SIerにおける”情報処理安全確保支援士”資格の価値・メリット

高度情報処理技術者試験のうちのひとつである「情報処理安全確保支援士」は、情報セキュリティに関する知識を問う資格試験です。例年、大体18%前後の合格率で推移しており、難易度の高い資格として知られています。

DX(デジタルトランスフォーメーション)の推進が進む中、情報システムの利用においてモバイルやクラウドなどの新しいプラットフォームが増え、情報セキュリティリスクの管理も多様化・複雑化しており、IT人材の不足が叫ばれる中でも、殊に情報セキュリティエンジニアの不足については深刻だと言われています。

では、セキュリティ人材の不足に対応するため、2016年に新設された情報処理安全確保支援士資格は、SIerで働くエンジニアにとってどのような価値を持つのでしょうか。今回の記事では、SIerにおける情報処理安全確保支援士資格の有用性やその実情についてご紹介します。

【目次】

1. 1. 情報処理安全確保支援士のメリット
   2. SIerにおける情報処理安全確保支援士資格の実情
   3. 情報処理安全確保支援士資格を取得すべき人とは
   4. （参考）情報処理安全確保支援士資格とは
   5. （参考）情報処理安全確保支援士の仕事とは

情報処理安全確保支援士のメリット

情報処理技術者試験の中では初の登録制となった情報処理安全確保支援士は、資格取得(合格)と登録(登録セキスペになる)のメリット・デメリットを分けて考えた方が良いでしょうか。

資格取得(合格)のメリット・デメリット

まず、情報処理安全確保支援士を取得するメリットについてお伝えします。ご存じの通り、今や情報システムに関してセキュリティが関係しない分野はありません。従来のように、社内システムのセキュリティについてだけではなく、近年ではIoTやクラウド、ビッグデータの活用など、DX(デジタルトランスフォーメーション)の流れを受け、IT基盤自体も広がりを見せています。

システム開発・保守問わず、ITに関するどの業務を担当する場合であっても、セキュリティに関する知識は必須になっていますので、取得しておいて損はない資格だと言えそうです（そのため、試験を受験し合格することに対して、デメリットは特にないと考えて良いのではないでしょうか）。

登録(登録セキスペになる)のメリット・デメリット

情報処理安全確保支援士として登録を行う場合は注意が必要です。まず、メリットとしては、情報処理安全確保支援士として自身の登録情報が公開されるため、情報セキュリティのスキルを保有していることを外部にアピールできることが挙げられます。

企業にとっては、情報処理安全確保支援士の登録人数が多ければ、自社の情報セキュリティに関するスキルをアピールできることになります。個人にとっても、例えばフリーランスのエンジニアであれば新規案件の受注につなげることができるかもしれませんし、引き抜きなどのチャンスもあるかもしれません。

他には、情報処理安全確保支援士のロゴマークの使用が認められていることでしょうか。名刺などにロゴを印刷することが許可されますが、こちらは特にメリットと感じるエンジニアはあまり多くはない印象です。

対して、登録に関してはデメリットもあります。

それは、登録や保持に費用がかかることです。資格維持には研修の受講も必要となります。受験費用とは別に、登録に2万円ほど、更新維持のために3年間で14万円ほどの研修受講費用がかかります。

もちろん、近年の技術進歩のスピードはめざましいため、セキュリティに関するスキルや知識も日々新しいものにアップデートしていく必要があります。資格維持のために定期的に研修を受講することは、知識や技術を維持するのに効果的でしょう。

しかし、会社の補助があるならまだしも、個人で負担するには金額が大きいでしょうか。

なお、情報処理安全確保支援士として登録しなくとも、資格試験に合格していることで十分スキルの証明にはなります。

会社の負担・補助が期待できるならば登録を検討する価値はありますが、個人で費用負担を行った上で登録を行うほどの価値はないと言えるでしょう。

逆に、特定の組織に所属していないフリーランスエンジニアにとっては、IPAのデータベースに登録されるということは、一種宣伝にもなるため、費用対効果を見極めた上で登録を検討しても良いかと思われます。

SIerにおける情報処理安全確保支援士資格の実情

既に述べている通り、セキュリティ事故やサイバー攻撃への懸念から、どの企業においても情報セキュリティへの関心は高くなっています。そのような情勢の中、SIerにおいても、セキュリティを考慮したシステム構築ができる、つまり情報処理安全確保支援士が開発プロジェクトに参画できることは、開発案件の際クライアント企業に対してアピールポイントになります。そのため、資格取得を推奨しているSIerは比較的多いです。

また、システム開発業務においては、セキュリティについて要件定義フェーズの非機能要件で検討するのが一般的です。しかし、非機能要件は要件漏れが発生しやすいため、セキュリティに関する知見を持つエンジニアがプロジェクトに参画することは、後の不具合やセキュリティ事故を防ぐ有効な手段となるでしょう。

さらに、官公庁案件における入札条件に、情報処理安全確保支援士の数を指定しているプロジェクトも少なくありません。経済産業省が情報処理安全確保支援士資格の取得を推奨しているため、官公庁案件についてはそのような傾向となるのも当然と言えば当然かもしれません。

特に最近では、クラウドサービスの利用が進んでおり、クラウドにデータを保管するケースも増えてきています。自社内の閉じたネットワークで完結するオンプレミス環境とは違い、クラウドは設定を間違えるとインターネットに意図しない情報が公開されたり、サイバー攻撃を受けるリスクも高くなります。

セキュリティに詳しくとも、クラウドに関するセキュリティの知識を持っているエンジニアはまだ少ないため、希少価値が高いです。Slerにおいては、クラウドに関するスキルや資格と情報処理安全確保支援士の資格を組み合わせることで、キャリアアップにつながる可能性が高くなるでしょう。

情報処理安全確保支援士資格を取得すべき人とは

情報処理安全確保支援士資格は、システム関連業務の中でもマネジメント寄りではなく技術寄りの資格です。もちろん、今や情報システムとセキュリティは切り離せない関係となっていますので、IT業界で働く人ならば誰でも取得して良い資格だと思われます。

特に最近では、サイバー攻撃への備えから、事業会社でCSIRTを設置しているケースも多く見られます。SIerというよりも、主にユーザ系企業の情報システム部門ということになりますが、CSIRTのある組織では、情報処理安全確保支援士資格の取得者数の目標を設定している企業も多いため、転職で直接的に資格が威力を発揮する場合もあります。

また、SIerにおいても、近年はWebセキュリティについての関心の高まりから、セキュリティを考慮したシステム構築が求められるため、情報処理安全確保支援士の需要はあります。特に金融業界や医療業界、政府機関のシステム構築を行なっているSIerにその傾向が顕著でしょう。システムアーキテクト資格と合わせて、情報処理安全確保支援士資格を取得するというのは、SEやPGとしてのキャリアにプラスに働くはずです。

他にも、インターネットセキュリティ会社などで、セキュリティコンサルタントやセキュリティエンジニアとしてのキャリアを目指すという道もあります。セキュリティ脆弱性診断やネットワーク診断を事業として行う企業は、今後も需要は見込まれます。

特にそれらのような診断を行う企業の業務はネットワークとの関連が深いため、現在ネットワークエンジニアとして働いている人がセキュリティの知識を身につけ、情報処理安全資格支援士資格を取得すれば鬼に金棒でしょうか。

ネットワークエンジニア・セキュリティエンジニアどちらも専門的な知識が必要であり、希少価値の高い職種です。ネットワークエンジニアからセキュリティエンジニアとしてキャリアチェンジをするというよりも、ネットワーク・セキュリティどちらもできるエンジニアとして守備範囲を広げていけば、引く手数多のエンジニアになれる可能性が高まります。

（参考）情報処理安全確保支援士資格とは

情報処理安全確保支援士資格は、元々、情報処理技術者試験の中で情報セキュリティスペシャリストと呼ばれる試験区分でした。セキュリティ人材の不足を懸念し、2016年に情報処理技術者試験で初めて士業としての登録制度を採用した資格です。資格試験に合格後、申請手続きを行うことで、通称「登録セキスペ」として登録証が発行され、IPAの検索データベースに登録されます。

情報処理安全確保支援士を取得する人物像としては、暗号化技術やサイバー攻撃対策といった情報セキュリティの一般知識に加えて、セキュアプログラミング、ネットワークセキュリティなどの知識を持ち、企業や組織における安全な情報システムの企画・設計・開発・運用を支援する人材が想定されています。

情報処理安全確保支援士は、前身である情報セキュリティスペシャリスト試験と同様、春と秋の2回に実施されており、選択式問題の午前Ⅰ・Ⅱ、記述式問題の午後Ⅰ・Ⅱから成り立っています。プロジェクトマネージャ試験やシステムアーキテクト試験と同じ、ITSSスキルレベル4に対応づけられており、難易度は比較的高めの試験となっています。

同じくセキュリティ分野の情報処理技術者試験には、情報セキュリティマネジメント試験がありますが、こちらはITSSスキルレベル2に対応付けられており、基本情報処理技術者試験と同等のレベル設定です。情報セキュリティマネジメント試験は、SEやPGなどのシステム開発・運用側の担当者を想定しているというよりも、どちらかと言えば情報システムを利用する側(ユーザ側)のセキュリティ知識・スキルを認定するための試験となっています。

ご存じの通り、情報システムを保有している企業ならば、会社規模や利用者数に関わらずサイバー攻撃や情報漏洩などのセキュリティリスクに備えなければなりません。また、システム開発を行う側もセキュリティを考慮した情報システム構築を行なっていく必要があります。そのため、今や業種・職種を問わず、広い分野で求められている知識・スキルに関する資格試験と言えるでしょうか。

（参考）情報処理安全確保支援士の仕事とは

情報処理安全確保支援士資格の保持者が担当する業務はどのようなものになるのでしょうか。

情報システムにおいて、セキュリティはどのような領域にも関わってきますので一概には言えませんが、まず想定されるのが、いわゆるセキュリティエンジニアの業務です。

自社の情報システムにおいて、マルウェア感染、不正アクセス、情報流出の疑い、サイバー攻撃などのセキュリティ事故が発生した際に、その発生原因を突き止め、暫定的な対応を行うことによって被害を最小限に食い止めます。その後、根本原因について調査を行い、再発防止のための対応を行います。

また、そもそもセキュリティ事故が発生しないようにする事前の対策が必要です。情報システム単体の観点から見れば、設計段階でセキュリティを考慮したシステム構成となっていることを確認しなければなりませんし、製造段階ではセキュアなプログラミングがされているかを確認しなければなりません。

テスト工程では、システムの重要度に応じて外部業者に依頼してセキュリティ診断を行うケースもあります。システム構築時に、情報セキュリティ上の脆弱性がないかどうかを確認するのもセキュリティエンジニアとしての重要な業務です。

システム全体の観点から見れば、外部から侵入を許可するようなネットワーク設定となっていないか確認が必要ですし、セキュリティ事故発生時の連絡体制や対応方法をあらかじめ決めておく必要があります。情報システムを使う側のユーザ向けには、情報セキュリティに関する研修や啓発、標的型メール訓練などの企画もしておくべきでしょう。

他にも、情報セキュリティ方針及び情報セキュリティ諸規程(事業継続計画に関する規程を含む組織内諸規程)の整備も業務に含まれる場合もあります。

これらのように、セキュリティエンジニアの業務は、予防措置としてのセキュリティ対応の企画・実施と、セキュリティ事故発生時の対応の両面から実施されます。

最近では、社内にCSIRT(Computer Security Incident Response Team)と呼ばれるセキュリティ専門チームを組織する企業も増えており、これらはまさにセキュリティエンジニア・情報処理安全確保支援士が担当するべき業務と言えます。

=================

＞エンジニアのキャリアに関する記事

AWSソリューションアーキテクト資格を取得したエンジニアのキャリアパス【転職事例含む】
https://www.axc.ne.jp/media/careertips/awscareerpath

【SIer SE・PM向け】情シスやDX推進部へ転職後、実際に求められる『スキル・知識』とは
https://www.axc.ne.jp/careertips/2020/0115/23780.html

=================

今回の記事では、SIerにおける情報処理安全確保支援士資格の有用性やその実情についてご紹介しました。

キャリアでお悩みの方は、ぜひ一度アクシスコンサルティングにご相談ください。