情報安全確保支援士とは？来年春からの試験に向けて、情報をまとめてみた

みなさん、こんにちは。今週末はいよいよ情報処理技術者試験が開催されます。その中でも、来年春から「情報安全確保支援士」という新資格が新設されることにより、「情報セキュリティスペシャリスト試験」の試験は今回が最後となるということで、話題になっていますね。

今回の記事では、その春から新設される「情報安全確保支援士」という資格がどのようなものなのか、まとめてみようと思います。

情報セキュリティ人材が足りない！

　そもそもの話になるのですが、現在、急激に増加傾向にあるサイバー攻撃などの脅威に対して、それを守ることのできる「情報セキュリティ」人材は足りていない、と言われています。情報技術の浸透に伴って、また多くの人が情報技術が使うことができるようになって、その重要性が増してきています。しかしながら、そのセキュリティを確保できる人間がいないというのが現在置かれている状況だといえるでしょう。２０２０年には東京オリンピック・パラリンピックの開催を控え、世界に対する日本の存在感が増していく中で、それと共に情報セキュリティに対する脅威も増していきます。

　そのような中で、情報セキュリティ人材はおよそ２０万人不足すると言われています。

• [http://www.security-next.com/070864](セキュリティ人材、2020年に約19.3万人不足 – 給与水準改善が鍵か)

情報処理安全確保支援士制度

この現状を打開すべく考えられたのが情報処理安全確保支援士制度です。

IPAのサイトによると

経済産業省は2016年4月27日に、国家資格となる「情報処理安全確保支援士」制度を2016年度内に新たに創設するとともに、「情報処理安全確保支援士試験（以下、支援士試験）」を2017年度から実施することを公表しました。

• プレス発表　“情報処理安全確保支援士”と現行の情報セキュリティスペシャリスト試験の位置付けについて

と表記されます。

近年、増加するサイバーセキュリティへの脅威に対して、弁護士などと同じ”士業”として国が認定し、サイバーセキュリティに対する「実践的な能力を適時適切に評価できる試験制度の充実」を図るための制度設計としています。

今回の情報処理安全確保支援士制度の新設にともなって、現行の情報セキュリティスペシャリスト試験は2016年秋で終了します。

情報安全確保支援士の役割

「情報安全確保支援士」という名前がついていますが、どのような役割なのでしょうか。情報安全確保支援士の役割をまとめると以下のようになります。

• サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行う
• 必要に応じその取組の実施の状況についての調査、分析及び評価を行う
• その結果に基づき指導及び助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援する

助言、調査・分析、指導という３つが大きな役割と言えるでしょう。

何が変わるのか

さて、それでは現行のセキュリティスペシャリストと何が違うのでしょうか。

① 名簿登録制

　情報処理安全確保支援士の登録簿への登録せいが採用されています。ホームページにおいて登録事項が公開され、政府機関や企業による情報処理安全確保支援士の活用を促進し、セキュリティ対策への促進すると言われています。

　注意事項として、個人のどのような情報を公開するかは個人の任意とされています。個人の任意のもと、勤務先名称、得意分野・保有スキルなどを公開することができます。

また登録できる人は、今までの試験に合格してきた人材も含まれています。

• 情報セキュリティアドミニストレータ試験[SU] 合格者 2001年秋～2008年春
• テクニカルエンジニア（情報セキュリティ）試験[SV] 合格者 2006年春～2008年春
• 情報セキュリティスペシャリスト試験[SC] 合格者 2008年春～2016年秋
• 既に高度な情報セキュリティ関連の実務に一定期間以上従事している者

また、以下の人たちは一部試験を免除することができます。
-他の情報セキュリティに関する試験・資格に合格した者
-大学等の教育機関で情報セキュリティに関する課程を修了した者

②講習による更新制

　今までの資格制度は取得後は、更新の必要はなく永久的に有効なものでした。しかしながら、サイバーセキュリティのような目まぐるしく動向が変化する資格に対してそのような制度はふさわしくありません。

そこで、情報安全確保支援士では、講習による更新制が導入されています。

継続的な知識・技能の維持等を図るため講習の受講を義務化しており、義務に違反した人に対しては登録の取消しや、名称の使用停止とする処置を施すことで、定期的にその能力を確認する制度となっています。

講習の内容についてはインターネットで受講できたり、集合講習というような形もあります。

③業務独占がない

　しかしながら、あまりいい面ばかりではありません。この資格を持っていなければできない仕事というものが特に用意されているわけではありません。残念ながら、「名称独占」資格のみになります。

果たしてメリットはあるのか

メリットとして、以下が挙げられています。

有資格者同士のコミュニティの形成

有資格者限定のSECCONなどが予定されているようです。
CTFについては過去記事を参照してください。

• Capture the Flagでセキュリティ知識を身につけよう
• CTFにはまろう！

一定の業務分野に関する、情報処理安全確保支援士等の実践的な能力を有する人材の配置の義務化

　いまのところは「名称独占」にとどまりますが、今後には有資格者がいることが義務化される業務もある、ということでしょうか。

政府調達における有資格者の参画の要件化

　
　特に国や公共事業団体に携わる業務に関しては、この資格者がいることという要件が含まれることが多くなっていくのではないでしょうか。

最後に

　正直な感想を述べると、急造した制度といえる気がしなくもありません。多くの課題を抱えていることも事実であるかと思います。今度この制度をどのように活用し、企業等における情報セキュリティ対策を進めていくべきか、検討を深め行動に移していくことが重要ではないでしょうか。