経済産業省、「情報セキュリティマネジメント試験」を創設 53
ストーリー by hylom
どちらかというと運用向けか 部門より
どちらかというと運用向けか 部門より
NurseAngel 曰く、
経済産業省が新たな国家試験「情報セキュリティマネジメント試験」を創設した(ITmedia)。
情報セキュリティマネジメント試験は、「情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験」とのこと。試験内容は情報セキュリティ全般/管理/対策/関連法規に加え、ネットワーク、システム監査、経営管理などの知識も問われるという。
基本情報と同ランクということで、情報セキュリティスペシャリストの下位互換みたいなものになるのだろうか。きっと、これの合格者をボランティアに駆り出す計画に違いない(妄想)
どう活用するのか全体が見えない (スコア:3, すばらしい洞察)
たとえば、初歩的なセキュリティ資格を作るから、官公庁・自治体でマイナンバーに携わる情報担当部署職員には必ずとらせるとか、管理職・監督職にはこれを持ってないとつかせないとか、そういう強制性がないと資格を作っても意味が無いと思いますが。
会社にしろ役所にしろ、同じような仕事をしているところに、一定の能力をもつことが必要と規定することで、その分野の社会的な能力が向上すると思いますが、現状では人の能力を認定して追わり。
それだけでは、資格産業の飯の種を増やしているだけにしかならないと思います。全体的な戦略も立てて欲しいモノです。
/* セキュリティアドミニストレータは上位互換資格に見てもらえるのかしら。 */
Re: (スコア:0)
官公庁の公共工事入札の際、資格の人数で足切りされたりしますよ。
一定人数以上がいないと入札に参加できません。
そういう方向では活用されていると言えるでしょう。
Re: (スコア:0)
いっそのこと、扱う内容によっては士業にした方がいいんじゃないの?と思うんだけどな〜。
じゃないと、 #2902726 [security.srad.jp]で出てくるような「パスワードはBASE64で暗号化して
保存してます」的な驚愕の仕様が減らないような気がする。同レベルの驚愕仕様、何度か見たことあるけど
指摘しても「なにそれ〜?」とか「余計な仕事増やすなよな〜」くらいの反応しか返ってこないもんね・・・。
Re:どう活用するのか全体が見えない (スコア:1)
よく見る不思議仕様で、SQL ServerとかRDBMSを利用しているのに、ユーザーや特権を管理する普通のテーブルを作成して、それでユーザー管理する(一般ユーザーでログインしてても他のユーザーの管理情報が見えてしまう)、というのがあるんですが、かえって「余計な手間」をかけてると思うんですよね。
定石を一般化するだけでも、いろいろ改善すると思うのですが、いかがでしょうか。そのための手段として共通のスキルを測る資格試験というのは有りだと思います。
Re:どう活用するのか全体が見えない (スコア:1)
ユーザ数が万人単位を超えるようなウェブサービスだと、RDBMS のユーザ管理ではいろいろと面倒なこともあるのですよ。そういうシステムの場合、テーブルもユーザごとに別れてないし。
Re: (スコア:0)
そうなってる方がサポートが楽なんだよ。
ログインできないって言われてDBAに連絡するより
ふつーのテーブルのパスワード書き換えるほうが簡単。
アプリケーションサポートがDBのユーザいじれないって
ルールがそもそもおかしいんだが、それを変えるために
がんばるなんてばからしい。
Re: (スコア:0)
ここの資格、悪印象のほうが強いなぁ。。
謎仕様書作る人って、IPAの「だけ」持ってて他の知識全く持ってない。
webでhtml仕様書読んだこと無いとか、linuxの仕様知らんとかね。
Re:どう活用するのか全体が見えない (スコア:1)
個々の試験問題作成委員(ゆえに受験資格のない人)と遊びや仕事で付き合ってみると予想してのに反して専門分野では十分にバランスの取れた考え方のまともな人物だったりするんだけど、情報処理技術者認定試験云々という枠組が求める制約がアレなわけで。
// 過去に一人飲み食いする機会があった。
そーゆーのをひっくるめるとIPAひいては経済産業省の意図、ちうことになるのだろうなあ。
Re: (スコア:0)
場所にもよると思うけどなぁ。
技術力はあるけど「会社に資格手当とかないし、自腹でいちいち試験受けたりせんわ」って人は結構居る。
(でも基本情報とか持ってないと入札時の足切り云々で揉めるので嫌々取ってたりする)
逆にどんな資格持ってる人なら謎仕様書を作らないんだろう?
# 資格試験は一定の知識なり技能なりを証明するものだが、資格不所持が知識や技能を持っていないことを証明するものではない
生き残り (スコア:3)
そうしないと受験者がいなくなってしまうというのも事実で、
IPAの生き残り策じゃないの
と穿ってみたくなる。
Re:生き残り (スコア:2)
既に受験者が減っているのでは?
試験の価値が無いと見なされたか、情報処理技術に関する関心が薄れたか?
多分、後者。4万人のボランティアなんて言う人もいるようですが、
それほど、重要ではないんだろうな、と。
立ち位置の違いかな? (スコア:1)
Re:立ち位置の違いかな? (スコア:1)
ストーリーで紹介されているリンク先 [ipa.go.jp]の下記を読む範囲において、情報セキュリティスペシャリストについてはなんら言及していない点ははっきり言える。されどそれすらもどうあれ、いかようにも解釈可能な中立で透き通ったお役所文書なので始末に困る…:
機密情報を守り、ITの安全な利活用を推進する、情報管理の要となる存在が、強く必要とされています!―情報セキュリティマネジメント試験
情報セキュリティマネジメント試験は、情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。〈共通キャリア・スキルフレームワーク(CCSF)レベル2相当〉
部門全体の情報セキュリティ意識を高め、組織における情報漏えいリスクを低減する!
万が一トラブルが発生しても、適切な事後対応によって、被害を最小限に食い止める!
情報セキュリティを確保することで、より安全で積極的なIT利活用を実現する!
このような組織作りに欠かせない情報セキュリティマネジメント人材は、業種、職種を問わず、また、営業・企画・製造・総務・人事・経理などの部門を問わず、多くの現場で強く必要とされています。
Re: (スコア:0)
情報セキュリティスペシャリストは作る人。
情報セキュリティマネジメントは使う人。
Re: (スコア:0)
情報セキュリティスペシャリストは作る人
情報セキュリティマネジメントは食べる人
#中止させられるかも。
一受験生の場合 (スコア:1)
自分の日記にも書いたとおり、この秋の情報セキュリティスペシャリスト試験を受けました。
日記では力試し(が目的である)と書きましたが、もう少し言葉を変えて説明すると、自分の実力を上回るような課題を自分に対して与えるという、自己研鑽の意味で試験を受けました。
勉強してみると、セキュリティに関する自分の知識が興味があって調べた分野に偏っていたことがわかってよかったと思いました。
情報セキュリティマネジメント試験は、私個人としては物足りないので受験するつもりはありません。
筆記だけじゃ意味ない (スコア:0)
テストには実技を入れるべき。でないと、現状の問題は改善されないでしょう。
Re:筆記だけじゃ意味ない (スコア:1)
技術の試験じゃないようですが。マネジメントなので。
Re: (スコア:0)
マネジメントに実技があっても良いのでは?
概念的なものは暗記が必要ですが、それ以外はチートシートを見ながら実技で良いような…。
Re:筆記だけじゃ意味ない (スコア:1)
公表されている現時点のシラバスを斜め読みする限り実技は問うていないですが
マネージの濃さはいまひとつなのでは?端的に言えば微温的。
それはそうとITパスポート試験並みに多岐にわたる出題範囲が前提なので
想定対象の受験者には難しい試験扱いされそうな気配はありますね。
その割りに合格点をはじき出しても見返りが少なそうな印象が否定できない。
ユーザ日記にコメントした [srad.jp]通り、独占資格化するのでもなければ見捨てられるかもよ?
なんだ下位互換か…… (スコア:0)
情セキュからPMSとかISMSだけを抜粋したものかと期待したのに。
情セキュってDBとか通信方式とか、
実務で何の役にも立たない問題ばかりでてくるから、
自分にとっては受験する意味がないんよね……
Re: (スコア:0)
情報セキュリティに限らず、DBやNWも実務には役に立ちませんよ。
情報セキュリティは、「パスワードはBASE64で暗号化して保存してます」とか言い出す人が減るので効果はあるかと。
# 昔とあるプロジェクトにサポートに行ったときに、プロジェクトの人が本当にそういう事言ってたんですよ
# そしてその場に10人以上いたのに誰一人突っ込まなかったのがびっくり
Re: (スコア:0)
そこまで酷いところは少ないにしても、パスワードを未だSHA-1+saltで保存しているところは多いでしょうねぇ (「SHA-1+salt」はパスワードに十分だと思いますか? [f-secure.jp])。
さらに今はscryptにすら弱さが発見していて、新たにLyra2が提案されている状態 [iacr.org]なわけですが、暗号通貨を追ってない人がどこまでLyra2を知っているのだろうか…。
Re: (スコア:0)
資格を取っていない奴に実務で役立ちませんよってしたり顔で言われても困るSEも結構多いが...
役に立つかどうかではなく、
ORACLEだけは得意だけど、世間一般ではなんて言っているのかも分からないDB技術者とか、
ウィルスって言葉だけ知っていてFWでなんでも対策できると思っているネットワークエンジニアとか、
資格以前にお前が役立たないって人に限って、「実務で...」って言うんだよね。
確かにオタクには役立たないでしょうねェ。
Re: (スコア:0)
資格を取っていない奴に実務で役立ちませんよってしたり顔で言われても困るSEも結構多いが...
ブラックジャックに「資格なんて意味無い」と言われて困る医者はいないと思うよ。
困る官僚はいてもw
それはともかく、本質は資格の有無じゃなくて経歴やスキル・人柄だと思う。
どんな炎上案件でも数日で火消しできるような技術者であれば、「資格なんて業務の
役に立たない」と言っても誰も文句を言わないと思う。
Re: (スコア:0)
そりゃ、机上の空論で、炎上案件でも数日で火消しできるようなプロなら、5000円程度払って一日使う程度で、飾りとして当たり前のように資格は持ってます。
ついでに、資格持ってない→そいつはブラックジャック級であるはなりたたないし、資格持ってる→ブラックジャック級ではありえないは成り立たないからね。
>炎上案件でも数日で火消しできる
ってところがリアリティがない。社会に出てきてからまた来なさい。
実務で役のたたない試験という人間は、知識を役にたてる方法を知らないか、実務に対して作業以上の認識を持ってないからそんな先入観を持っている。
Re:なんだ下位互換か…… (スコア:1)
>炎上案件でも数日で火消しできるようなプロ
それってやってる事は破壊消防なんじゃなかろうか。
仕事(案件)自体を無くしてしまうという。
#存在自体がホラー
Re: (スコア:0)
「学校で習った知識なんて社会では役に立たない」とか言ってる人に限って、
習った知識で解決できるはずの事が解決できなかったり。
理解が伴わないとか、応用力がないとか、そういう感じなのかな。
Re: (スコア:0)
うん、DBとか、正規化って何ですかおいしいの?レベルのど素人が設計してる例が多々あって困ること多すぎ。
モデリングのレベルでいい加減だと後の工程すごい苦労するんで、多少なりとも勉強した人を当ててほしいわ。そういう意味で、足きりには非常に役立つ。
どんな知識も、知ってて取捨選択して無視するのと、知らんで適当にやるのは、やってることは同じに見えるかもしれんけど全然違うんだよ!
# DBとNWとセキュアド持ちなのでAC。これだけ持ってれば資格なんて重要じゃありませんよと言っても怒られないはず。
Re: (スコア:0)
オラクルに拘るとこで正規化してたとこ&できる人に会ったこと無いんだよなあ。。
やってたとこは、規模、環境、要求次第でDBを変えればいいというとこ。
Re:なんだ下位互換か…… (スコア:1)
Oracle社以外のRDBMSを利用できる機会が減少しつつあるので……
# まあ、Symfoware とか使うところは見たことありますが。
Re: (スコア:0)
> ORACLEだけは得意だけど、世間一般ではなんて言っているのかも分からないDB技術者とか、
うん、君が何を言っているのかわからない。
ORACLE方言のSQLだけで会話してるようなDB技術者ってこと?
> ウィルスって言葉だけ知っていてFWでなんでも対策できると思っているネットワークエンジニアとか、
FWってなんでしょう?
FirmWare? ForWard? FrameWork?
ウィルスって言葉だけ知っていてFirewallで何でも対策できると思っている大臣はいたけど。
結局アメリカに盗聴されて交渉戦略がバレバレの状態なのにTPP交渉に当たって大筋合意したって喜んでたなー。
Re: (スコア:0)
よく分かってないなら突っ込み入れなくてもいいよ。
> ORACLE方言のSQLだけで会話してるようなDB技術者ってこと?
SQLの方言しかDB特化したノウハウが存在しないと思ってる奴も大概。
> FWってなんでしょう?
それぞれの言葉を知ってればどれを想定した誤解で有るかも(ほぼ)自明で拘る場所ではない。
それ以前に、場合によってはそこすら曖昧な奴が宣う台詞でしょう、それ。
> 結局アメリカに盗聴されて交渉戦略がバレバレの状態なのにTPP交渉に当たって大筋合意したって喜んでたなー。
その二点は別に矛盾しないと思いますが?
何がしたいのかわからない。 (スコア:0)
昔:SU と SV に分かれていた
数年前:SU を廃止して SV に一本化したような SC に再構成
今:SU のようなものを復活
Re:何がしたいのかわからない。 (スコア:1)
難度から言ってセキュリティがITにおける基礎になったことを反映している感はあるかなーと。ただ、基礎と認識されたばかりで、まだまだ旗を振る人が必要。ってところでは。
SUってSCより合格率低いほどでしたから、延長線上にあるものだとしても、位置づけとしては全く別物ですよね。
Re:何がしたいのかわからない。 (スコア:1)
でも、情報漏洩が起きるのは業務の前線なので、そういうところで監督する人を対象に考えているのかもしれません。
まあ、セキュリティに限らず情報処理に関するスキルは、もっと普及させないといけないですよね。アプリケーションの使い分け、データの再利用を前提にした文書の作成や管理の技法とか一般化するだけで、かなり効率は良くなると思いますよ。
Re:何がしたいのかわからない。 (スコア:1)
出題範囲が狭い分FEよりも簡単。午前午後各6割で合格できるので、インシデントレスポンスの知識皆無でも合格可能。
Re: (スコア:0)
一番最初に SS がありました。
マイナンバーが流出したら (スコア:0)
マイナンバーが流出したら
一応有資格者に管理させてましたと言い訳するためのものだろ?
それでも流出させたんだから国の責任は?って聞きたくなるけど
結局誰も責任取らないだろ?
責任を明確化させるのではなく
誰も責任を取らなくて済むシステム
原発みてればわかるだろ?
「規制基準の審査であって、安全だとは言わない」
はある意味歴史に残る名言
Re: (スコア:0)
マイナンバーが流出しても困ることないんじゃない?
SSNじゃないんだから。
システム監査技術者 (スコア:0)
大手監査法人の募集とかでも、驚くほど待遇低いんだよね。
普通のPG/SEの職探す方がマシ。
なにはともあれ受験するよ、来春 (スコア:0)
情報処理技術者試験の有用性には賛否あるけど、
とりあえず新しい区分が出来るんだし、受験はするよ。
自分の興味のある分野とか自社内の方言に自分の知識や
話し言葉、書き言葉が偏ってしまうことを緩和してくれるし
「日本の情報処理業界の標準語」を理解するのは役立つことも
あると考えてるし。
受けようかなあ (スコア:2)
最近は申し込んでも寝坊で放棄したりとろくなことないけど、セキュリティかつ新規のネタだから受けてみるのもいいかな?
#最後のペーパテストIP持ち。いちおうSSも持ってるけど役に立つ場面は皆無だった
Re: (スコア:0)
> 「日本の情報処理業界の標準語」を理解するのは役立つこともある
実際のところ、これが一番重要では無いでしょうか。
「他人に対してなんと説明するか」は、どこで何をしていても悩むところで、
「少なくとも共通言語が存在する」「共通言語を解する人が増える」のは悪いことでは無いはずです。
#英語ネイティブとぺらぺら会話出来なくても、英文斜め読みが出来ればひとまず良い、とか。
実務に関していえば、ぶっちゃけ、どこ行ってもローカル言語しか使わんという事情もあるし……
Re: (スコア:0)
それはいい考えだと思う。
自分も若くてやる気があったころは上級資格はみんな取った。
27歳だったかの縛りがあるやつはその歳になる前に
やる気が失せたのでそのままだけど、それでもそのころの貯金で
40になった今でも苦労せずに給料もらえてる。
毎月開催して (スコア:0)
分野を細分化したり、素人管理職向けの試験を追加するのもいいけれど、
必要なのは他の試験のように毎月開催してくれってこと。
春と秋の年二回や一回だと受験しにくいよね。
秋だと子供の運動会とかちあったり、春や秋はIT業界では忙しい時期
でもある。
これに受かったら午前I免除 (スコア:0)
にして欲しい。
大体IPAの試験は郊外でするから、朝早いのは辛いし、
午前Iの内容は紛らわしい上にあまり使わない用語を覚えたり
モチベーションが落ちる。例:デュアルvsデュプレックス・・・
情報セキュリティアドミニストレータ (スコア:0)
なんてのもあったな・・・
更新制のSCが新設 (スコア:0)
されるって話は結局どうなったんだろ?
# 情報セキュリティマネジメントって「SM」じゃん!
# なんでSG?と思ったら、「ITサービスマネージャ試験」がSMなのねん。
Re:更新制のSCが新設 (スコア:1)
http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/pdf/006_s01_00.pdf