📚

あのなー。情報処理安全確保支援士をやめよう(消除しよう)と思うんだ。

2021/12/12に公開

「あ〜!あの資格ね!」と誰も言えないだろう、罰則規定付きIT士業資格。
それは「情報処理安全確保支援士」。「登録セキスペ」という略称も、通常の国家資格であれば接頭辞としてつくであろう「公認」ではないところも業務範囲の小ささが露呈される。

…と少し乱暴な書きぶりで始めてしまいましたが、CISSP/CISAのダブルライセンスで色々と事足りることもあり3年目の実践研修を受けず登録を抹消することにしました。もちろん登録セキスペが全く役立たないということではないですが、自分のスキルマップとすり合わせたときに、「他資格と重複する部分」と「制度体系が未熟さ」とで情報処理安全確保支援士の効果が相対的に低くなったことが大きな理由です。
この決断に行き着くのにいくつか検討事項があるのですが、当該資格のメリットと合わせて決断までのプロセスを忘却録としてまとめたいと思います。

情報処理安全確保支援士のメリット

一番のメリットは「実務経験なしにセキュリティ知識を証明できる」ところです。今までセキュリティ以外の業務に従事していた人がキャリアアップとしてセキュリティ知識を証明する場合には、とても有効なツールになります。

1. セキュリティに関する能力を国家が証明してくれる

一番のメリットでしょう。正式には試験合格後に情報処理安全確保支援士登録簿に登録[1]しないと名称は使えませんが、試験合格と記載すれば問題なく自己のセキュリティ能力を証明する一翼となるでしょう。
筆者もプログラマからセキュリティ業界にキャリアアップするとに大変お世話になりました。

2. 情報セキュリティに関する必要な知識が体系的にまとめられている

これもメリットの一つで、午前で情報学の全般が学べ、午後に筆記形式でセキュリティに関する知識が問われます。半分国語の問題のような印象ですが、実務でもセキュリティ事象に関する様々な情報を様々な手法で収集して、それらを網羅的に把握・順序付けをすることはとても多く、このスキルは業務でも役立ちます(この点は異論があるかと思いますが私見ということでお願いします)。

3. セキュリティに関連する実務経験がなくても受験できる

これも大きなメリットの一つだと考えます。特に、中途採用でキャリアアップ・キャリアチェンジする方々にとって、グローバルスタンダードのCISSP/CISA/CISMあたりは実務経験を証明しなければならず敷居が高いはずです。また「情報セキュリティについて何から便用すれば良いか」という問題についても、参考書やテキストを読み込むことで体系的に学習できる点は大きなメリットだと思います。

4. 一定水準以上のセキュリティ知識が証明できる(※国内企業に限る)

(※国内企業に限る)と追記したのは、セキュリティ業界のフィールドは日本に留まらず、ほとんどグローバルとなります。個人情報保護法などドメスティックな分野もありますが、個人情報保護、クラウドセキュリティ、ガバナンスなどは原則インターナショナルな視点がないと業務が回らない特殊な分野です。
また、情報セキュリティの実務では、ISO27000シリーズ(ISMSなど)、COBIT5、NISTフレームワーク、GDPRなど、諸外国の法規制や有用なフレームワークに合わせて組織のセキュリティ体制を強固にする取り組みが中心となりますが、これらは情報処理安全確保支援士試験で深く学習しません。

つまり、情報処理安全確保支援士は「日本に限定したセキュリティに関する知識」を証明してますが、「グローバル目線のセキュリティ知識」は証明してくれません(と筆者の経験をもとに考えてます)。
PCI DSSの監査人に情報処理安全確保支援士が追加されましたが、適用範囲が日本国内だけなのもこういった理由があるのだと推察します。

情報処理安全確保支援士登録を抹消しようと考えたきっかけ

ここまでメリットがあるのになぜ登録抹消しようと考えたかというと、以下の4点を総合的に勘案してCISSP/CISAで賄えると考えたからです。

1. 独占業務がない(名称独占資格な)のに罰則規定がある

情報処理安全確保支援士登録簿の登録済みの情報処理安全確保支援士は、「情報処理の促進に関する法律[2](以下、法とする)」で制定されている、信用失墜行為の禁止秘密保持義務受講義務の3つについて忠実義務があります。
特に秘密保持義務については、法59条1項で罰則規定があり、公訴後に裁判により刑事罰の判決が下る可能性があります(無資格者でもやっちゃいけないことが書いてますが)。

これは、情報セキュリティという特性上、企業機密や営業機密に触れないことはないため、たとえ重過失だとしても罰則を受ける可能性があるのは大きなリスクとなります。
せめて、例えば税制優遇(IoT税制:廃止済み)の証明書発行業務やISMAP[3]の登録の必要資格など独占業務などがあればベネフィット相応のリスクですが、独占業務がない状況下でリスクのみ抱えるのはセキュリティの専門家としてリスク受容できかねる気がします。

(信用失墜行為の禁止)
第二十四条 情報処理安全確保支援士は、情報処理安全確保支援士の信用を傷つけるような行為をしてはならない。

(秘密保持義務)
第二十五条 情報処理安全確保支援士は、正当な理由がなく、その業務に関して知り得た秘密を漏らし、又は盗用してはならない。情報処理安全確保支援士でなくなつた後においても、同様とする。

(受講義務)
第二十六条 情報処理安全確保支援士は、経済産業省令で定めるところにより、機構の行うサイバーセキュリティに関する講習(第二十八条において「機構の講習」という。)又はこれと同等以上の効果を有すると認められる講習として経済産業省令で定めるもの(同条において「特定講習」という。)を受けなければならない。

第五章 罰則
第五十九条 第二十五条の規定に違反した者は、一年以下の懲役又は五十万円以下の罰金に処する。
2 前項の罪は、告訴がなければ公訴を提起することができない。

2. ISO/IEC17024の認証を受けておらず、グローバルで使えない

これは筆者の都合かもしれません。。
試験の品質に関して国際認証の仕組みがあります。ISC2やISACAなどはこの認証を受けているため試験内容が米国中心ですが、アメリカに限らず世界中で知識が証明できます。
また、ISO/IEC17024認証を受けているからは不明ですが、日本国内でも官公庁や地方公共団体の入札のセキュリティに関する資格で、情報処理安全確保支援士と並列でCISSP、CISA資格が認められていることがほとんどです。

3. 継続教育システムの不備

各士業(およびISC2とISACAなどの国際資格)は、CPE(Continuing Professional Education)と呼ばれる継続学習が義務化されているのがほとんどで、1年に一定数の単位を取らないと資格停止や最悪のケースで資格剥奪があります。情報処理安全確保支援士もCPEに似たシステムがあり、登録月を基準に年1回の「共通講習」と3年に1回、オフラインの「実践講座」の2本立てがあります。
「共通講習」はWebシステム上でスライド形式のテキストで学習し章末テストで合格水準を満たす必要があります。しかし、このオンライン型の継続学習は1日(標準6時間)完結型で頑張れば2,3時間で終わらせることができるため、数年やってて最新の知識定着の観点で疑問でした。「実践講座」は受ける前に登録抹消しようと考えいるためわかりません。

また、教育システムの一翼を担うコミュニティですが、情報処理安全確保支援士にも情報処理安全確保支援士会という団体があります。(高い更新費用にさらに年間4800円必要とのことで、金銭面の理由から筆者は未加入です…)
一方で、ISACAは日本内に支部がいくつかあり会員間でコミュニティを組織しています。このコミュニティ内で情報連携や勉強会を実施しており、「最新のセキュリティ事情」をキャッチアップすることが可能です。

情報処理安全確保支援士を見下したりISACAやISC2を贔屓するわけではありませんが、情報処理安全確保支援士の教育システムが未熟なことや、情報処理安全確保支援士間の情報連携がうまくできていない、つまり「教育システムが未熟」で「横のつながり」が十分に構築できていないのにコストだけかかるという状況はいかがなものかと考えた次第です。
(個人的に日本FP協会のシステムみたいなものがあればよいのかな、と思います)

4. 更新費用が高額

これは良く言われることですが、最低年2万円、3年目に最低10万円が必要になります。年2万でも結構な支出額ですし、会社で費用負担するにも精算費用が高額になることから事務手続きが煩雑になることもあり、「とりあえず取得しようか」と楽観的に考えられない後ろ向きな考えが出てくると思います。
幸いにして所属企業で資格支援がありますが、他資格のメリットと維持費の安さと比較すると頭一つ良くない方向に出てるように思います。

参考:資格別1年間でかかる諸経費

団体名 代表的な資格 コスト(年間) 脚注
IPA 情報処理安全確保支援士(RISS) 20,000円(3年目に最低8万円):非課税 お布施
ISC2 CISSP,CCSP,HCISSP,SSCP 125.00USD 資格ごとの増額なし
ISACA CISA,CISM,CDPSE,CRISC,CGEIT 135.00USD 取得資格ごとに45ドル(年間)増額、所属支部により多少変動あり

おわりに

情報処理安全確保支援士はキャリアを始めようとする方々には良い制度ですが、情報セキュリティの中心的な考えである「モニタリング(継続すること)」の観点が大きく欠けているように感じました。
これからは情報処理安全確保支援士合格者として、陰ながらも応援していきたいと思います。

脚注
  1. https://www.ipa.go.jp/siensi/toberiss/ ↩︎

  2. https://elaws.e-gov.go.jp/document?lawid=345AC0000000090 ↩︎

  3. https://www.ismap.go.jp/csm ↩︎

Discussion