科書的な知識のみでは実務で通用しないと思います。
なぜなら、セキュリティインシデント対応では、経営層の方針や関連部門の組織や人など、企業の個別事情に精通している必要があるからです。
メリットを与えるには
支援士のメリット、すなわち必置義務や業務独占など与えるには資格の価値を上げる必要があると考えます。誰が見てもセキュリティの専門家といえる資格ということです。
例えば、支援士の試験に合格した上で、支援士として登録するためには次の要件を求めるなどです。
1つめはIT業務の実務経験があること。支援士は企業のセキュリティ対策を助言する立場です。当然ながら、企業における実務経験が必要です。
このため、セキュリティの国際資格CISSPと同様に5年以上の実務経験を要件とするなど。
ただし、実務経験をセキュリティ業務に限定すると門戸を閉ざすため、システム開発なども含めた方が良いと考えます。
2つめは情報処理技術者試験に合格していること。セキュリティ対策は、データベースとネットワークおよびプログラム等の技術をベースとするため、これら技術のスペシャリストであることが必要です。
このため、基本情報技術者やデータベーススペシャリストまたはネットワークスペシャリストなどに合格していることを要件とするなど。
3つめは技術者としての倫理に関する知識があること。ホワイトハッカーとブラックハッカーの違いは倫理の有無です。
このため、登録してから講習ではなく、登録する前に試験または講習を行うなどで、倫理を学ぶことを要件とするなど。
最後に
建物の安全を確保するために警備員を、道路の安全を確保するために交通整理員を置くように、情報システムの安全を確保するためにも専門家を置くべきだといえます。
この専門家として、支援士は重要な役割を担うべき者だといえます。
これには、支援士がセキュリティ専門の実務者であることが担保され、その前提のもとで必置義務や業務独占などのメリットを与えるべきだ考えます。
ちなみに、ITproの特集「いる資格、いらない資格」で、これから取得したい資格の情報セキュリティ分野で支援士が第1位選ばれたとのこと。
支援士制度は、登録の要件と高すぎる維持費用を見直せば、セキュリティ技術者にとって必須の資格となっていくのではないかと考えます。
お勧めは以下の書籍です!