パスワードを忘れた? アカウント作成
12765831 story
政府

改正サイバー法により、新たな国家資格「情報処理安全確保支援士」設置へ 74

ストーリー by headless
新設 部門より
あるAnonymous Coward 曰く、

「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が4月15日に成立し、新たなサイバーセキュリティ人材の国家資格「情報処理安全確保支援士」が設置されることになった(経済産業省のニュースリリースITproの記事)。

情報処理安全確保支援士は情報セキュリティスペシャリスト(SC)とは異なり、合格後は登録や定期的な講習の受講が義務付けられ、守秘義務も課せられる。講習を受講しなかった場合や信用失墜行為があった場合には登録の取消や名称の使用停止といった措置が取られるほか、守秘義務違反に対する罰則もある。

一方、SCは支援士に置き換えられる形となる。2017年度よりSC試験は廃止され、情報処理技術者試験と同日に支援士の試験が行われるようになるという。試験内容も現行のSC試験をベースにしたものとなり、既存のSC試験合格者(旧セキュアドやTEも含む)は支援士試験を免除されるとのこと。

改正法では日本年金機構での情報流出事案を踏まえ、これまで行政機関のみに限られていた内閣サイバーセキュリティセンター(NISC) によるセキュリティ評価・監査を独立行政法人や特殊法人にまで拡大する既定が盛り込まれている。業務拡大に伴い、一部の事務作業はIPAへ委託可能になるとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Technobose (6861) on 2016年04月30日 15時42分 (#3005933) 日記
     経産省で情報処理技術者試験をやって、国が求めるスキルを持った技術者の認定をしているけど、肝心の公的部門ではほとんど顧みられてないよね。
     公的部門こそ、情報管理部門に配置する人材のスキルを国家試験で認定すべきなのに、入札の際の応募資格にしか使ってないところが大半。入札資格とか見るときあるけど、本当に規格や試験の意味がわかって書いているのか不安になるものも時々あるし。
     今回の認定だって、本来、情報セキュリティポリシーの策定とかで発注者側にも配置する必要があるのに、「名簿を見て探せる」とかいってるあたりでずれてる。発注者の側にも、それなりの人材がいて組織としてセキュリティ対策を考えられるんだけど、マンパワーや最先端の情報を追いかけられる体力が無いから、部分的に外注するというのが、あるべき姿でないかしら。
     で、国を挙げて情報セキュリティ対策が必要です、とか、情報化戦略を立てる必要があります、というなら、まず公的部門で、そういう体制を義務化しないと、一般人には必要性が伝わらないと思うんだ。
     なので、資格を作るなら、それの活用体制も作れと言いたいですね。
    • by Anonymous Coward

      最後の文章の拡大適用対象の機関に居るけど、結構必死に資格保持者かき集めたみたいだよ。
      なので活用体制はあるよ。お役人様のタマヨケでよければ。

    • by Anonymous Coward

      入札の資格要件なんて既存ベンダーがよそを足切りするために
      入れたりするものだから元々意味なんてないんじゃ?
      セキュリティに限らず、ベンダー系資格なんてまさにそれ。

      応札資格満たすための名前の貸し借りなんてしょっちゅうじゃん。
      体制表に名前載ってても見たことない人とか普通にいるし。

  • by Anonymous Coward on 2016年04月30日 15時54分 (#3005941)

    > 情報処理安全確保支援士の登録情報をHP等で公開

    それ公開したらヤバくない?
    機密情報管理してるのだろう?

    ・名前語った詐欺
    ・攻撃者に狙われる

    • by Anonymous Coward

      おう!オレオレ!
      麻生太郎だよ!
      政治資金振り込みまだなんだけど、早急に振り込んでくれない?

    • by Anonymous Coward

      医師等資格確認検索 [mhlw.go.jp]の情報処理資格版だと思う。
      資格がないのに資格があると名乗るのを防止できるので、悪いことばかりでもない。

      • オフトピだが、医師・男性で

        山中 伸弥

        がヒットしなかったことにちょっと感動した。

        親コメント
        • by Anonymous Coward

          昔は
          石井 四朗
          もヒットしたんだけどねえ。
          システム改修時に医籍(歯科医籍)のうち、2年に1度の医師及び歯科医師の届出がある者だけ表示されるようになったらしい。

      • by Anonymous Coward

        資格を証明するだけなら、公開鍵のみを登録すれば良いだけじゃ…?

    • by Anonymous Coward

      家族を人質にとられて情報盗み出すよう強要されたり・・・

    • by Anonymous Coward

      > 情報処理安全確保支援士の登録情報をHP等で公開

      それ公開したらヤバくない?

      言いたいことはわかるが、過剰すぎます。

      通信事業者の公開とか
      事業主の公開とか
      責任者の公開とか
      普通にあるので。

      • by Anonymous Coward on 2016年05月02日 9時35分 (#3006481)

        ほかの国家資格と比べて、職務内容を考えればわかることですが、過剰反応ではないでしょう。
        たとえば警察官の名簿が誰でも検索できると問題であるのと同じと思えばわかりますよね。

        そういう登録情報自体が悪用されるケースを想定して安全確保を支援するような人たちの情報を登録するんですから、「それ変だろ」って指摘を受けるわけで。
        免許証みたいな資格証を発行したり、登録コードと氏名の組み合わせで確認できるようにするなどの仕組みが必要なんじゃないでしょうか。

        親コメント
  • 守秘義務違反 (スコア:1, 参考になる)

    by Anonymous Coward on 2016年04月30日 16時21分 (#3005954)

    > 情報処理安全確保支援士は情報セキュリティスペシャリスト(SC)とは異なり、
    > 合格後は登録や定期的な講習の受講が義務付けられ、守秘義務も課せられる。
    守秘義務は情報処理安全確保支援士にかかわらず(とは別に)必要なんじゃないんですかね?
    この文章をまま従うと情報セキュリティスペシャリスト(SC)には守秘義務は課さないとも取れる。

    >講習を受講しなかった場合や信用失墜行為があった場合には
    >登録の取消や名称の使用停止といった措置が取られるほか、
    これは理解できますが、
    >守秘義務違反に対する罰則もある。
    講習を受講しなかった場合や信用失墜行為があった場合に守秘義務違反に対する罰則がある意味がわからない。

    タレコミ [security.srad.jp]を読んだらそうは書いていなかったので頭無し語録なんだね。

    • 情報セキュリティスペシャリストとして活動する上で、守秘義務は(守秘義務に関する契約が別途なければ)ないかと。
      一方、情報処理安全確保支援士として活動する場合は守秘義務が生じますよってことでは。

      親コメント
  • by Anonymous Coward on 2016年04月30日 17時25分 (#3005972)

    「スペシャリスト」だと資格名でなくても用いる事が多いので、「士」で資格らしくしたのは理解できるのだが
    なぜ「支援士」という呼称にしたのだろう。
    子ども、老人、ホームレスの支援士など、医療・福祉関係が多いみたいだが。

    つまりこれはボランティアで働けという意味だな。

    • by Anonymous Coward

      「スペシャリスト」だと資格名でなくても用いる事が多いので、「士」で資格らしくしたのは理解できるのだが
      なぜ「支援士」という呼称にしたのだろう。

      ISMSなどにも書かれてるように、情報セキュリティについて責任を持つのはあくまで経営者なので。

      「支援士」という命名がよくないというのは同意するけど。

  • こんなもの作って何か意味があるのかなあ。

    相変わらず技術力の認定だけならいらない。

    システムに対して医者やパイロット並みの裁量と責任がある資格ならいいけど、
    官公庁入札の時のアレを何人用意しろってやつにしか思えない。

    • by Anonymous Coward on 2016年04月30日 15時50分 (#3005939)

      裁量はどうでもいいけど、責任があるなら拒否権をくれ。
      民主的に多数決でグダグダな運用なんてやってるからいつまで経っても事故減らないんだよ
      #これ以上具体的なことはかけない。

      親コメント
      • by Anonymous Coward on 2016年04月30日 16時04分 (#3005948)

        同じく。

        ついでに言うなら、以前コンサルした企業で(前者と後者は別企業だけど)「ウィルス対策ソフトの導入をしていない(ので導入を提言)」「社員メールの一元管理(恐ろしいことに社員個人がそれぞれYahoo!メールやGmailを取得して業務で使用)」を提言したところ、コストで門前払いを喰らった。

        そしてどっちもセキュリティ事故を起こしてから「お前らのコンサルが役に立たなかった、責任とれ」と言ってきた。もちろん議事録はしっかり取ってあったのでそれを盾にお引き取りいただいたのだけど、裁判寸前まで行ったりして割と大変だった記憶しかない。

        で、たとえば社労士してる知人がいるけど、ある社長が就業規則の酷い改変を提言してきたらしい。具体的には「有給を取るなら1ヶ月以上前に申請しろ、しない場合は有給をとった日の給与を半額にする」というもの。
        当然その知人は「それは法に触れるから駄目だ」と何度も説得したけど聞かず、挙げ句の果てに勝手に規則の改変をした挙げ句、従業員との裁判沙汰になったんだと。(労基署への規則変更の届けもしてなかったんだとか)
        その社労士の知人はといえば、脇が甘いといえばそうなのかもしれないけど、その社長と一緒に訴えられてる。どうなるんだろうね。

        ことセキュリティ云々に限った話じゃないけど、士業にして責任を負わせるなら、逆に士業に従事してる側からのアドバイスや指示に従わない奴に対してある程度の強権なり罰則なりを発動できるようにしてくれないと、暴走した顧客のせいで士業に従事してる側が巻き込まれるだけになって不公平だと思う。

        親コメント
        • by Anonymous Coward

          その社労士勘違いしてる。
          社長は何かあった時の身代わりとして金払ってるんだよ。

      • by Anonymous Coward

        > 裁量はどうでもいいけど、責任があるなら拒否権をくれ。

        元コメだけど、医者やパイロットとみたいにと書いたのはそこら辺も含めたつもりなんだ。
        雇い主や公権力などあらゆる方面からの無茶な要求を拒否して独断でシステムの運用を止めたり、
        場合によっては逮捕権を行使できたり、クラッカーを切り刻んだりという感じ。

        もちろんそれに見合うギャラも必要だね。

        • by Anonymous Coward
          巫女の資格取ってシステム落とせばいいよきっと
        • by Anonymous Coward

          医者やパイロットどころか、タクシーの運転手にだって法令を守らない客をその場で降ろす権利はあるよ。
          #もちろん、そこまでの運賃はいただきます。

          片や情報システムはほぼ全部任意で、どんなシステムにするかは客の自由なのよ。
          で、支援士とかには責任はある?それはやってられんだろ。
          まず、情報システムはこうこうでなければいけない、というのが法制化されるべきなんだろうけど、
          それは時間かかるし、時代遅れになる危険もあるし、いいか悪いか自分には判定しかねる。

          でも、危ないけどこれでいく、とか言い出す客と絶縁してもそこまでの報酬はもらえないとね。
          #そんなのいねーだろ、というかもしれないが、公的機関では脆弱性診断で危険と出てもサイト動かし続けることはよくある。

    • 天下り先の確保に決まっているでしょう。

      情報処理技術者は資格を取ってしまうとそれきりだけど
      毎年講習とか義務付ければ定常的に収入が得られますから、
      メシの種に困らないわけですよ。
      親コメント
    • >システムに対して医者やパイロット並みの裁量と責任がある資格ならいいけど、
      給料モナー

      金が無いからオリンピックのセキュリティ技術者はボランティアで働けとか宣うウツクシイ國だもの。

      あれ、関連リンクにこれがないぞ。
      「五輪のセキュリティ対策をボランティアでやってくれるエンジニアが不足中」 http://security.srad.jp/story/15/10/12/064233/ [security.srad.jp]

      親コメント
      • by Anonymous Coward

        みんな硬いこというけどな、
        医者やパイロット並みにモテるなら資格をとるにゃん…

    • by Anonymous Coward

      >講習を受講しなかった場合や信用失墜行為があった場合には登録の取消や名称の使用停止といった措置
      医者もこれやればいいのにねー。(医療講習という形骸化したものになりそうだけど。)
      庶民としては、この支援士になる事で幸せになれるかどうかだけなんですがね。

    • by Anonymous Coward

      セキュリティ確保の支援はするが、
      確保そのものはしないということでは。

  • by Anonymous Coward on 2016年04月30日 15時54分 (#3005942)

    で、どんな業務独占ができるようになるのかな?
    名ばかり資格増やしても、収入に繋がらないとさ。
    ささやかでもいいからこの資格所有者がいなければできない業務を作って欲しいな。

    例えばデータベースに個人名を保有する場合には有資格者が必要とかさ。範囲でかいかw

    • by Anonymous Coward on 2016年04月30日 16時03分 (#3005947)

      「サーバn台につき、1人の資格者を生け贄に捧げなければならない」
      とか?
      権限無し、予算無し、理解無し、
      責任有り、の職場だと冗談にならないんだが。

      親コメント
    • ザッと発表を読んだ限りじゃ、業務独占の可能性は薄そうに感じたんだけど...。誰が嬉しいんだろう、これ...。
      そんなんでも登録する人が出るとすれば、上の方で書かれているとおり、入札条件とかかねぇ。例にもなってるし。

      親コメント
    • by Anonymous Coward

      ???「ワシの老後が独占(保障)されるで!」

    • by Anonymous Coward

      いいこと思いついた
      国・地方関係なく議員に立候補する条件にしようぜ
      情報処理安全確保支援士を取得してるって事を

      この程度のセキュリティ常識もない奴が政治屋名乗るとかあり得んだろ

  • by Anonymous Coward on 2016年04月30日 16時52分 (#3005965)

    資格利権ってのかな、認定資格が出来るとなると、それを認める為の協会や団体が出来る。
    天下り先といってもいいし、利権団体と言い換えてもいい。
    また、その資格を取らせるための「参考書」を刊行すればその出版社も儲かる。

    いつまでこんなことやってんの?

    • by Anonymous Coward

      保険会社中心の協会を作て検査・査定官の業務を行い
      前出の官から派生させてアドバイザやコンサル業を肉付けしていくのが正しい在り方だと思うんだよね

  • by Anonymous Coward on 2016年04月30日 20時58分 (#3006029)

    名称独占資格を増やしたところで業務が重複してグチャグチャになるだけ。
    情報工学部門の技術士に独占業務として提供したほうが効率的だよ。

    しかも、いきなり68,000人(重複合格者含む)も士業登録者が増えるって・・・
    登録免許税(3万円くらい?)や年会費(2万円くらい?)だけで巨額の収入が
    見込めそうですね! >お役所様

    • by Anonymous Coward

      SC試験の代わりなのにセキュアドの合格者も含めるのが良く分らない。
      試験のレベル違うじゃん~と思ったら登録者を増やすためか。せこいなぁ…

      • 合格率から見ると、確かにSCよりセキュリティアドミニストレータの方がレベル高かったですな...。

        親コメント
      • by Anonymous Coward

        セキュアド持ちの自分にとっては、今回の措置で試験を受けずに最新資格にアップグレード…なので美味しい部分もあるんですが、義務となる定期講習やらの費用や時間やらが気になるところ。
        セキュリティ関係の仕事してるわけでも何でもないから、講習代に年間1万円とか言われたら登録しないなぁ。

        • by Anonymous Coward

          セキュアド持ってても現状では殆どペイには反映されて無かったからな~。
          キャリアパスの明確化は自体は良い事と思うよ。
          でもって、政府系の調達条件に本気で有資格者数を記載してくれるなら、ジョブチェンジ!!(マジで狙ってみようかね)
          まあ、確かに講習会の費用がいくらになるかは気になりますな。

  • by Anonymous Coward on 2016年05月01日 9時53分 (#3006146)

    資格は就職か転職時の見栄えにしかならないですし。
    既存のもITスキルない人(センスがない)が持ってて意味分からんかった。
    管理職向け?

  • by Anonymous Coward on 2016年05月01日 10時56分 (#3006157)

    一応情報セキュリティスペシャリスト(SC)は持ってるけど、まるで使ってなかった。
    取れそうだから取っただけで、給料が高くなるとかの意味は全くなかった。

    今回「安全確保支援士」も取っても、良くなりそうに見えないのだけど、、
    税金の無駄遣い、、とまではいかないけど、、な感じ。

    少なくともSCとは、全く異なるものと考えた方がよさそうだし。。
    今現在、「安全確保支援士」に近い仕事をしている人はまぁいいのかもしれませんね。

    そういう人が足りないから資格を作るのであれば、
    「安全確保支援士」になりたいと思わせる要素が欲しかった気も。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...