パスワードを忘れた? アカウント作成
12553444 story
日本

経済産業省、「情報セキュリティマネジメント試験」を創設 53

ストーリー by hylom
どちらかというと運用向けか 部門より
NurseAngel 曰く、

経済産業省が新たな国家試験「情報セキュリティマネジメント試験」を創設した(ITmedia)。

情報セキュリティマネジメント試験は、「情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験」とのこと。試験内容は情報セキュリティ全般/管理/対策/関連法規に加え、ネットワーク、システム監査、経営管理などの知識も問われるという。

基本情報と同ランクということで、情報セキュリティスペシャリストの下位互換みたいなものになるのだろうか。きっと、これの合格者をボランティアに駆り出す計画に違いない(妄想)

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Technobose (6861) on 2015年10月19日 17時21分 (#2902699) 日記
    情報処理技術者試験制度があるのに、官公庁・自治体・公的団体で活用されている事例ってあまりないですよね。
    たとえば、初歩的なセキュリティ資格を作るから、官公庁・自治体でマイナンバーに携わる情報担当部署職員には必ずとらせるとか、管理職・監督職にはこれを持ってないとつかせないとか、そういう強制性がないと資格を作っても意味が無いと思いますが。
    会社にしろ役所にしろ、同じような仕事をしているところに、一定の能力をもつことが必要と規定することで、その分野の社会的な能力が向上すると思いますが、現状では人の能力を認定して追わり。
    それだけでは、資格産業の飯の種を増やしているだけにしかならないと思います。全体的な戦略も立てて欲しいモノです。

    /*  セキュリティアドミニストレータは上位互換資格に見てもらえるのかしら。 */
    • by Anonymous Coward

      官公庁の公共工事入札の際、資格の人数で足切りされたりしますよ。
      一定人数以上がいないと入札に参加できません。

      そういう方向では活用されていると言えるでしょう。

    • by Anonymous Coward

      いっそのこと、扱う内容によっては士業にした方がいいんじゃないの?と思うんだけどな〜。
      じゃないと、 #2902726 [security.srad.jp]で出てくるような「パスワードはBASE64で暗号化して
      保存してます」的な驚愕の仕様が減らないような気がする。同レベルの驚愕仕様、何度か見たことあるけど
      指摘しても「なにそれ〜?」とか「余計な仕事増やすなよな〜」くらいの反応しか返ってこないもんね・・・。

      • >反応しか返ってこないもんね・・・。

        よく見る不思議仕様で、SQL ServerとかRDBMSを利用しているのに、ユーザーや特権を管理する普通のテーブルを作成して、それでユーザー管理する(一般ユーザーでログインしてても他のユーザーの管理情報が見えてしまう)、というのがあるんですが、かえって「余計な手間」をかけてると思うんですよね。
        定石を一般化するだけでも、いろいろ改善すると思うのですが、いかがでしょうか。そのための手段として共通のスキルを測る資格試験というのは有りだと思います。
        親コメント
        • ユーザ数が万人単位を超えるようなウェブサービスだと、RDBMS のユーザ管理ではいろいろと面倒なこともあるのですよ。そういうシステムの場合、テーブルもユーザごとに別れてないし。

          親コメント
        • by Anonymous Coward

          そうなってる方がサポートが楽なんだよ。

          ログインできないって言われてDBAに連絡するより
          ふつーのテーブルのパスワード書き換えるほうが簡単。

          アプリケーションサポートがDBのユーザいじれないって
          ルールがそもそもおかしいんだが、それを変えるために
          がんばるなんてばからしい。

    • by Anonymous Coward

      ここの資格、悪印象のほうが強いなぁ。。
      謎仕様書作る人って、IPAの「だけ」持ってて他の知識全く持ってない。
      webでhtml仕様書読んだこと無いとか、linuxの仕様知らんとかね。

      • 個々の試験問題作成委員(ゆえに受験資格のない人)と遊びや仕事で付き合ってみると予想してのに反して専門分野では十分にバランスの取れた考え方のまともな人物だったりするんだけど、情報処理技術者認定試験云々という枠組が求める制約がアレなわけで。
        // 過去に一人飲み食いする機会があった。
        そーゆーのをひっくるめるとIPAひいては経済産業省の意図、ちうことになるのだろうなあ。

        親コメント
      • by Anonymous Coward

        場所にもよると思うけどなぁ。
        技術力はあるけど「会社に資格手当とかないし、自腹でいちいち試験受けたりせんわ」って人は結構居る。
        (でも基本情報とか持ってないと入札時の足切り云々で揉めるので嫌々取ってたりする)

        逆にどんな資格持ってる人なら謎仕様書を作らないんだろう?

        # 資格試験は一定の知識なり技能なりを証明するものだが、資格不所持が知識や技能を持っていないことを証明するものではない

  • by NOBAX (21937) on 2015年10月19日 17時24分 (#2902701)
    情報技術は日々変わっていくから、新しい試験が必要となるという言い分は分かるが、
    そうしないと受験者がいなくなってしまうというのも事実で、
    IPAの生き残り策じゃないの
    と穿ってみたくなる。
    • by wood377 (46309) on 2015年10月20日 0時49分 (#2902947) 日記

      既に受験者が減っているのでは?

      試験の価値が無いと見なされたか、情報処理技術に関する関心が薄れたか?
      多分、後者。4万人のボランティアなんて言う人もいるようですが、
      それほど、重要ではないんだろうな、と。

      親コメント
  • 「情報セキュリティマネジメント」ってのは、実務に携わる「情報セキュリティスペシャリスト」が実力を十分に発揮できる環境を整える仕事をするんじゃないかと想像したが、現実はおそらく(いや、絶対)私の想像とは異なっているだろう。
    • ストーリーで紹介されているリンク先 [ipa.go.jp]の下記を読む範囲において、情報セキュリティスペシャリストについてはなんら言及していない点ははっきり言える。されどそれすらもどうあれ、いかようにも解釈可能な中立で透き通ったお役所文書なので始末に困る…:

      機密情報を守り、ITの安全な利活用を推進する、情報管理の要となる存在が、強く必要とされています!―情報セキュリティマネジメント試験
      情報セキュリティマネジメント試験は、情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。〈共通キャリア・スキルフレームワーク(CCSF)レベル2相当〉

      部門全体の情報セキュリティ意識を高め、組織における情報漏えいリスクを低減する!
      万が一トラブルが発生しても、適切な事後対応によって、被害を最小限に食い止める!
      情報セキュリティを確保することで、より安全で積極的なIT利活用を実現する!

      このような組織作りに欠かせない情報セキュリティマネジメント人材は、業種、職種を問わず、また、営業・企画・製造・総務・人事・経理などの部門を問わず、多くの現場で強く必要とされています。

      親コメント
    • by Anonymous Coward

      情報セキュリティスペシャリストは作る人。
      情報セキュリティマネジメントは使う人。

      • by Anonymous Coward

        情報セキュリティスペシャリストは作る人
        情報セキュリティマネジメントは食べる人

        #中止させられるかも。

  • by chuukai (18189) on 2015年10月19日 22時33分 (#2902882) 日記

    自分の日記にも書いたとおり、この秋の情報セキュリティスペシャリスト試験を受けました。
    日記では力試し(が目的である)と書きましたが、もう少し言葉を変えて説明すると、自分の実力を上回るような課題を自分に対して与えるという、自己研鑽の意味で試験を受けました。
    勉強してみると、セキュリティに関する自分の知識が興味があって調べた分野に偏っていたことがわかってよかったと思いました。

    情報セキュリティマネジメント試験は、私個人としては物足りないので受験するつもりはありません。

  • by Anonymous Coward on 2015年10月19日 17時40分 (#2902714)

    テストには実技を入れるべき。でないと、現状の問題は改善されないでしょう。

    • by Anonymous Coward on 2015年10月19日 18時09分 (#2902732)

      技術の試験じゃないようですが。マネジメントなので。

      親コメント
      • by Anonymous Coward

        マネジメントに実技があっても良いのでは?
        概念的なものは暗記が必要ですが、それ以外はチートシートを見ながら実技で良いような…。

        • 公表されている現時点のシラバスを斜め読みする限り実技は問うていないですが
          マネージの濃さはいまひとつなのでは?端的に言えば微温的。
          それはそうとITパスポート試験並みに多岐にわたる出題範囲が前提なので
          想定対象の受験者には難しい試験扱いされそうな気配はありますね。
          その割りに合格点をはじき出しても見返りが少なそうな印象が否定できない。
          ユーザ日記にコメントした [srad.jp]通り、独占資格化するのでもなければ見捨てられるかもよ?

          親コメント
  • by Anonymous Coward on 2015年10月19日 17時47分 (#2902719)

    情セキュからPMSとかISMSだけを抜粋したものかと期待したのに。
    情セキュってDBとか通信方式とか、
    実務で何の役にも立たない問題ばかりでてくるから、
    自分にとっては受験する意味がないんよね……

    • by Anonymous Coward

      情報セキュリティに限らず、DBやNWも実務には役に立ちませんよ。
      情報セキュリティは、「パスワードはBASE64で暗号化して保存してます」とか言い出す人が減るので効果はあるかと。
      # 昔とあるプロジェクトにサポートに行ったときに、プロジェクトの人が本当にそういう事言ってたんですよ
      # そしてその場に10人以上いたのに誰一人突っ込まなかったのがびっくり

      • by Anonymous Coward

        そこまで酷いところは少ないにしても、パスワードを未だSHA-1+saltで保存しているところは多いでしょうねぇ (「SHA-1+salt」はパスワードに十分だと思いますか? [f-secure.jp])。
        さらに今はscryptにすら弱さが発見していて、新たにLyra2が提案されている状態 [iacr.org]なわけですが、暗号通貨を追ってない人がどこまでLyra2を知っているのだろうか…。

      • by Anonymous Coward

        資格を取っていない奴に実務で役立ちませんよってしたり顔で言われても困るSEも結構多いが...

        役に立つかどうかではなく、
        ORACLEだけは得意だけど、世間一般ではなんて言っているのかも分からないDB技術者とか、
        ウィルスって言葉だけ知っていてFWでなんでも対策できると思っているネットワークエンジニアとか、
        資格以前にお前が役立たないって人に限って、「実務で...」って言うんだよね。

        確かにオタクには役立たないでしょうねェ。

        • by Anonymous Coward

          資格を取っていない奴に実務で役立ちませんよってしたり顔で言われても困るSEも結構多いが...

          ブラックジャックに「資格なんて意味無い」と言われて困る医者はいないと思うよ。
          困る官僚はいてもw

          それはともかく、本質は資格の有無じゃなくて経歴やスキル・人柄だと思う。
          どんな炎上案件でも数日で火消しできるような技術者であれば、「資格なんて業務の
          役に立たない」と言っても誰も文句を言わないと思う。

          • by Anonymous Coward

            そりゃ、机上の空論で、炎上案件でも数日で火消しできるようなプロなら、5000円程度払って一日使う程度で、飾りとして当たり前のように資格は持ってます。

            ついでに、資格持ってない→そいつはブラックジャック級であるはなりたたないし、資格持ってる→ブラックジャック級ではありえないは成り立たないからね。

            >炎上案件でも数日で火消しできる
            ってところがリアリティがない。社会に出てきてからまた来なさい。

            実務で役のたたない試験という人間は、知識を役にたてる方法を知らないか、実務に対して作業以上の認識を持ってないからそんな先入観を持っている。

            • >炎上案件でも数日で火消しできるようなプロ

              それってやってる事は破壊消防なんじゃなかろうか。
              仕事(案件)自体を無くしてしまうという。

              --
              #存在自体がホラー
              親コメント
            • by Anonymous Coward

              「学校で習った知識なんて社会では役に立たない」とか言ってる人に限って、
              習った知識で解決できるはずの事が解決できなかったり。
              理解が伴わないとか、応用力がないとか、そういう感じなのかな。

        • by Anonymous Coward

          うん、DBとか、正規化って何ですかおいしいの?レベルのど素人が設計してる例が多々あって困ること多すぎ。
          モデリングのレベルでいい加減だと後の工程すごい苦労するんで、多少なりとも勉強した人を当ててほしいわ。そういう意味で、足きりには非常に役立つ。
          どんな知識も、知ってて取捨選択して無視するのと、知らんで適当にやるのは、やってることは同じに見えるかもしれんけど全然違うんだよ!

          # DBとNWとセキュアド持ちなのでAC。これだけ持ってれば資格なんて重要じゃありませんよと言っても怒られないはず。

          • by Anonymous Coward

            オラクルに拘るとこで正規化してたとこ&できる人に会ったこと無いんだよなあ。。
            やってたとこは、規模、環境、要求次第でDBを変えればいいというとこ。

        • by Anonymous Coward

          > ORACLEだけは得意だけど、世間一般ではなんて言っているのかも分からないDB技術者とか、

          うん、君が何を言っているのかわからない。
          ORACLE方言のSQLだけで会話してるようなDB技術者ってこと?

          > ウィルスって言葉だけ知っていてFWでなんでも対策できると思っているネットワークエンジニアとか、

          FWってなんでしょう?
          FirmWare? ForWard? FrameWork?

          ウィルスって言葉だけ知っていてFirewallで何でも対策できると思っている大臣はいたけど。
          結局アメリカに盗聴されて交渉戦略がバレバレの状態なのにTPP交渉に当たって大筋合意したって喜んでたなー。

          • by Anonymous Coward

            よく分かってないなら突っ込み入れなくてもいいよ。

            > ORACLE方言のSQLだけで会話してるようなDB技術者ってこと?
            SQLの方言しかDB特化したノウハウが存在しないと思ってる奴も大概。

            > FWってなんでしょう?
            それぞれの言葉を知ってればどれを想定した誤解で有るかも(ほぼ)自明で拘る場所ではない。
            それ以前に、場合によってはそこすら曖昧な奴が宣う台詞でしょう、それ。

            > 結局アメリカに盗聴されて交渉戦略がバレバレの状態なのにTPP交渉に当たって大筋合意したって喜んでたなー。
            その二点は別に矛盾しないと思いますが?

  • by Anonymous Coward on 2015年10月19日 18時02分 (#2902727)

    昔:SU と SV に分かれていた
    数年前:SU を廃止して SV に一本化したような SC に再構成
    今:SU のようなものを復活

    • 難度から言ってセキュリティがITにおける基礎になったことを反映している感はあるかなーと。ただ、基礎と認識されたばかりで、まだまだ旗を振る人が必要。ってところでは。
      SUってSCより合格率低いほどでしたから、延長線上にあるものだとしても、位置づけとしては全く別物ですよね。

      親コメント
      • 情報セキュリティアドミニストレータって、情報セキュリティを策定するとか情報管理の元締めを対象にした試験でした。
        でも、情報漏洩が起きるのは業務の前線なので、そういうところで監督する人を対象に考えているのかもしれません。

        まあ、セキュリティに限らず情報処理に関するスキルは、もっと普及させないといけないですよね。アプリケーションの使い分け、データの再利用を前提にした文書の作成や管理の技法とか一般化するだけで、かなり効率は良くなると思いますよ。
        親コメント
    • SUもSCも持っていますが、シラバスやサンプル問題を見る限り、今回復活させるのは、レベル感ではAD(初級システムアドミニストレータ)でしょうね。
      出題範囲が狭い分FEよりも簡単。午前午後各6割で合格できるので、インシデントレスポンスの知識皆無でも合格可能。
      親コメント
    • by Anonymous Coward

      一番最初に SS がありました。

  • by Anonymous Coward on 2015年10月19日 19時57分 (#2902797)

    マイナンバーが流出したら
    一応有資格者に管理させてましたと言い訳するためのものだろ?
    それでも流出させたんだから国の責任は?って聞きたくなるけど
    結局誰も責任取らないだろ?
    責任を明確化させるのではなく
    誰も責任を取らなくて済むシステム
    原発みてればわかるだろ?
    「規制基準の審査であって、安全だとは言わない」
    はある意味歴史に残る名言

    • by Anonymous Coward

      マイナンバーが流出しても困ることないんじゃない?
      SSNじゃないんだから。

  • by Anonymous Coward on 2015年10月19日 20時44分 (#2902826)

    大手監査法人の募集とかでも、驚くほど待遇低いんだよね。
    普通のPG/SEの職探す方がマシ。

  • by Anonymous Coward on 2015年10月19日 22時43分 (#2902888)

    情報処理技術者試験の有用性には賛否あるけど、
    とりあえず新しい区分が出来るんだし、受験はするよ。

    自分の興味のある分野とか自社内の方言に自分の知識や
    話し言葉、書き言葉が偏ってしまうことを緩和してくれるし
    「日本の情報処理業界の標準語」を理解するのは役立つことも
    あると考えてるし。

    • 最近は申し込んでも寝坊で放棄したりとろくなことないけど、セキュリティかつ新規のネタだから受けてみるのもいいかな?

      #最後のペーパテストIP持ち。いちおうSSも持ってるけど役に立つ場面は皆無だった

      親コメント
    • by Anonymous Coward

      > 「日本の情報処理業界の標準語」を理解するのは役立つこともある

       実際のところ、これが一番重要では無いでしょうか。
       「他人に対してなんと説明するか」は、どこで何をしていても悩むところで、
      「少なくとも共通言語が存在する」「共通言語を解する人が増える」のは悪いことでは無いはずです。
      #英語ネイティブとぺらぺら会話出来なくても、英文斜め読みが出来ればひとまず良い、とか。

       実務に関していえば、ぶっちゃけ、どこ行ってもローカル言語しか使わんという事情もあるし……

    • by Anonymous Coward

      それはいい考えだと思う。

      自分も若くてやる気があったころは上級資格はみんな取った。
      27歳だったかの縛りがあるやつはその歳になる前に
      やる気が失せたのでそのままだけど、それでもそのころの貯金で
      40になった今でも苦労せずに給料もらえてる。

  • by Anonymous Coward on 2015年10月20日 7時52分 (#2903001)

    分野を細分化したり、素人管理職向けの試験を追加するのもいいけれど、
    必要なのは他の試験のように毎月開催してくれってこと。

    春と秋の年二回や一回だと受験しにくいよね。
    秋だと子供の運動会とかちあったり、春や秋はIT業界では忙しい時期
    でもある。

  • by Anonymous Coward on 2015年10月20日 11時38分 (#2903125)

    にして欲しい。

    大体IPAの試験は郊外でするから、朝早いのは辛いし、
    午前Iの内容は紛らわしい上にあまり使わない用語を覚えたり
    モチベーションが落ちる。例:デュアルvsデュプレックス・・・

  • by Anonymous Coward on 2015年10月20日 13時11分 (#2903199)

    なんてのもあったな・・・

  • by Anonymous Coward on 2015年10月20日 16時39分 (#2903358)

    されるって話は結局どうなったんだろ?

    # 情報セキュリティマネジメントって「SM」じゃん!
    # なんでSG?と思ったら、「ITサービスマネージャ試験」がSMなのねん。

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...