4月1日より情報処理安全確保支援士が誕生しました。
これを受け、情報処理安全確保支援士を取り巻く新制度や関連資格が公表されています。
情報処理推進機構(IPA)からはITSS+が発表されました。
ITSS+(プラス):IPA 独立行政法人 情報処理推進機構
ITSS+のセキュリティ領域について、情報処理安全確保支援士の位置付けは次のとおり。
「セキュリティ領域」は、企業等でのセキュリティ対策の本格化を踏まえ、専門的なセキュリティ業務の役割の観点により、経営課題への対応から設計・開発、運用・保守、セキュリティ監査における13の専門分野を具体化しました。
これら専門分野は、新たに創設された国家資格である“情報処理安全確保支援士(登録セキスペ)”が想定する業務を包含しています。情報処理安全確保支援士の資格保有者にとっては、ITSS+を用いて実務の場で具体的に自らの専門分野を明示することができます。IPAサイトより
ざっと中身をみましたが、
- 情報処理安全確保支援士が想定する業務を包含とあるが、情報処理安全確保支援士試験の専門分野とレベルがITSS+のどの範囲なのかがわからない
- 情報セキュリティマネジメントがマッピングされるべき、情報セキュリティアドミニストレーションのITSS+レベル2が定義されていない
など、理解できない内容が多いです。IPAがITSSのキャリア・フレームの様式を活用しただけと言っているので、そもそも、ITSS+のレベルとITSSのレベルの定義自体が整合していないのかもしれませんが・・
とはいえ、ITSS+を参考にすることで、情報セキュリティに関する専門分野の共通理解には役立つといえます。情報処理安全確保支援士は、ITSS+を参考に、専門分野で範囲外またはレベルアップしたいスキルを身に付けると良いかもしれません。
例えば、情報リスクストラテジはストラテジ系だとすると、情報処理安全確保支援士の午前問題の範囲外であるため、情報処理安全確保支援士が想定する業務の範囲外といえます。この場合、ITストラテジストを取得することで、専門分野の補完ができるのではないでしょうか。
次は、日本セキュリティ監査協会です。
情報セキュリティ監査人補の認定に関する特例制度が公表されています。
情報処理安全確保支援士は、同協会のテキストを購入してトレーニングコースを受講することで、情報セキュリティ監査人補に認定されるとのこと。
特例制度としては、本来5日間のトレーニングコースを、情報処理安全確保支援士なら1日受講するだけで認定されるということです。しかしながら、情報セキュリティ監査人補は初回の登録や維持、さらには継続学習のセミナー受講等にかなりコストがかかるようです。
情報処理安全確保支援士の資格を維持するだけでも3年で14万円が必要となります。情報セキュリティ監査人補とのダブルライセンスとなると、その倍のコストがかかりそうです。
ちなみに、情報セキュリティ監査人補の定義は次のとおりです。
情報セキュリティ監査制度に対する知識と経験を有し、OJTとして監査に参加する。監査経験を積んで、公認情報セキュリティ監査人をめざすことができる。
日本セキュリティ監査協会サイト抜粋
情報セキュリティ監査人補はOJTとして監査に参加するとあります。上位資格の公認情報セキュリティ監査人を目指すということなので、公認情報セキュリティ監査人からOJTを受けるということだと思います。
すなわち、国が認定するサイバーセキュリティの専門家である情報処理安全確保支援士は、情報セキュリティ監査人補になった後に、公認情報セキュリティ監査人からOJTを受ける立場ということです。
この特例制度について、IPAの偉い方は心より歓迎すると言っていますが、情報処理安全確保支援士からするとどうなのでしょうか・・
1件のコメント