Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

日本はセキュリティの専門家を6割以上失ったのか?

ZDNetで情報セキュリティ国家資格「情報処理安全確保支援士」が1.7万人を超える見込みと報じていました。

japan.zdnet.com

 

◆キタきつねの所感

9月4日のIPA資料を見ると、新制度の情報セキュリティスペシャリスト(SC)合格者の累計が、2.7万人であるようです。このデータからだと62%が登録をした事になりますが、実際には旧制度の経過措置対象者8215人が登録申請しているとありますので、新制度(H21年春以降)の対象者で見ると

 
 
  • 9,181人/27,106人 (約33%)

にしか過ぎません。記事を見るとかなり多くの方が登録したように見えますが・・・

実際のところは、3人に2人が切替登録をしなかった、というのが正しい見方な気がします。

 

こうした傾向はずいぶん前から懸念されていました。

tech.nikkeibp.co.jp

SC試験自体は、かなり難しい試験だと思うのですが、資格維持のためには、3年間で約15万円(オンライン講習2万/年+集合研修/3年毎)程度かかる、となると企業のサポート(補助)が重要です。学生やご年配の企業を退職された方であれば少しためらう金額ですし、企業でも現在セキュリティにあまり関係の無いお仕事をしている場合、個人で負担する額としてはやはり気になるのではないでしょか。

金銭的負担以外でも

 富士通は「現段階では、社員に対して登録を推奨しない」という立場を取る。ビジネス的なメリットが見えないことに加えて、「本制度は登録することにより、情報を漏えいした場合に本人に刑事罰が科せられる場合によっては本人への不利益、リスクとなることから、一旦登録することも推奨できない事情もある」としている。

 刑事罰については、情報処理安全確保支援士の根拠となっている「情報処理の促進に関する法律施行令の一部を改正する政令」で定められている。業務で知り得た秘密を漏らしたり盗用した場合は、情報処理安全確保支援士に対して「一年以下の懲役又は五十万円以下の罰金に処する」としている。また、情報処理安全確保支援士でなくなった後も同様としている。

(日経XTECH記事より引用)

今まで無かった刑事罰のリスクも影響している可能性があるようです。

 

個人資格なので継続するかどうかは個人の判断に任せるという企業が多いようですが、その消極的サポート姿勢は、資格のメリット(費用対効果)を見出せないと考える企業が多かったと考えられそうです。

やれ橋渡し人材が重要だだの、企業のセキュリティ人材が足りない・・・と言われつつ、自社の優秀なセキュリティ人材(の資格維持や、知見向上)に対して、積極的なサポートをしない、そんな日本企業が多いのだとすれば、やはり残念な事です。

 

ここまで書いて、ふと気づいたのは、情報セキュリティスペシャリスト(SC)基準で考えるならば、少なくても履歴書に書けるレベルで、データ上、「日本はセキュリティ専門家を6割以上失った」事になります。

 

実際には難関試験に受かるレベルのセキュリティ人員が減った訳ではありませんが、『何のために変えたのか?』と後々まで言われかねないデータな気がします。

そうした意味において、制度変更を行ったIPA経産省は、見通しが甘かったのではないでしょうか。だとすれば、もっと個人が維持しやすい金額設定も再検討すべきでしょうし、企業が資格保有者をサポートしやすくなる環境についても、もっと整備していくべきだと思います。

 

 

試験を受ける会社員のイラスト(男性)

 

 

更新履歴

  • 2018年9月7日PM(予約投稿)