CISSPの劣化版となる様相 情報処理安全確保支援士

情報処理安全確保支援士という資格がスタートするようですが、なんかなぁという感じです。

CISSPという優れた米国の民間資格があるにもかかわらず、米国・ドイツ・その他アジアの国に遅れを取っているCISSP保有者数を増やす方向に舵を切らないで今回も終わってしまいました。

名称の独占があるだけで独占的業務はない

国家資格の価値を判断するときに、一番重要なのは業務独占的資格であるかどうかです。

例えば代理人として法廷に立てるのは弁護士だけです。どんなに弁が立つ知人がいたとしても、弁護士でなければ委任することができません。

また医療行為に該当するものは医師免許を持っていないと違法になってしまうわけです。

そして今回の情報処理安全確保支援士は独占的業務がありません

つまり情報処理安全確保支援士の資格を持ってる人しかできないというIT業務が規定されていないのです。

ただし名称独占はあります。これは情報処理安全確保支援士の試験に受かって登録を受けていない人が、勝手に「私は情報処理安全確保支援士です」と名乗ったり名詞に書いてはいけないということです。

日本年金機構の事件が契機に

この資格創設のインセンティブの一つになったのが日本年金機構の漏洩事件でしょう。実際に行政が公表した資料に「日本年金機構等を想定」としっかり書いてあります。

iss-3

行政が感知する範囲を拡大したのはとても良いことです。

iss-1

つまりこの資料の問題意識はまったくもって正しいです。ですがその解決手段に明らかにミスがあります。

iss-2

問題があったらそれを解決する手段を見つけるのが問題解決ですが、その解決手段が「情報処理安全確保支援士」の創設というわけです。「秘密の保持義務」を儲けて刑罰まで定めるのが踏み込んだ点と言えそうですが、会計監査と違って「公認会計士による監査を義務付け」まではやっていないのです。

つまり情報処理安全確保支援士を企業に必ず置かなければならないわけでもなく、そんな資格をもっていなくても優秀なセキュリティ技術者がいればその人に任せていてもまったく問題がないわけです。

情報技術の分野というのは業務独占的資格になじみません。資格をもっているかどうかより実力なのです。その実力をはかるのが例えばCISSPのような民間資格であり、このCISSPは法律でその力を担保しているのではなく、多くの情報セキュリティの専門家がCISSPの価値を認めているから実際に権威ある資格と認知されるに至っているわけです。つまりCISSPには実力があって、次に権威があります。

ですが今回の国家資格はゼロからのスタートですから、国が法律で権威付けしようとしていますが、そもそも情報技術の職業能力というのはそういったもので向上できる分野ではないということに早く気づく必要があります。

CISSPの二番煎じでありCISSPを超えることはない

この情報処理安全確保支援士は明らかに米国の民間資格であるCISSPを念頭に置いています。

CISSP(情報システム・セキュリティ・プロフェッショナル認定資格)は情報セキュリティ分野において権威ある資格であり、民間資格でありながら情報セキュリティの資格で日本の国家資格よりも断然上位に位置づけられています。

CISSPは更新制であり、常にトレーニングを受けてポイントを得ることで3年毎に更新が可能になります。

日本はCISSP保有者が人口比でも絶対量でもとても少なく、情報セキュリティにおいて米国比較のみならず、アジア諸国と比較しても非常に出遅れているのはCISSPの保有者数で明らかです。

それならば、新たなローカルな国家資格を作るよりはCISSP取得を奨励した方が良いのですが、結局IPAの業務を増やして終わるという結果になってしまいました。

名簿に登録してもそれを見て探す企業はでてこないでしょうし、すでに情報セキュリティ分野で働いている人が職場から「なるべく早く取得してね」と言われて、日曜日に仕方なく試験を受けに行くという、他の国家試験と比較してなんともやる気と覇気の感じられない情報処理技術者試験当日の雰囲気のような資格になるでしょう。