情報処理安全確保支援士

提供: miniwiki
移動先:案内検索


情報処理安全確保支援士(じょうほうしょりあんぜんかくほしえんし、英:Registered Information Security Specialist[1]、略称:RISS)は、サイバーセキュリティ分野の日本国国家資格。有資格者は情報処理安全確保支援士の名称を使用して、政府機関や企業等における情報セキュリティ確保支援を業とする。政府はサイバーセキュリティ戦略本部のサイバーセキュリティ人材育成総合強化方針において、2020年までに3万人超の有資格者の確保を目指すとしている[2]

登録制度を持つ国家資格として情報処理技術者試験制度とは独立した資格であることから高度情報処理技術者試験には含まれないが、情報処理技術者試験制度のスキルレベル4(スキルレベルは1~4が設定されており、高度情報処理技術者試験はいずれもスキルレベル4である)と同等であり、共通キャリア・スキルフレームワークのレベル4(試験で認定される最高レベル)の前提要件とされている[3]

創設の背景

重要インフラ事業者や、国家安全保障にかかわる重要技術を持つ企業へのサイバー攻撃は、ひとたび発生すれば、国民の生命や社会システム全体に甚大な被害が発生する可能性があり、国家として対応を強化すべき課題である[4]。サイバーセキュリティ対策の中核人材の育成、人材の見える化と質の担保の措置として情報処理安全確保支援士制度が新設された。情報処理安全確保支援士は政府機関、情報機関、研究機関等と連携し、組織的サイバー攻撃から日本の重要産業を守る重要インフラ防護の役割が期待されている。

概要

情報処理安全確保支援士(以下、支援士)は情報処理の促進に関する法律により「サイバーセキュリティ基本法に規定するサイバーセキュリティの確保のための取組に関し、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援すること」を業とする、と規定されている。 情報処理安全確保支援士試験に合格した者及びこれと同等以上の能力を有すると認められる者が登録を行うことにより、情報処理安全確保支援士となる。暗号化技術やサイバー攻撃対策といった情報セキュリティの一般知識に加えて、セキュアプログラミング、ネットワークといった要素技術も問われる。試験の水準は高く、情報セキュリティに関する資格試験では国内最難関にあたり、実務経験者であっても合格するのは難しい試験として広く認知されている。

役割モデル

役割モデルはサイバーセキュリティ領域の職種である。出典:IPA https://www.jitec.ipa.go.jp/1_11seido/sc.html

  • セキュリティコンサルタント
  • セキュリティエンジニア

また、2017年4月に発表されたITSS+には、情報処理安全確保支援士に想定する業務が例示された[5]

情報処理安全確保支援士試験

情報処理安全確保支援士試験(じょうほうしょりあんぜんかくほしえんししけん、英:Registered Information Security Specialist Examination、略号:SC)は、情報セキュリティスペシャリスト試験の後継となる試験で情報セキュリティに関する高度な知識・技能(スキルレベル4)を認定する試験である。

SC合格者が情報処理安全確保支援士となるには、情報処理安全確保支援士登録簿に、氏名、生年月日その他経済産業省令で定める事項の登録を受けなければならない[6]。試験及び登録事務は情報処理推進機構[7][8]IT人材育成センター国家資格・試験部が行う。但し取消事務及び命令事務は経済産業大臣が行う[9]

試験科目

情報処理安全確保支援士試験の試験科目は、情報処理の促進に関する法律施行規則では3科目とされているが、実際には専門的能力は午後I試験と午後II試験の2つに分けて行われるため、1日に4コマの試験を受けることになる。

午前I試験
試験時間50分。四肢択一式(マークシート使用)で30問出題され全問解答。情報処理技術者試験制度におけるスキルレベル3に相当する、テクノロジ系、マネジメント系、ストラテジ系の3分野の知識が問われる。なお、試験問題は同時間に開催される高度情報処理技術者試験の午前I試験と共通である。
午前II試験
試験時間40分。四肢択一式(マークシート使用)で25問出題され全問解答。情報セキュリティシステムの開発並びに情報処理システム及びこれを用いる業務におけるセキュリティ管理に関する専門的知識が問われる。
午後I試験
試験時間90分。記述式で中規模の問題が3問出題され、2問を選択して解答。情報セキュリティシステムの開発並びに情報処理システム及びこれを用いる業務におけるセキュリティ管理に関する専門的能力が問われる。
午後II試験
試験時間120分。記述式で事例解析問題が2問出題され、1問を選択して解答。情報セキュリティシステムの開発並びに情報処理システム及びこれを用いる業務におけるセキュリティ管理に関する専門的能力が問われる。

採点は午前Ⅰ試験から順に行われ、不合格科目があった場合は、その時点で採点は中断され不合格となる。

科目免除

全科目免除

情報処理推進機構が行うサイバーセキュリティ対策に資する知識及び技能の講習であって、全科目の合格に必要な知識及び能力を習得できるものとして経済産業大臣が指定したもの(産業サイバーセキュリティセンターが行う中核人材育成プログラム[1])を修了した者は、修了から1年以内に申請することにより、試験の全科目を免除される。

一部科目免除

午前I試験の免除
情報処理安全確保支援士試験、応用情報技術者試験又はいずれかの高度情報処理技術者試験に合格した者、情報処理安全確保支援士試験又はいずれかの高度情報処理技術者試験の午前I試験で基準点以上の成績を得た者は、その後2年間午前I試験が免除される。
午前II試験の免除
経済産業大臣又は情報処理推進機構の認定を受けた大学院大学短期大学を除く)又は高度専門士の称号を授与する専修学校の学科等を卒業した者又は当年度卒業が見込まれる者であって、所定の履修計画を修了した旨の認定を受けた者は、学校から経済産業大臣に修了認定が報告された日(修了や卒業の日ではない)から2年間午前II試験が免除される[10]

経過措置

情報セキュリティスペシャリスト試験」又は「テクニカルエンジニア(情報セキュリティ)試験」の合格者は制度開始から2年間の経過措置期間(2016年10月21日から2018年10月20日まで)は情報処理安全確保支援士試験に合格したものとみなされ、登録が可能である[11][注 1]

認定情報技術者(CITP)

情報処理安全確保支援士試験合格者は従来の情報セキュリティスペシャリスト試験合格者同様、一般社団法人情報処理学会に実務経験の認定を申請することで、民間資格である認定情報技術者(CITP)に認定される。

その他

試験合格者と同等以上の能力を有すると認められる者

警察庁又は都道府県警察でサイバー犯罪の取締りのための情報技術の解析に関する事務に通算2年以上従事した者、自衛隊においてサイバーセキュリティに関する知識及び技能を要する事務に通算2年以上従事した者、内閣官房において内閣の重要施策に関する情報の収集調査に関する事務であってサイバーセキュリティに関する知識及び技能を要する事務[注 2]に通算2年以上従事した者及び情報処理推進機構において情報処理安全確保支援士試験又は情報セキュリティスペシャリスト試験の問題作成に通算2年以上従事した者で、情報処理安全確保支援士の業務を行うのに十分な能力を有すると警察庁長官防衛大臣内閣情報官又は情報処理推進機構理事長が認める者は、経済産業大臣の認定により、試験に合格することなく情報処理安全確保支援士の登録を受けることができる[14]

支援士制度

支援士制度は従来の情報セキュリティスペシャリスト試験を登録・更新制にした資格で、名称の独占使用が認められる一方で、信用失墜行為などがあった場合には登録の取消などの措置が取られる[15]。また業務上守秘義務が課せられており、これに違反した場合は登録取り消し等の処分に加え罰則がある[15]。 資格の維持には、定期的な講習の受講「登録日を起点として1年の間に1回6時間のオンライン学習と、3年に1回6時間の集合講習」が必要である。試験は情報処理推進機構(IPA)にて実施するが、情報処理技術者試験の一区分ではない。また有資格者の登録簿の管理、講習の実施などもIPAの所管となる[15]

英語名・通称名

情報処理安全確保支援士が社会全体で活用され、企業等におけるセキュリティ対策を進めるため、法律上の名称に加え、通称名とロゴマークが設けられている。

  • 法律名:情報処理安全確保支援士
  • 英語名:Registered Information Security Specialist(RISS)
  • 通称名:登録情報セキュリティスペシャリスト(登録セキスペ)

支援士制度の特徴

民間企業等がサイバーセキュリティ対策の指標として、情報処理安全確保支援士を広く活用できるように制度設計が成されている。

  • 情報処理安全確保支援士の名称独占使用
  • 登録簿の整備、公開によるセキュリティ人材の活用
  • 継続的な講習受講義務化、更新制による知識の陳腐化防止
  • 厳格な秘密保持義務、信用失墜行為の禁止義務

名称独占資格

情報処理の促進に関する法律第53条の規定により、情報処理安全確保支援士でないものが情報処理安全確保支援士の名称を使用したり、情報処理安全確保支援士の名称の使用の停止を命ぜられた者で、当該停止を命ぜられた期間中に、情報処理安全確保支援士の名称を使用したものには30万円以下の罰金刑が科される。

情報処理安全確保支援士 登録者の表記例
  • 登録情報セキュリティスペシャリスト(登録番号 xxxxxx)
  • 情報処理安全確保支援士(登録番号 xxxxxx)
情報処理安全確保支援士試験に合格後、未登録の場合
  • 情報セキュリティスペシャリスト
  • 2017年 情報セキュリティスペシャリスト試験 合格
  • 平成29年度春期 情報処理安全確保支援士試験 合格

もっとも、独占とされている名称はあくまでも「情報処理安全確保支援士」であり、「登録情報セキュリティスペシャリスト」や「登録セキスペ」の通称名や英語名、ロゴマークを使用しても、情報処理の促進に関する法律の罰則の対象ではない。一方で、これらを勝手に使用することは合法とは見なされない可能性が高い。ロゴマークについては情報処理推進機構(IPA)の利用規約に準ずる。

講習受講義務

情報処理の促進に関する法律第19条、26条の規定により、情報処理推進機構の行うサイバーセキュリティに関する講習が未受講の場合、資格名称の使用停止又は登録の取消しとなることがある。

講習目的
  • 共通キャリア・スキルフレームワークのレベル4の維持
  • 集合講習におけるグループディスカッションを通じた情報共有や人脈形成の推進
  • 最新のサイバーセキュリティについての知識・技能・倫理の学習

講習内容は知識・技能・倫理の3科目で、常に最新の情報セキュリティを習得できるように毎年内容のメンテナンスが行われる。

  • サイバーセキュリティに関する知識
    攻撃手法及びその技術的対策、情報セキュリティ関連制度等の概要及び動向
  • サイバーセキュリティに関する技能
    脆弱性・脅威の分析、情報セキュリティ機能に関する企画・要件定義・開発・運用・保守、インシデント対応、情報セキュリティ管理支援
  • 情報処理安全確保支援士として遵守すべき倫理
    倫理的責任と義務、法令遵守・契約履行

欠格事由

以下に該当する者は、情報処理安全確保支援士となることができない[16]

  • 成年被後見人又は被保佐人
  • 禁錮以上の刑に処せられ、その執行を終わり、又は執行を受けることがなくなつた日から起算して二年を経過しない者
  • 情報処理の促進に関する法律その他、情報処理に関する法律の規定であつて政令で定めるものにより、罰金の刑に処せられ、その執行を終わり、又は執行を受けることがなくなつた日から起算して二年を経過しない者
  • 登録を取り消され、その取消しの日から起算して二年を経過しない者

沿革

普及策

普及策の検討

  • 産業構造審議会商務流通情報分科会情報経済小委員会試験ワーキンググループにおいて、他士業の事例等を参考に様々な制度普及案が検討する方向性が示された[18]ものの、同ワーキンググループ報告書[15]では具体的な普及策は示されていなかった。

情報セキュリティ関係団体との連携

サイバーセキュリティ経営ガイドラインでの活用

  • 2017年3月28日 経済産業省が策定しているサイバーセキュリティ経営ガイドラインの解説書(サイバーセキュリティ経営ガイドライン解説書)が公開された[20]。解説書の中でサイバーセキュリティ人材の確保・育成において、(ISC)²が運営するCISSPや情報処理安全確保支援士制度の活用が補足されている。

支援士ロゴマーク利用の促進

  • 2017年3月31日 情報処理安全確保支援士のロゴマーク利用方法が公開された。情報処理安全確保支援士(有資格者)本人は登録番号を併記することでロゴマークを使用でき、企業も利用規約に従いIPAに使用申請することでロゴマークを使用できるようになった[21]

登録者情報の公開

  • 2017年4月3日 情報処理推進機構が管理する登録者の情報が公開された[1]。これに伴い情報処理安全確保支援士の企業別登録者の一部が明らかとなり、サイバーセキュリティ人材育成・確保の指標として利用できるようになった。もっとも、技術士[注 3]と異なり勤務先は登録事項でなく自己申告で、公開も任意であり、現実に過半数の登録者は申告または公開しなかったため、あくまで目安でしかない。

情報セキュリティ監査制度

関連資格

日本の情報に関する資格一覧の記事も参照のこと。

関連項目

外部リンク

脚注

  1. 経過措置適用者の申請締切は2018年8月19日となる[12]
  2. 内閣サイバーセキュリティセンターの事務は含まれない[13]
  3. 技術士法第32条第1項により、事務所の名称及び所在地も登録事項とされている。

出典

  1. 1.0 1.1 1.2 国家資格「情報処理安全確保支援士」 - 情報処理推進機構(2017年12月27日閲覧)
  2. サイバーセキュリティ人材育成総合強化方針 - 内閣サイバーセキュリティセンター 2016年3月
  3. 情報処理技術者試験 情報処理安全確保支援士試験 試験要綱 Ver 3.0 (PDF)”. 情報処理推進機構. p. 11 (2016年10月21日). . 2017閲覧.
  4. 今後のサイバーセキュリティ政策について - 経済産業省 2016年3月
  5. ITSS+(プラス)”. 情報処理推進機構 (2017年4月7日). . 2017閲覧.
  6. 情報処理の促進に関する法律(サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律による改正後)第15条
  7. Wikisource-logo.svg 情報処理の促進に関する法律の一部を改正する法律附則第二条第一項の規定に基づき、同法の施行日から独立行政法人情報処理推進機構が改正後の情報処理の促進に関する法律第十条第一項に規定する支援士試験事務を行う旨を告示する件
  8. Wikisource-logo.svg 情報処理の促進に関する法律の一部を改正する法律附則第三条第一項の規定に基づき、同法の施行日から独立行政法人情報処理推進機構が改正後の情報処理の促進に関する法律第二十二条に規定する登録事務を行う旨を告示する件
  9. 情報処理の促進に関する法律(サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律による改正後)第22条
  10. 情報処理の促進に関する法律施行規則第三条第二項第五号に規定する経済産業大臣の認定等について定める告示(平成29年経済産業省第228号)。
  11. プレス発表 登録制の新国家資格“情報処理安全確保支援士(*1)”の登録可能対象者、申請手続き、資格維持の方法などを公表 - 独立行政法人 情報処理推進機構 2016年10月24日 2017年7月7日閲覧
  12. 国家資格「情報処理安全確保支援士」 - 独立行政法人 情報処理推進機構 2017年7月3日更新 2017年7月7日閲覧
  13. 「第一条告示」に対する意見募集の結果一覧(実施期間:2017年6月2日~7月1日)”. 電子政府の総合窓口 (2017年7月7日). . 2017閲覧.
  14. 情報処理の促進に関する施行規則(平成28年経済産業省令第102号)第1条、情報処理の促進に関する法律施行規則第一条に規定する経済産業大臣の認定について定める告示(平成29年経済産業省告示第94号、最終改正平成29年経済産業省第227号)。
  15. 15.0 15.1 15.2 15.3 試験ワーキンググループ中間取りまとめ ~情報処理安全確保支援士制度~ - 経済産業省 産業構造審議会商務流通情報分科会 情報経済小委員会 試験ワーキンググループ・2016年4月27日 (PDF)
  16. サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律(平成28年法律第31号)による情報処理の促進に関する法律改正後の第8条
  17. 国家資格「情報処理安全確保支援士(登録セキスペ)」の初回登録が実施されました~4,172名の登録セキスペが誕生!~ - 経済産業省 2017年4月3日
  18. 情報処理安全確保支援士制度の普及策 - 経済産業省
  19. プレス発表 中小企業や情報セキュリティの関係団体が、中小企業の情報セキュリティ対策普及の加速化に向けた共同宣言を発表 - 情報処理推進機構 2017年2月7日
  20. サイバーセキュリティ経営ガイドライン - 経済産業省 2017年3月28日
  21. 国家資格「情報処理安全確保支援士」 ロゴマーク利用方法 - 情報処理推進機構 2017年3月31日
  22. 情報処理安全確保支援士特例制度 - 特定非営利活動法人 日本セキュリティ監査協会 2017年4月6日