皆さん、「情報処理安全確保支援士」をご存じでしょうか?

情報処理安全確保支援士は、通称「登録セキスペ(登録情報セキュリティスペシャリスト)」と呼ばれる国家資格で、サイバーセキュリティに関する実践的な知識・技能を有する専門人材として登録された人材を指します。

認定が開始されたのが2016年10月ということで、他の情報処理関連の資格と比べると、まだあまり知られていないように思います。近年、セキュリティ人材の不足が深刻化していますが、情報処理安全確保支援士の取得によって、職の幅が広がるのではないでしょうか。

そこで本連載では、「情報処理安全確保支援士」について紹介していきます。情報処理安全確保支援士の詳細はIPAのWebサイトで確認ください。

「専門人材として登録された人材」とは?

まず、注目いただきたいのが、情報処理安全確保支援士の定義の「専門人材として登録された人材」というくだりです。試験に合格しただけでは、有資格者とは言えないのです。

試験に合格した後に登録手続きを行わないと、「情報処理安全確保支援士」を名乗ることができません。この事実を知ってか知らでか、試験に合格したままで登録手続きを行っていない方が5万人ほどいるのです。

特に注意いただきたいのは、2016年度までに実施されていた試験「情報セキュリティスペシャリスト試験」「テクニカルエンジニア(情報セキュリティ)試験」に合格している人です。

両試験の合格者は登録手続きを行えば「情報処理安全確保支援士」を名乗ることができます。ただし、これは、情報処理安全確保支援士がIT分野の初の国家資格として創設されたこと受けた、期間限定の経過措置であるため、登録期限があります(2018年8月19日まで)。この期日を超えてしまうと、申請・登録を行えば国家資格を取得できたのに、再度試験を受けるところから始めなければなりません。

対象の方はぜひ、IPAのWebサイトで詳細を確認いただき、お早めに登録ください。

「情報処理安全確保支援士」になるには講習が必須

ちなみに、情報処理の促進に関する法律 第二十六条には、「情報処理安全確保支援士」を名乗るには、「経済産業省令で定めるところにより、情報処理推進機構の行うサイバーセキュリティに関する講習を受けなければなりません」と明記されています。

一般論になりますが、人命に関わる専門的な技能を図る資格や、損害の影響が大きな職務に関する資格は、合格後も定期的な学習とその理解のチェックを行うのが通常です。極端な例ですが、10年前の情報とノウハウしか持っていない人材に危険やリスクを伴う職務を依頼するのはかなり怖いですよね。

昨今、サイバー攻撃に関連するニュースが流れない週はないくらいに注目を集めています。多くの方が感じられているとおり、サイバー攻撃の被害額は年々増加しています。そしてサイバー攻撃の手法も巧妙化しています。

このような状況下で、サイバーセキュリティに関する実践的な知識・技能を有する専門人材が最新の知識や情報やノウハウを持っていないと、職務を遂行して組織を悪意ある攻撃から守ることは極めて難しいことです。そして昨今、悪意ある攻撃を完全に防御しきるのは難しく、仮に被害を受けてしまっても、被害を最小限にとどめる施策を用意することは、いまや企業や組織の義務と言えるでしょう。

「情報処理安全確保支援士」が受講する講習は、以下の通り、登録日を起点として、オンライン講習を毎年1回、集合講習は3年に1回受けることが義務付けられています。

  • 「情報処理安全確保支援士」が受ける講習の流れ。この図は基本パターン。試験合格から3年以上経過している人は、登録1年目に「3年目」の内容を受講することになる

講習内容は以下の通りで、サイバーセキュリティに関する知識、技能、倫理を学習する内容となっています。

  • 「情報処理安全確保支援士」が受ける講習の内容

前述したとおり、悪意ある攻撃が日々進化する中では、情報処理安全確保支援士に求められる知識や技能も変化します。これに対応するため、講習内容は毎年見直しをされるようです。また集合講習では、ケーススタディに重点が置かれており、資格保持者同士が討議をします。さまざまな組織でさまざまな職務に就いている人たちの意見や考え方に触れることで、幅広い視点を持つことができるのではないでしょうか。

「情報処理安全確保支援士」はどこで活躍できる?

企業や組織においては、社内の情報セキュリティに関わる人材やその部署のリーダー的な役割の人材、発注先企業(システムインテグレーターなど)のキーとなるエンジニアに「情報処理安全確保支援士」を取得させることが重要だと感じています。

加えて、企業がサイバーセキュリティの攻撃を受けた場合、迅速な判断をすることで被害を最小限にとどめることができるので、経営層もしくは経営層に近い"判断ができる人材"が「情報処理安全確保支援士」を取得することが極めて重要になります。

この認識は徐々に浸透しているようで、最近では入札案件に「情報処理安全確保支援士」が要件として記載されるようになりました。実は、政府系の情報システムの整備・管理に関するガイドラインにおいて、調達の部分に情報処理安全確保支援士が掲載されております。よって、前述のような傾向は今後ますます強まっていくかと思われます。

「政府情報システムの整備及び管理に関する標準ガイドライン実務手引書」(2017年4月11日更新)には、次のような内容が記載されています。

P.44:調達

2.調達仕様書の作成等 1) 調達仕様書の記載内容 設計・開発を行う担当者には、情報処理の促進に関する法律(昭和45年5月22日法律第90号)第15条の規定に基づく情報処理安全確保支援士の登録を受けている者又は同等の資格を有する者を含むこと2)。

P91・92

別紙6-1 調達する作業内容ごとの人材に関する要求条件(参考) 「設計・開発」「運用」「保守」に、情報処理安全確保支援士が記載されています。

一言で言えば、政府系のシステムの「設計・開発」「運用」「保守」に携わる人材は「情報処理安全確保支援士」を有することが好ましいということになります。これはもちろん、民間のシステムでも同じと言えるでしょう。

過去に、Linux、XML、PHP、Ruby on Rails、Pythonの認定試験の立ち上げに携わってきた経験からお話しすると、政府調達系の入札要件に資格名が記載されることで多くの資格が普及してきました。「情報処理安全確保支援士」は国家資格であり、既に7,000人近い人が登録しています。また、前述の通り、登録が可能な有資格者は5万人もいます。今後、国家資格保有者が増え、実務での活躍の場が広がることが期待されます。

今、試験に合格して登録していない人は、最新の知見を学び、その知見を有することを「情報処理安全確保支援士」に登録することで、証明してみてはいかがでしょうか? また、試験合格者を有する企業や組織の人事担当者は、試験合格者を「情報処理安全確保支援士」に登録させて、自組織が適切にサイバーセキュリティ対策を行えることをアピールしてみてはいかがでしょうか。

最後に、情報セキュリティの人材育成に関する情報が公開されていますので、興味がある方は以下の情報もご覧ください。

著者プロフィール

吉政忠志

業界を代表するトップベンチャー企業でマーケティング責任者を歴任。30代前半で同年代国内トップクラスの年収を獲得し、伝説的な給与所得者と呼ばれるようになる。現在は、吉政創成株式会社 代表取締役、独立行政法人 情報処理推進機構(IPA) IT人材育成本部 HRDイニシアティブセンター 専門委員を兼任。