第39回 「情報処理安全確保支援士」の集合講習について語る

【情シス野郎 チラシの裏】は、「情報処理安全確保支援士」資格を持つ情シス担当が、仕事を通して得た知識や技術を、技術面に詳しくない人でも読みやすいよう「チラシの裏」に書くかのごとく書き散らす!というシリーズです。

今回は、資格取得後の情シス担当:DAISUKEが参加した更新教育(集合講習)について紹介します。

オリンピック開催で高まるセキュリティリスク

ご存じの通り今年2020年は東京オリンピックが開催される。オリンピック開催期間に急激に増えるのは、にわかファン、外国人観光客、そしてサイバー攻撃である。

世界的に注目されるオリンピックというイベントに合わせ、

・Webサイト(特にアクセスが集中するオリンピック関連WebサイトやスポンサーWebサイト)へのDDos攻撃や乗っ取り改ざん
・偽チケット販売サイトや偽Wifiアクセスポイントを利用したカード情報等の個人情報の窃取
・ウィルス添付や上記不正Webサイトに誘導する不正メールの大量送信

など、一般利用者にも被害が出るものも含め、様々な攻撃が予想されている。

pixta_26272216_S

また近年はWebカメラやWiFiルータ、家電など、IoT機器の普及によって踏み台となる機器が増えており、また回線の高速化も相まって攻撃の数や威力が大きく増加すると言われている。

スマートフォンの機能向上、動画配信サービスの普及や回線高速化により、インターネットを通じてオリンピックにアクセスする人はおそらく過去最多となるだろう。

同時に被害者の数も過去最多と、、、ならないようにしなければならない。

情報セキュリティの担い手として期待される「情報処理安全確保支援士」

以前の記事にも記載したが、日本には「情報処理安全確保支援士」という情報セキュリティに関する唯一の国家資格が存在する。

「情報セキュリティマネジメント試験」の上位試験である「情報処理安全確保支援士試験」に合格することで、「情報処理安全確保支援士」の登録資格を得ることが出来る。

CISSP等の同等高度資格と比較すると実務に対する有効性に劣るとも言われるが、合格率は15%前後という難関試験であり、合格には相応の業務知識と努力が必要となる。

資格取得者はオリンピックに伴うサイバー攻撃に対してだけでなく、これからの高度情報化社会において、国や企業の情報セキュリティの担い手となることが期待されている。

IPAの高度情報処理技術者試験の中では受験者の多い資格ではあるが、取得を検討している人が最も気になるのは、「資格取得後に毎年の更新教育の受講が必要」という点ではないだろうか。

今回は、「情報処理安全確保支援士」の取得を検討するにあたり、シャイな貴方が少し気になる集合講習の内容と感想を、実際に受講した経験を踏まえてお伝えする。

「情報処理安全確保支援士」の更新教育(参加者)

講習は全国各地の主要都市で開催される。

東京、大阪、名古屋では毎月開催されており、仙台、広島、福岡がそれに続く回数となる。
pixta_13348183_S
それ以外の主要都市でも数ヶ月に1回程度の開催があるため、日程調整は難しくないだろう。

施設は、おれが参加した東京・新橋の会場は50人程度が収容可能な貸し会議室だった。

当日の参加者は36名。

それが6名ずつ6つの班に分けられており、講師(情報セキュリティ専門企業に勤務、講師としても経験を積まれた方)の自己紹介に続いて班内での自己紹介から一日は始まった。

自己紹介で班のメンバーは偶然にも全員が男性。

勤務先は誰でも知っている大手企業がずらり並び、やはり現状ではそういった企業が積極的に取得を勧めていると推測される。

職務内容は情シス、システムコンサル、営業など、多岐に渡っていたが、専門的に情報セキュリティに携わっているという人はおらず、全員が「知識が必要になるケースがある」という取得理由であった。

この点から、専門家や情報セキュリティベンダーのみを対象とした資格ではないこと、また多様な業務で情報セキュリティの知識が必要とされていることが分かる。

自己紹介では趣味の話などをするが、生まれた時からライオンズファンのおれが3年ぶりに球場に足を運んだら20点取られてスゴスゴ帰宅したネタ(事実)で、薄めの笑いを取って講習開始である。

「情報処理安全確保支援士」の更新教育(内容)

午前中は座学。事前に受講したeラーニングの内容のおさらいがメインである。

「情報処理安全確保支援士」に求められる役割が主な内容であり、その他最新の情報セキュリティやサイバー攻撃の動向、などを確認する機会となるが、講師は専門知識や経験を添えて説明してくれるので、分かり易く興味深く聞くことが出来た。

こういった資格は取ったものの、何が求められているのか、役割は何なのか、忘れがちであるそういった点を思い出すことも必要ということであろう。

pixta_37413528_S

午後は実習として1.5時間程度のケーススタディを3回行う。

情報セキュリティの基礎知識さえあれば回答を導き出せる内容となっており、決して調べないと分からないような専門知識は必要とされない。

流れ的にはよくあるケーススタディと同様、まず各自で考え、それを班内で話し合って取りまとめた内容を全体に向けて発表、それに対して講師や他の班との質疑応答が行われて完了となる。

知識の習得や発展のため、というよりは
・考えをまとめる思考力
・自分から発言する積極性
・周囲と協調して全体として結論付けるコミュニケーション力
が何より大事であることを感じさせる内容であったと思う。

「情報処理安全確保支援士」の役割

「情報処理安全確保支援士」に期待される役割についてIPAは以下のように定義している。

IT活用に伴うリスクに応じた具体的・効率的なセキュリティ対策を企画し、セキュリティ専門家のみならず、IT・セキュリティを専門としない人にも説明・連携して、安心・安全な環境の確保を支援する人材

上記の役割を満たすことの出来る人材の確保と育成が、講習のミッションとなる。

このうち、特に講習の中で何度か講師の方が仰っていたのは、「IT・セキュリティを専門としない人にも説明・連携」することの重要性である。

専門知識の無い大多数の一般ユーザーやコストの決裁者に対して対策の必要性を説明し、理解してもらうことは、情報セキュリティ対策の実施や浸透において大事なことである。

逆に言うと日本はそこが出来ていない、という認識があり創設された資格であると思う。

頭でっかちではない、利用者に寄り添う形での対策実装が求められており、そのために必要なのは一にも二にもコミュニケーションだよ、という話であろう。

一部の専門家向けの資格と捉えずに、どんな職種の方であっても少しでも興味があれば勉強して受験してみてはいかがだろうか。

情報セキュリティに関する知識はプライベートを含めた普段のIT利用においても、自分の身を守るために有用である。

仮に試験で20点しか取れずスゴスゴ帰宅することになったとしても、無駄になることはない。

 

 

情シス野郎 チラシの裏 と同一カテゴリの記事

みんなのスキルアップ体験記 と同一カテゴリの記事

ページTOPへ