情報処理安全確保支援士

情報処理安全確保支援士(以下登録セキスペ)とは、
「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律」
によって規定された士業です。
施行は2016年で、2017年から登録が開始されています。
2020年10月の時点で19752人が登録セキスペとして在籍しています。

なぜ、このような制度が作られたかというと、インターネットの発達によりサイバーセキュリティの
重要性が高まったことが挙げられます。
よくセキュリティ人材が足りない・・・と言われますが、セキュリティ専門技術者ではないようです。
サイバーセキュリティでは次のように言われています。

・ビジネスと技術がバランスよくわかる人材が必要。
・組織を超えたチームが必要。
・安心して任せられる「担保」が必要。

これらを解決するために、情報処理安全確保支援士の制度が導入されました。

制度の仕組みとして次の三点が掲げられています。

・人材の質の担保
これは、他の専門家と協力しながら、セキュアなシステムを企画から保守まで出来る能力を試験で確認します。
合格率は年度によって変動していますが、おおよそ15%から20%と難関試験です。

・人材の見える化
資格保持者のみが名称独占資格として「情報処理安全確保支援士」を名乗ることが出来ます。
さらに、登録者は名簿に記載され、誰でも参照することが出来ます。

・人材活用の安心感
人物として問題ない人材のみが登録できます。
色々ありますが、秘密保持義務が課せられていたり、法的に問題ない人材でなければ登録できません。

法律では次のように記載されています。(IPAのPDF)
「情報処理安全確保支援士は、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うと
ともに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び
助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援することを
業とする。」

堅苦しい言葉で理解しやすいとは言い難いですね。
次の図をみれば少しはイメージがつかめるでしょうか。
IPAの図を基に作成しました。

【登録セキスペのポジション図】

誤解を恐れずに言えば、ITに詳しくない人(えらい人)とITに詳しい人(技術屋)をつなぐ役目です。
図を素直に理解すると、「詳しくない人」に「難しいことを」を「教える」こんな風に見えますし、
そうであることも多いと思います。
実際は経営層(ステークスホルダー)でもセキュリティに関してある程度は理解しているでしょうし、
技術部門でも経営に関して明るい人もいるでしょう。
ただ、現実問題として経営層の人には、経営層での仕事があり、
技術部門の人間にも当然するべき仕事があります。
その中で登録セキスペは、経営層が判断しやすいように必要な情報を取捨選択して伝える必要があります。
逆に経営層からの指示を正しく技術部門に伝え、安心・安全な環境を確保できるように
支援できなければなりません。

IPAの情報処理技術者試験では、試験の難易度によってレベルが設定されていいますが、
その中でも再考のレベル4に該当する試験で、難関試験とされています。

レベル4は以下の様に定義されています。
「高度な知識・スキルを有し、プロフェッショナルとして業務を遂行でき、
経験や実績に基づいて作業指示できる。」

試験の出題範囲では、他のスペシャリスト系試験が専門分野に特化しているのに対して、
サービスマネジメントやシステム監査など広い知識が要求されます。
これは、組織内で経営層と技術部門をつなぐ必要があるためです。
(とはいっても、完璧に覚えておくことはまずできないので、
必要に応じて、必要な事がすぐ調べられる能力が大事ですね。)
つまり登録セキスペに求められる役割は、「セキュリティ専門家」と同時に
「セキュリティ以外の専門家」であることが求められます。
作業範囲は広範囲に及びますが、今までいなかった人材を確保・育成するための制度なので当然ともいえますね。

個人的な観点ですが、これらをベースに様々な問題を処理していくには、
特にコミュニケーション能力が重要だと思います。
登録セキスペの義務として、3年に一度集団講習があり、
ここでインシデント解決に向けて数人でロールプレイを行うわけですが、
参加した感想はとにかく結構大変でした。
例えば、上がってくる分析結果をもとに、必要な情報のみを取捨選択して、
上層部に伝える。たったこれだけでも、なかなか思ってるようにいかないのが現実です。
(正確に伝えることの難しさ、迅速な判断能力等々)
セキュリティ分野が得意なだけでは、支援士としてはやっていけないので、
支援士として仕事をしたい人は意識しておいた方がいいと思います。

〇試験は年2回
・対象者像とか業務とか技術水準は今まで書いてきた通り。
〇支援士の検索サービス(https://riss.ipa.go.jp/)
・勤務地や得意分野で検索が出来ます。必要に応じて利用すればいいかと思います。
〇知識・技能の維持・向上及び倫理観の醸成。
・毎年オンライン講習と、3年に一度の集団講習が義務付けられています。
(どちらの講習も6時間ぐらいかかります。)

ここまで出てきませんでしたが、試験に受かるだけでは、登録セキスペにはなれません。
合格後に、必要書類をまとめて(これが面倒くさい)、登録料とともに登録申請を行わなければいけません。
そして、申請の受付は年2回(4月10月)なので、申請してもすぐ有効にはなりません。
登録後も毎年講習あるので、これも大変です。金額だけでもオンライン講習2万円、
集団講習は8万円程かかります。
そういえば2020年から、3年おきに更新申請も必要になったようです・・・。
国としては、確かな人材を保証するためには必要なのかもしれませんが、登録セキスペからはかなり不評なので、
今後よりよい制度に変革してほしいと思います。

〇登録セキスペ
・知識の最新化、専門家同士のつながり、関連資格取得の優遇、就業機会の増加。
〇ITベンダー
・顧客視点のセキュリティ要求事項の理解、セキュアなシステムの設計・開発・運用、入札要件の充足。
〇ユーザー企業
・経営者と一体になったセキュリティ対策の推進、セキュアなシステム要求の提示、税制優遇。

制度のメリットとしてこれらがあげられています。
これらをメリットとして活かせるかどうかは、その企業次第だと思いますが、
セキュリティ人材を国が保証するという意味で色々なメリットはあるんじゃないでしょうか。
特に、登録セキスペは企業に一人が在籍していればよい、という類の資格ではなく、
規模にあった人数が求められます。
現在の制度では組織に必須ではありませんが、今後必置化される可能性もあり、
状況は常にチェックしておく必要があります。

最後に登録状況について書きたいと思います。
2020年10月の段階で、19725人が登録しています。
この人数で十分とみるか、足りないとみるかは人それぞれだと思います。
色々とハードルの高いところはありますが、セキュリティの重要性が非常に求められている現在では、
必須とも言えるのではないでしょうか。
是非、興味のある方は検討してほしいと思います。