本記事は
情報処理試験ウィーク
2日目の記事です。
✨📓 1日目
▶▶ 本記事 ▶▶
3日目
📓✨
はじめまして、小林 直也です。
NRIネットコムにはキャリア入社し、今日まで業務基幹システムのアプリケーション開発に携わってきました。
どうやら私から資格マニアの雰囲気を感じ取っていただけたのか、今回「情報処理試験ウィーク」を執筆させて頂ける運びとなりました。
情報処理推進機構(IPA)が主催する国家試験である情報処理技術者試験には…
- 今やIT企業以外でも取得を推奨されている「ITパスポート試験(IP)」、「情報セキュリティマネジメント試験(SG)」
- ITエンジニアの登竜門である「基本情報技術者試験(FE)」
- より広い分野で、より深い知識を求められる「応用情報技術者試験(AP)」
- 高度な知識・技能を証明する「高度情報処理技術者試験(NW、DB、ST…)」
…が、あります。
今回は、IT系で唯一の国家"資格"である「情報処理安全確保支援士(SC)」(以下「支援士」)について、どういった資格なのか、また私が「支援士」に登録した背景や「支援士」になるメリットやデメリットについて、本記事でご紹介させていただきます。
情報処理安全確保支援士とは
「支援士」とは、情報セキュリティに関する知識やスキルを活用してシステム構築・運用等を担えることを認定する国家資格で、IPA試験においては高度情報処理技術者試験に区分されています。
「支援士」はIT系資格で唯一の「士業」(しぎょう、さむらいぎょう)に位置付けられています。「士業」とは、弁護士や司法書士、税理士など、末尾に「士」がつく職業を指します。 ですから、その他の情報処理試験と異なり、法令に基づき制定された職業としてのIT国家資格ということです。
試験に合格後、国へ登録して初めて「支援士」になれますから、勝手に「支援士」を名乗ると法令違反になります。知識やスキルだけでなく、職業としての責任に裏付けされた、れっきとした資格ということですね。
なお、大半の「士業」には資格を保有していなければ従事できない業務である「独占業務」が存在します。たとえば、税理士なら税務の代理等ですね。しかし、情報セキュリティ分野の業務には「支援士」を保有していなくても従事は可能です。(よって、無免許エンジニアにはなりません)
ちなみに「支援士」登録すればロゴのついた徽章(バッジ)も貸与してもらえるそうですよ。 とってもカッコイイですね。
フレーム:盾(シールド)を意味し、様々な脅威から情報組織や社会を守る存在であること、深みのある青は誠実と冷静さを意味する。
地球:国際社会とデジタル社会を現す。
羽:ITによる人々の生活と拡がりと飛翔を意味する。
4つの星:技術水準レベル4という重要性の高い資格として目指す存在となることをイメージ。
「支援士」登録のきっかけ
前職では、既に完成したシステムの保守・運用に携わることがメインで、真剣にアプリやネットワークのセキュリティに関して取り組んだ事がありませんでした。現職では主体的にアプリケーション開発に携われるとのことで、セキュリティ分野を体系的に学習するため受験し、晴れて合格しました。
本記事タイトル「支援士になってみた」という通り、私は登録手続きをした「支援士」です。(記事公開時点)
登録のきっかけは、自身の仕事に関係する国家資格を保有することに興味と憧れがあったためです。IT系の「士業」って珍しいですしね。
「支援士」になってのメリット
ひとつは、これは他の資格試験と一緒ですが試験を通じて得た知識が普段の業務で活かせたこと。
もうひとつ、それよりも良かったなと思えたのは、「支援士」だけが受講できる講習でした。
「支援士」登録すると、毎年の「オンライン講習」と、3年に1度の「実践講習」の2種類の受講が義務付けられます。
そのうち、IPAが主催する「実践講習」は演習形式の講習となっています。
講習内容は、受講者である他の「支援士」たちと、セキュリティインシデントが発生した企業のCSIRT(セキュリティの対応チーム)になったつもりで、インシデント検知、影響範囲の特定、封じ込めと、それぞれのフェーズごとの検討をグループワークとして行います。
各フェーズの報告はCISO(最高情報セキュリティ責任者)役である講師に、発表という形で実際に口頭で報告まで行います。現場の上司のように、報告内容に対しては色々とツッコミを入れられますので、なかなか緊張感のある内容でした。
私の普段の業務はCSIRTとは全く関係がなく、インシデントに関わることもないため、実務寄りで大変勉強になりました。また、受講者はセキュリティ担当者のみならずインフラ領域・ソフトウェア領域のエンジニア、またIT業界に限らず建設業界の情シス担当者なんて方もいました。多種多様なポジションの「支援士」との交流ができ、非常に良い経験ができたと思います。
「支援士」になってのデメリット
1つめは、「士業」としての責任が伴うこと。
セキュリティの専門家である特性上、その職務に対して更に責任が伴うということです。
(信用失墜行為の禁止) 第二十一条 情報処理安全確保支援士は、情報処理安全確保支援士の信用を傷つけるような行為をしてはならない。
(秘密保持義務) 第二十二条 情報処理安全確保支援士は、正当な理由がなく、その業務に関して知り得た秘密を漏らし、又は盗用してはならない。情報処理安全確保支援士でなくなつた後においても、同様とする。
(受講義務) 第二十三条 情報処理安全確保支援士は、経済産業省令で定めるところにより、機構の行うサイバーセキュリティに関する講習(第二十五条において「機構の講習」という。)又はこれと同等以上の効果を有すると認められる講習として経済産業省令で定めるもの(同条において「特定講習」という。)を受けなければならない。
引用:e-gov 法令検索ホームページ「情報処理の促進に関する法律」より(https://laws.e-gov.go.jp/law/345AC0000000090)
特に「秘密保持義務」に関しては罰則つきで、「支援士」としての立ち振る舞いには、より慎重になる必要があります。逆に言えば、それほどの立場なので信用してもらいやすくなる、というのはあるかもしれませんね。
2つめは、「支援士」だけが受講できる講習です。
あれ?さっきメリットって書いたじゃないか!って思われたかもしれませんが、内容ではなく金額が問題です。先ほどご紹介した、毎年の「オンライン講習」と、3年に1度の「実践講習」の受講料が実質的な「支援士」の維持費用となります。
その費用ですが、毎年の「オンライン講習」は20,000円(非課税)、3年に1度受講する「実践講習」は80,000円(非課税)。3年で合計14万円です。ただ、NRIネットコムでは年間研修受講日数の目標を立てており、その受講費用も会社に負担いただけますので、私個人としては特に懐を痛めているわけではありません。
しかし、主に個人事業主の方など自費で維持するとなると、なかなか厳しいのではないかと考えます。本記事冒頭の紹介の通り、独占業務があるわけではないので無理して維持する必要はないですしね。
まとめ
近年、各国・各企業・各個人で大規模なサイバー攻撃による情報流出などが起きており、情報セキュリティの重要性は高まっています。そういった背景から、国としても「情報処理安全確保支援士」制度を設けていると考えています。
「支援士」制度は講習が非常に充実しており、また「支援士」同士の横のつながりを感じられました。しかし、その費用が高額であったり、職務として大きな責任を伴う役割でありながら、弁護士、税理士等と比べ「支援士」だけができる業務がこれといってなく、また世間にも肩書が浸透している感じはないため、制度としては発展途上の印象が否めません。
ただ、「情報処理安全確保支援士会」なる社団法人があるようでして、「支援士」を盛り上げていこうといった動きはあるようです! www.jp-rissa.or.jp (私も入会してみようかな?)
本記事で、みなさまが「情報処理安全確保支援士」に興味を持ち、受験や登録のきっかけとなれば幸いです!
キャンプ大好きアプリケーションエンジニア。
\コンニチワ/
