updated at 2018-12-5

情報処理安全確保支援士 メリットや費用について検証

RISS

学識系の資格である技術士を除くと、IT業界にとって、初の士業となる国家資格「情報処理安全確保支援士」(略:登録セキスペ)。
旧「情報セキュリティスペシャリスト」は、「いる資格」や「取るべきIT資格」の常連の人気資格で有ったこともあり、 注目が高い資格ですが、一方で、高額な維持費用を筆頭に、色々と、つっこみどころが有る情報処理安全確保支援士についてまとめてみました。

項目

情報処理安全確保支援士になる方法

1-1. 「情報処理安全確保支援士試験」に合格する。

セキュリティスペシャリスト

引用元:IPA 試験区分一覧 http://www.jitec.ipa.go.jp/1_11seido/seido_gaiyo.html

新設された情報処理安全確保支援士試験のブロックに位置する「情報処理安全確保支援士試験」に合格する。

尚、情報処理技術者試験の高度区分に位置していた「情報セキュリティスペシャリスト」が無くなりましたが、 試験内容は、情報セキュリティスペシャリスト試験(SC)が、そのまま受け継がています。
試験の難易度や出題範囲も同レベルとのことです。

1-2. 旧試験合格者
第4回(2年)までの期間限定ですが、 旧試験「情報セキュリティスペシャリスト試験」及び「テクニカルエンジニア (情報セキュリティ)試験」の合格者は1-1の試験を免除されます。

当初の発表では、試験免除の対象者として、情報セキュリティアドミニストレータが含まれていましたが、 パブリックコメントにて、セキュアドでは、情報処理安全確保支援士としてのレベルを満たせないとの指摘があり、最終的に、除外されました。

追記:
旧試験合格者の情報処理安全確保支援士試験免除申請は2018年8月19日で終了しています。

2. 申請
必要な書類を揃え、登録申請をします。

届出
「登録申請書」「誓約書」「登録事項等公開届出書」

IPAのサイトから、全てダウンロードできます。
http://www.ipa.go.jp/siensi/index.html

身分証明
「身分証明書」「住民票」「登録されていないことの証明書」

「登録されていないことの証明書」は、法務局で申請します。
これは、欠格者でないことを証明する為の書類で、 成年被後見人(事理弁識能力を欠く者)及び、被保佐(事理弁識能力が著しく不十分である者)では無いことが記述されています。

具体例を上げると、「有る」人には、痴呆症などが原因で、まともに意思疎通や判断が出来なくなっている人が該当します。
士業は、登録要件として、上記や破産者ではないことが掲げられていることが多いです。

3. 維持

この後、定期的に必要となる更新料の支払いと講習を受けることで、「情報処理安全確保支援士」が維持されます。

情報処理安全確保支援士の登録に必要な費用

登録時に必要な費用

登録の維持に必要な費用(3年ごと)

維持費用の内訳:オンライン講習が1回2万円×3回、集合講習8万円×1回

情報処理安全確保支援士の登録によるメリット&デメリット

セキュリティ資格として国際的に認知度の高い米国セキュリティプロフェッショナル認定制度「CISSP」の登録料金は約50,000円。
年会費は、約9,000円ですので、情報処理安全確保支援士の負担額は、CISSPを上回っています。
「金額に見合うだけのメリットは得られるのか?」というのが、気になるところです。

士業化のメリットとして、イメージするものは、業務の独占権ですが、現時点では存在しません。
司法警察でもない為、警視庁のサイバー課のように、非公開情報にアクセスできるわけでもありません。
というような特権が与えられないのにも関わらず、 情報処理安全確保支援士になってしまうと、情報漏えい行為に対して、刑事罰が科せられるという点が、情報処理安全確保支援士登録のデメリットでは無いでしょうか。

現在、情報漏えい行為は、刑事事件として扱われることは無く、※1
情報漏えいがらみ事件は、被った被害額を算定し民事裁判で争われています。
しかし、情報処理安全確保支援士として登録されると、生涯にわたり、刑事罰を受ける責を負うことになります。※2

※1 個人情報保護法の元では罪を問われるが、そもそも、個人情報保護法は、前提となる個人情報取扱事業者の構成要件が曖昧。
(追記訂正:2018年春 改正に伴い、個人情報取扱事業者の規定は明確化されました。)

※2 「情報処理の促進に関する法律」参照。
もしくは、下記のブログで詳しくまとめられています。
「情報処理安全確保支援士に科せられる懲役刑・罰金刑の罰則まとめ 」
http://nakameguro.jpn.org/jtec/riss-penalty/

「情報処理安全確保支援士の登録名簿に掲載されるメリット」

ベンター資格のように、企業単位の登録が可能であるならば、営業上、有利になるかと思います。

制度の趣旨について

情報処理安全確保支援士の制度が「IPAの迷走」と揶揄される一番の原因は制度の趣旨です。

情報処理安全確保支援士とは
概要
 サイバー攻撃の急激な増加により、 企業などにおけるサイバーセキュリティ対策の重要性が高まる一方、 サイバーセキュリティ対策を担う実践的な能力を有する人材は不足しています。そこで、サイバーセキュリティに 関する実践的な知識・技能を有する専門人材の育成と確保を目指して、 国家資格「情報処理安全確保支援士」制度が創設されました。

情報処理安全確保支援士の概要をイメージ図にしてみた。

ホワイトハッカー

素材提供「かわいいフリー素材いらすとや」
「ブラックハッカー集団に対抗するために集まった善良なハッカーのイラストです。」(そのまま)

おおよそ、情報システムに従事している人間の案とは思えない為、IPA主導でまとめられた話では無いとは思いますが、 同様に、パフォーマンス感が強い試みとして、下記のような人材育成事業も始まります。

「サイバー防衛」ネット演習 総務省、人材育成検討 来年6月にも開始
サイバー攻撃からの防衛技術を持つ人材を育成するため、総務省が平成29年 6月にも、25歳以下の学生や社会人を対象にした「通信教育」を開始する 検討に入ったことが19日分かった。教育期間は1年。受講者は貸与された ノートパソコンを使い、オンライン上で高度な演習を受け、最先端技術を学ぶ 取り組み。政府は29年度予算で、総務省の既存のサイバーセキュリティーに 関する人材育成事業などと合わせ、15億円を計上する方針を固めた。

「IPAに聞いてみた。」

あえて、取材では無く、IPAの「お問い合わせフォーム」より、質問してみました。

「登録料金について」の質問
Q1 講習料金はいつ頃に請求されるのか?

解答
・講習は、指定の業者で受講するので、料金は、業者指定の方法で支払う。

「登録料金について」の質問
Q2 登録後、講習を受けなければ、登録は抹消されるのか?

解答
・講習は義務である。
・講習を受講しなかった場合は、登録抹消ではなく一旦名称使用停止。
・義務講習未受講の繰り返すと登録抹消となる。
・登録抹消措置は、IPAではなく、経産省より出される。

「登録料金について」の質問
Q3 Q2の解答が、YESの場合、すぐにお金を工面できない登録者向けにローンなどの 制度は用意されているのか?
月に数万円の小遣いでやりくりするサラリーマンに とっては、講習料金は大金です。

解答
・無し。
・が、費用検討の参考にする。

「制度の趣旨について」の質問

Q4 (中略)
例えば、ホワイトハッカーの養成を挙げておられますが、
侵入に対する対策であれば、対応策を個人の中に蓄え、人海戦術で対応することよりも、
UTMの精度を高くすることの方が理にかなっています。

私見となりますが、実際に発生する情報セキュリティにまつわるインシデント(事 件)は、
・IT部門による設計及び、プログラム、設定のミス
・利用者であるユーザーの情報リテラシーの低さ
に起因することが、もっとも多いように思えます。
そうであった場合、サイバーセキュリティ対策の根本的な解決は、双方を啓蒙できる 立場を作ることでは無いでしょうか。
(近いIPA資格ですと、「システム監査」?)

解答
掲載不可

尚、返信が帰ってきた後に、ブログ等に掲載して良いかと尋ねたところ、 そのままの掲載は、お控えくださいとのことでしたので、解答は、要約しています。

今後の情報処理安全確保支援士

IT資格の中でも、IPAが実施する資格制度は、信頼性が高く、難易度も実務に即しており、 個人のスキルを図る評価の指標として機能しています。

ですが、情報処理安全確保支援士に対する企業の反応はあまり芳しくありません。

「迷いが見えるSIベンダー、セキュリティ主要企業」
主要ベンダーで登録申請を推奨しているという企業は現段階では少ない。
日経SYSTEMSが独自に主要企業への聞き取り調査を実施したところ....
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/111600700/?rt=nocnt

今後、求められる課題として、
「サイバーセキュリティ対策」の強化という目標を達成する為に、 情報処理安全確保支援士の位置づけを明確化することが必要かと思われます。

例えば、
上記で、デメリットとしてあげた情報漏えいに伴う罰則規定の明確化についてですが、
現実的に、情報システムに携わる者は、あらゆる情報にアクセスできる権限を有していることも事実で有り、 彼らが、スノーデンのような事件を起こさないという担保は形だけの誓約書や請け負う企業間の信用しかありません。
情報処理安全確保支援士に、情報セキュリティの観点から情報資産の保護を包括的に監督できるポジションを担わせるなどといったことも一案です。