情報処理安全確保支援士に合格して登録すべきか悩んでいる人
「情報処理安全確保支援士って意味ないの。頑張って勉強して試験に合格したんだけど、登録しない方が良いのか。」
こういった疑問にお答えします。
情報処理安全確保支援士に合格した後、登録すべきなのか、私自身の経験を踏まえて解説します!
【結論】登録すべき人と、そうでない人がいます!
この記事を読むことで、「情報処理安全確保支援士に登録すべきか、そうでないか」自分の状況によってイメージできるのではないかと思います。
私自身が情報処理安全確保支援士に合格して、登録した後の業務への影響等、実体験に基づいて作成しています。
では、早速解説していきます!
情報処理安全確保支援士(登録セキスペ)とは?
法律上の定義
「情報処理の促進に関する法律」の第六条に定める「情報処理安全確保支援士の業務」
(一部抜粋)
情報処理安全確保支援士は、情報処理安全確保支援士の名称を用いて、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援することを業とする。
https://www.ipa.go.jp/siensi/whatsriss/index.html#section3
期待される役割
法律上の定義をより具体化すると、登録セキスペは次のような役割を担う人材と考えられます。
IT活用に伴うリスクに応じた具体的・効率的なセキュリティ対策を企画し、セキュリティ専門家のみならず、IT・セキュリティを専門としない人にも説明・連携して、安心・安全な環境の確保を支援する人材
https://www.ipa.go.jp/siensi/whatsriss/index.html#section3
要するに、
登録セキスペが、技術者と経営者の架け橋となり、組織でのセキュリティ向上に貢献すること
そのため、登録セキスペには、専門用語を理解して、自分なりの言葉やわかりやすい言葉で経営者を説得できるような能力が必要とされます。
登録制になった背景
IPAによると、
とされており、一番のポイントは
「日々進歩していくサイバー攻撃や最新のセキュリティ技術を把握すること」だと考えています。
実際、セキュリティ業界では年々専門用語が提唱され、ここ数年ではSASE(Secure Access Service Edge )、CASB(Cloud Access Security Broker)といった、クラウドに関連するセキュリティ用語をよく耳にします。
情報処理安全確保支援士を保持している人であれば、専門用語の意味は最低限知っていることが求められます。
セキュリティ領域で業務をしている人であれば、普段から最新の用語は耳にするとは思いますが、そうではない人が最新のセキュリティ技術動向をキャッチアップするために、登録セキスペを登録制にし、定期的な講習を義務化しているのです。
登録セキスペに登録する意味!(メリット)
「登録セキスペに登録するメリット」について解説します。
メリットは、私の実経験に基づいて分類すると3つあると考えています。
1つ1つ解説していきます。
業務の幅が広がる
プロジェクトによって、
「情報処理安全確保支援士(登録セキスペ)の関与が必須」
「登録セキスペの人のみ、このプロジェクトに従事可能」
といったような、仕様書で資格要件を縛られてしまうことがあります。
実際、私の部門では登録セキスペの人がいないと会社としてプロジェクトに参画できない案件があります。
そういった場合に、登録セキスペを保持している私や同僚はよく頼りにされるようになりました。
また、2020年2月には、 PCI DSS(クレジットカードの情報を扱う際の規定のようなもの)の監査人に対する資格要件の一つに、登録セキスペが追加されているため、金融業界をお客様とする企業のシステムエンジニアにとっては、登録セキスペは必須となっています。
なので、登録セキスペでない時点で業務の幅は狭まってしまい、逆に登録することで、自分の業務の幅を広げるということになります。
権威性の確保
情報処理安全確保支援士(登録セキスペ)は、
国内では最も権威のあるセキュリティの国家資格です。
そして、登録セキスペは左図のような専用のロゴマークを名刺につけることが許可され、登録した人はほとんどの人がつけているかと思います。
なので、名刺にこのマークが入った人からセキュリティに関するアドバイスをされるのと入っていない人からされるのとでは、説得力が違います。
話を聞いてくれるお客様やユーザの態度にも現れてきますし、ユーザ企業の方でも登録セキスペの方は増えてきていると感じるので、ソリューションや製品を紹介する側が持っていないと権威性が薄れてしまいます。
継続的に最新技術を学習可能
前の章でも紹介したように、セキュリティ業界では年々専門用語が提唱され最新のセキュリティ用語や技術動向のキャッチアップは必須であり、周りからは知っていて当然のように思われます。
お客様やユーザによっては、どんなベンダーがどんな製品を提供しているのか、ということを教えて欲しいと言われることもあります。
正直、「そんなの試験にでないから、知らないよ。」と思われるかもしれませんが、登録セキスペを持っていると、そういったことを期待されてしまいます。
そういった中で、1年に1回のオンライン講習および、3年に1回の実践講習をすることで最低限最新の技術動向をキャッチアップすることができることがひとつのメリットであると言えます。
登録すべき人と登録する意味がない人
ここまで、登録セキスペになった背景やメリット等を解説してきましたが、
実際にどんな人が登録すべきか、登録する意味がない(登録すべきではない)人はどんな人か解説していきたいと思います。
登録すべき人
・セキュリティを生業として活躍していこうと考えている
・会社が維持費を負担してくれる人
・金融業などのセキュリティ対策が必須なお客様を関わりがある人
登録すべきでない人
・セキュリティと業務がマッチしない人
・名刺に格好良いロゴを載せたいとだけ考えている人
・会社が維持費を負担してくれない人
登録すべきでない人としては、
「登録のメリットよりもデメリットが大きくなってしまう人」です。
デメリットは簡単で
「コスト」および「専門家としての責任」
とだと言えます。
コスト面では、3年間で14万円かかり、個人で負担するにも高額であり、会社で負担する場合も中小企業にとっては、人数次第では高額であると言えると思います。
そのような中で、セキュリティの知識が必要でない部門の人に維持費を負担することはしないですよね。
また、仮に登録したとしても、その人自身が専門家として活躍できるかいうと疑問に感じます。なぜなら、定期的な講習があるにせよ、それは本当に最低限であり、普段から実務でセキュリティを学んでいる人と比較すると知識や知見にかなりの差があります。
実務で学んでいる人とそうでない人が、同じ登録セキスペという基準で比較されてしまうと、”知見や知識の差が顕著に現れてしまい、責任だけがのしかかります。”
そういったコスパフォーマンスの面や専門家としての責務を考慮すると、セキュリティ分野に関わる予定のない人や、今後セキュリティという分野で活躍しようと考えていない人は登録すべきではないと思います。
※尚、情報処理安全確保支援士試験に合格した人であれば、登録セキスペに登録できるので、セキュリティの分野で頑張ってみようかなと思った時に登録すれば問題ないかと思います
まとめ
今回は、登録セキスペとは。というところから、
- 登録するメリット
→業務の幅が広がる
→権威性を確保できる
→継続的に学習できる - 登録すべき人
→セキュリティを生業として活躍しようと考えている人 - 登録すべきでない人
→セキュリティ分野に関わる予定のない人
→今後セキュリティという分野で活躍しようと考えていない人
について、私の経験を踏まえ解説してきました。
セキュリティ業界はIT業界のトレンドの変化とともに常に進化しています。そのため、最新技術をキャッチアップするということは、正直ごく当たり前のことです。
実際に米国のセキュリティの資格(CISSPやCISA、CompTIA Security+等)は登録セキスペよりも前に資格の更新に継続学習の仕組みを取り入れています。
別の記事では、各情報セキュリティ資格の比較や情報処理安全確保支援士が狙うべき次の資格としてCISSPの取得に向けた勉強方法についても紹介していますので、是非ご覧ください。
コメント