改正サイバー法により、新たな国家資格「情報処理安全確保支援士」設置へ 74
ストーリー by headless
新設 部門より
新設 部門より
あるAnonymous Coward 曰く、
「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が4月15日に成立し、新たなサイバーセキュリティ人材の国家資格「情報処理安全確保支援士」が設置されることになった(経済産業省のニュースリリース、 ITproの記事)。
情報処理安全確保支援士は情報セキュリティスペシャリスト(SC)とは異なり、合格後は登録や定期的な講習の受講が義務付けられ、守秘義務も課せられる。講習を受講しなかった場合や信用失墜行為があった場合には登録の取消や名称の使用停止といった措置が取られるほか、守秘義務違反に対する罰則もある。
一方、SCは支援士に置き換えられる形となる。2017年度よりSC試験は廃止され、情報処理技術者試験と同日に支援士の試験が行われるようになるという。試験内容も現行のSC試験をベースにしたものとなり、既存のSC試験合格者(旧セキュアドやTEも含む)は支援士試験を免除されるとのこと。
改正法では日本年金機構での情報流出事案を踏まえ、これまで行政機関のみに限られていた内閣サイバーセキュリティセンター(NISC) によるセキュリティ評価・監査を独立行政法人や特殊法人にまで拡大する既定が盛り込まれている。業務拡大に伴い、一部の事務作業はIPAへ委託可能になるとのことだ。
公的部門ではどうするの? (スコア:3, すばらしい洞察)
公的部門こそ、情報管理部門に配置する人材のスキルを国家試験で認定すべきなのに、入札の際の応募資格にしか使ってないところが大半。入札資格とか見るときあるけど、本当に規格や試験の意味がわかって書いているのか不安になるものも時々あるし。
今回の認定だって、本来、情報セキュリティポリシーの策定とかで発注者側にも配置する必要があるのに、「名簿を見て探せる」とかいってるあたりでずれてる。発注者の側にも、それなりの人材がいて組織としてセキュリティ対策を考えられるんだけど、マンパワーや最先端の情報を追いかけられる体力が無いから、部分的に外注するというのが、あるべき姿でないかしら。
で、国を挙げて情報セキュリティ対策が必要です、とか、情報化戦略を立てる必要があります、というなら、まず公的部門で、そういう体制を義務化しないと、一般人には必要性が伝わらないと思うんだ。
なので、資格を作るなら、それの活用体制も作れと言いたいですね。
Re: (スコア:0)
最後の文章の拡大適用対象の機関に居るけど、結構必死に資格保持者かき集めたみたいだよ。
なので活用体制はあるよ。お役人様のタマヨケでよければ。
Re: (スコア:0)
入札の資格要件なんて既存ベンダーがよそを足切りするために
入れたりするものだから元々意味なんてないんじゃ?
セキュリティに限らず、ベンダー系資格なんてまさにそれ。
応札資格満たすための名前の貸し借りなんてしょっちゅうじゃん。
体制表に名前載ってても見たことない人とか普通にいるし。
Re:公的部門ではどうするの? (スコア:1)
「パソコンに詳しい」とか「前職がIT企業」といった理由で配置したり、短期間のローテーションで回したり、とかで、本当に情報化を構想できる人材がいなかったり、育てる計画が無かったりというところが多い。
なので、せっかく大金はたいて投資をしても、作業が二重になって無駄になったり、セキュリティが緩すぎたり・きつすぎたりで業務効率を阻害したりということが起きやすい。
情報処理技術者の認定をとっていても、そういうのに向いてない人もいるけど、全く無印の人を「パソコンに詳しい」といった理由であてるよりはリスクが低くなると思うんだよね。
/*
2000年問題がらみで関連する総合病院の基幹システムの再構築した際、アンチウィルスの予算を全然関係ない用途に流用されたことがある。
IT企業から転職し途中からプロジェクトに参加した人が「そんなのウィルスが見つかったら、ネットでお試し版を下ろしてくれば良い」と上層部に言った結果だった。直後、私は別部門に異動になったんだけど、一年くらい後、ウィルス大発生で業務停止したと、プロジェクトメンバーだった人から聞いた。
*/
買収怖い、ハニートラップ怖い。 (スコア:2, すばらしい洞察)
> 情報処理安全確保支援士の登録情報をHP等で公開
それ公開したらヤバくない?
機密情報管理してるのだろう?
・名前語った詐欺
・攻撃者に狙われる
Re: (スコア:0)
おう!オレオレ!
麻生太郎だよ!
政治資金振り込みまだなんだけど、早急に振り込んでくれない?
Re: (スコア:0)
医師等資格確認検索 [mhlw.go.jp]の情報処理資格版だと思う。
資格がないのに資格があると名乗るのを防止できるので、悪いことばかりでもない。
Re:買収怖い、ハニートラップ怖い。 (スコア:1)
オフトピだが、医師・男性で
山中 伸弥
がヒットしなかったことにちょっと感動した。
Re: (スコア:0)
昔は
石井 四朗
もヒットしたんだけどねえ。
システム改修時に医籍(歯科医籍)のうち、2年に1度の医師及び歯科医師の届出がある者だけ表示されるようになったらしい。
Re: (スコア:0)
資格を証明するだけなら、公開鍵のみを登録すれば良いだけじゃ…?
Re: (スコア:0)
家族を人質にとられて情報盗み出すよう強要されたり・・・
Re: (スコア:0)
> 情報処理安全確保支援士の登録情報をHP等で公開
それ公開したらヤバくない?
言いたいことはわかるが、過剰すぎます。
通信事業者の公開とか
事業主の公開とか
責任者の公開とか
普通にあるので。
Re:買収怖い、ハニートラップ怖い。 (スコア:1)
ほかの国家資格と比べて、職務内容を考えればわかることですが、過剰反応ではないでしょう。
たとえば警察官の名簿が誰でも検索できると問題であるのと同じと思えばわかりますよね。
そういう登録情報自体が悪用されるケースを想定して安全確保を支援するような人たちの情報を登録するんですから、「それ変だろ」って指摘を受けるわけで。
免許証みたいな資格証を発行したり、登録コードと氏名の組み合わせで確認できるようにするなどの仕組みが必要なんじゃないでしょうか。
守秘義務違反 (スコア:1, 参考になる)
> 情報処理安全確保支援士は情報セキュリティスペシャリスト(SC)とは異なり、
> 合格後は登録や定期的な講習の受講が義務付けられ、守秘義務も課せられる。
守秘義務は情報処理安全確保支援士にかかわらず(とは別に)必要なんじゃないんですかね?
この文章をまま従うと情報セキュリティスペシャリスト(SC)には守秘義務は課さないとも取れる。
>講習を受講しなかった場合や信用失墜行為があった場合には
>登録の取消や名称の使用停止といった措置が取られるほか、
これは理解できますが、
>守秘義務違反に対する罰則もある。
講習を受講しなかった場合や信用失墜行為があった場合に守秘義務違反に対する罰則がある意味がわからない。
タレコミ [security.srad.jp]を読んだらそうは書いていなかったので頭無し語録なんだね。
Re:守秘義務違反 (スコア:1)
情報セキュリティスペシャリストとして活動する上で、守秘義務は(守秘義務に関する契約が別途なければ)ないかと。
一方、情報処理安全確保支援士として活動する場合は守秘義務が生じますよってことでは。
Re:守秘義務違反 (スコア:1)
タレこみ子です。その辺りの文章の大本はこちらの記事 [nikkeibp.co.jp]の以下の部分です。
講習違反の罰則と守秘義務の罰則は別ですが、分かりにくくなっていてすいません。
支援士 (スコア:1)
「スペシャリスト」だと資格名でなくても用いる事が多いので、「士」で資格らしくしたのは理解できるのだが
なぜ「支援士」という呼称にしたのだろう。
子ども、老人、ホームレスの支援士など、医療・福祉関係が多いみたいだが。
つまりこれはボランティアで働けという意味だな。
Re: (スコア:0)
ISMSなどにも書かれてるように、情報セキュリティについて責任を持つのはあくまで経営者なので。
「支援士」という命名がよくないというのは同意するけど。
セキュリティスペシャリストから何が変わったのかわからん (スコア:0)
こんなもの作って何か意味があるのかなあ。
相変わらず技術力の認定だけならいらない。
システムに対して医者やパイロット並みの裁量と責任がある資格ならいいけど、
官公庁入札の時のアレを何人用意しろってやつにしか思えない。
Re:セキュリティスペシャリストから何が変わったのかわからん (スコア:2, すばらしい洞察)
裁量はどうでもいいけど、責任があるなら拒否権をくれ。
民主的に多数決でグダグダな運用なんてやってるからいつまで経っても事故減らないんだよ
#これ以上具体的なことはかけない。
Re:セキュリティスペシャリストから何が変わったのかわからん (スコア:5, 興味深い)
同じく。
ついでに言うなら、以前コンサルした企業で(前者と後者は別企業だけど)「ウィルス対策ソフトの導入をしていない(ので導入を提言)」「社員メールの一元管理(恐ろしいことに社員個人がそれぞれYahoo!メールやGmailを取得して業務で使用)」を提言したところ、コストで門前払いを喰らった。
そしてどっちもセキュリティ事故を起こしてから「お前らのコンサルが役に立たなかった、責任とれ」と言ってきた。もちろん議事録はしっかり取ってあったのでそれを盾にお引き取りいただいたのだけど、裁判寸前まで行ったりして割と大変だった記憶しかない。
で、たとえば社労士してる知人がいるけど、ある社長が就業規則の酷い改変を提言してきたらしい。具体的には「有給を取るなら1ヶ月以上前に申請しろ、しない場合は有給をとった日の給与を半額にする」というもの。
当然その知人は「それは法に触れるから駄目だ」と何度も説得したけど聞かず、挙げ句の果てに勝手に規則の改変をした挙げ句、従業員との裁判沙汰になったんだと。(労基署への規則変更の届けもしてなかったんだとか)
その社労士の知人はといえば、脇が甘いといえばそうなのかもしれないけど、その社長と一緒に訴えられてる。どうなるんだろうね。
ことセキュリティ云々に限った話じゃないけど、士業にして責任を負わせるなら、逆に士業に従事してる側からのアドバイスや指示に従わない奴に対してある程度の強権なり罰則なりを発動できるようにしてくれないと、暴走した顧客のせいで士業に従事してる側が巻き込まれるだけになって不公平だと思う。
Re: (スコア:0)
その社労士勘違いしてる。
社長は何かあった時の身代わりとして金払ってるんだよ。
Re: (スコア:0)
> 裁量はどうでもいいけど、責任があるなら拒否権をくれ。
元コメだけど、医者やパイロットとみたいにと書いたのはそこら辺も含めたつもりなんだ。
雇い主や公権力などあらゆる方面からの無茶な要求を拒否して独断でシステムの運用を止めたり、
場合によっては逮捕権を行使できたり、クラッカーを切り刻んだりという感じ。
もちろんそれに見合うギャラも必要だね。
Re: (スコア:0)
Re: (スコア:0)
巫女に資格なんてないらしいけどな
# ソースが件の人なのであえてリンクは貼らないが
Re: (スコア:0)
うちは、ある有名な神社の巫女の家系だけど、巫女の資格は聞いたこと無いね。
あるとすれば、女性限定ってことくらいかな。
ただ、もしかすると巫女の家系ってことが重要なのかも知れないけど。
Re:セキュリティスペシャリストから何が変わったのかわからん (スコア:1)
辞めた後ならいいのでは?
伊勢や両加茂の斎宮はオッケーだったみたいですよ。
Re: (スコア:0)
医者やパイロットどころか、タクシーの運転手にだって法令を守らない客をその場で降ろす権利はあるよ。
#もちろん、そこまでの運賃はいただきます。
片や情報システムはほぼ全部任意で、どんなシステムにするかは客の自由なのよ。
で、支援士とかには責任はある?それはやってられんだろ。
まず、情報システムはこうこうでなければいけない、というのが法制化されるべきなんだろうけど、
それは時間かかるし、時代遅れになる危険もあるし、いいか悪いか自分には判定しかねる。
でも、危ないけどこれでいく、とか言い出す客と絶縁してもそこまでの報酬はもらえないとね。
#そんなのいねーだろ、というかもしれないが、公的機関では脆弱性診断で危険と出てもサイト動かし続けることはよくある。
Re:セキュリティスペシャリストから何が変わったのかわからん (スコア:2)
情報処理技術者は資格を取ってしまうとそれきりだけど
毎年講習とか義務付ければ定常的に収入が得られますから、
メシの種に困らないわけですよ。
Re:セキュリティスペシャリストから何が変わったのかわからん (スコア:1)
>システムに対して医者やパイロット並みの裁量と責任がある資格ならいいけど、
給料モナー
金が無いからオリンピックのセキュリティ技術者はボランティアで働けとか宣うウツクシイ國だもの。
あれ、関連リンクにこれがないぞ。
「五輪のセキュリティ対策をボランティアでやってくれるエンジニアが不足中」 http://security.srad.jp/story/15/10/12/064233/ [security.srad.jp]
Re: (スコア:0)
みんな硬いこというけどな、
医者やパイロット並みにモテるなら資格をとるにゃん…
Re: (スコア:0)
>講習を受講しなかった場合や信用失墜行為があった場合には登録の取消や名称の使用停止といった措置
医者もこれやればいいのにねー。(医療講習という形骸化したものになりそうだけど。)
庶民としては、この支援士になる事で幸せになれるかどうかだけなんですがね。
Re:セキュリティスペシャリストから何が変わったのかわからん (スコア:1)
情報処理試験も資格ではなく免許化してくれれば飯の種になるのになあ。
会社に一人は免許を持っているCSO(Chief Security Officer)が必要とかね。
Re: (スコア:0)
専門医を名乗ろうとすると、学会の参加などなどもっと厳しいと思うが。
Re: (スコア:0)
テレビ見る限り、素人でも大丈夫みたいだがw
Re: (スコア:0)
セキュリティ確保の支援はするが、
確保そのものはしないということでは。
運用が面倒なだけでは誰も取らない (スコア:0)
で、どんな業務独占ができるようになるのかな?
名ばかり資格増やしても、収入に繋がらないとさ。
ささやかでもいいからこの資格所有者がいなければできない業務を作って欲しいな。
例えばデータベースに個人名を保有する場合には有資格者が必要とかさ。範囲でかいかw
Re:運用が面倒なだけでは誰も取らない (スコア:2, おもしろおかしい)
「サーバn台につき、1人の資格者を生け贄に捧げなければならない」
とか?
権限無し、予算無し、理解無し、
責任有り、の職場だと冗談にならないんだが。
Re:運用が面倒なだけでは誰も取らない (スコア:1)
ザッと発表を読んだ限りじゃ、業務独占の可能性は薄そうに感じたんだけど...。誰が嬉しいんだろう、これ...。
そんなんでも登録する人が出るとすれば、上の方で書かれているとおり、入札条件とかかねぇ。例にもなってるし。
Re: (スコア:0)
???「ワシの老後が独占(保障)されるで!」
Re: (スコア:0)
いいこと思いついた
国・地方関係なく議員に立候補する条件にしようぜ
情報処理安全確保支援士を取得してるって事を
この程度のセキュリティ常識もない奴が政治屋名乗るとかあり得んだろ
利権 (スコア:0)
資格利権ってのかな、認定資格が出来るとなると、それを認める為の協会や団体が出来る。
天下り先といってもいいし、利権団体と言い換えてもいい。
また、その資格を取らせるための「参考書」を刊行すればその出版社も儲かる。
いつまでこんなことやってんの?
Re: (スコア:0)
保険会社中心の協会を作て検査・査定官の業務を行い
前出の官から派生させてアドバイザやコンサル業を肉付けしていくのが正しい在り方だと思うんだよね
新設せずとも技術士(情報工学)で十分じゃ? (スコア:0)
名称独占資格を増やしたところで業務が重複してグチャグチャになるだけ。
情報工学部門の技術士に独占業務として提供したほうが効率的だよ。
しかも、いきなり68,000人(重複合格者含む)も士業登録者が増えるって・・・
登録免許税(3万円くらい?)や年会費(2万円くらい?)だけで巨額の収入が
見込めそうですね! >お役所様
Re: (スコア:0)
SC試験の代わりなのにセキュアドの合格者も含めるのが良く分らない。
試験のレベル違うじゃん~と思ったら登録者を増やすためか。せこいなぁ…
Re:新設せずとも技術士(情報工学)で十分じゃ? (スコア:1)
合格率から見ると、確かにSCよりセキュリティアドミニストレータの方がレベル高かったですな...。
Re: (スコア:0)
セキュアド持ちの自分にとっては、今回の措置で試験を受けずに最新資格にアップグレード…なので美味しい部分もあるんですが、義務となる定期講習やらの費用や時間やらが気になるところ。
セキュリティ関係の仕事してるわけでも何でもないから、講習代に年間1万円とか言われたら登録しないなぁ。
Re: (スコア:0)
セキュアド持ってても現状では殆どペイには反映されて無かったからな~。
キャリアパスの明確化は自体は良い事と思うよ。
でもって、政府系の調達条件に本気で有資格者数を記載してくれるなら、ジョブチェンジ!!(マジで狙ってみようかね)
まあ、確かに講習会の費用がいくらになるかは気になりますな。
これセキュリティに何の役にたつのかわからん (スコア:0)
資格は就職か転職時の見栄えにしかならないですし。
既存のもITスキルない人(センスがない)が持ってて意味分からんかった。
管理職向け?
「安全確保支援士」誰得? (スコア:0)
一応情報セキュリティスペシャリスト(SC)は持ってるけど、まるで使ってなかった。
取れそうだから取っただけで、給料が高くなるとかの意味は全くなかった。
今回「安全確保支援士」も取っても、良くなりそうに見えないのだけど、、
税金の無駄遣い、、とまではいかないけど、、な感じ。
少なくともSCとは、全く異なるものと考えた方がよさそうだし。。
今現在、「安全確保支援士」に近い仕事をしている人はまぁいいのかもしれませんね。
そういう人が足りないから資格を作るのであれば、
「安全確保支援士」になりたいと思わせる要素が欲しかった気も。