情報処理安全確保支援士を登録すべきか、登録しないべきか

こんにちは、Ouvillです。

近年ITの導入が進み、それに伴うようにサイバー攻撃も盛んになっています。企業でのセキュリティ対策が重要になってきています。

そこで自身のセキュリティの勉強、そして、自身の知識を証明するために情報処理安全確保支援士試験に受験し、無事合格しました。

申請すれば「情報処理安全確保支援士」と名乗れるようになるのですが、登録するべきかどうか悩んでいます。この記事では情報処理安全確保支援士についての情報をまとめ、登録すべきか、登録すべきでないかの判断材料を列挙する予定です。

なお執筆現在、私はどこの組織にも所属していない個人ですので、その点も留意してください。

情報処理安全確保支援士とは

「情報処理安全確保支援士」、通称「登録セキスペ」とは情報処理安全確保支援士試験に合格し、登録した者が名乗れる国家資格です。

情報処理の促進に関する法律の第六条から一部抜粋します。

情報処理安全確保支援士は、情報処理安全確保支援士の名称を用いて、
サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、
必要に応じその取組の実施の状況についての調査、分析及び評価を行い、
その結果に基づき指導及び助言を行うこと
その他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援すること
を業とする

ということでセキュリティに関する専門知識を持った者になります。
この条文をみると、自身でソフトウェアを開発するものではなく、コンサルタント的な業務を想定されているように感じます。

情報処理安全確保支援士になったらできること

• 「情報処理安全確保支援士」と名乗ることができます。
• 名刺にロゴマークが印刷できます。
• 申請すれば弁護士バッジのような情報処理安全確保支援士のバッジが貸与されます

以上になります。

ほかのメリットをあげるなら、政府の入札条件に「情報処理安全確保支援士」が指定される案件があります。情報処理安全確保支援士を有する企業なら受注できるかもしれません。

また、経済産業省が作成した「情報セキュリティサービス基準」を満たす情報セキュリティサービスを提供するとき、必要な専門性を満たす資格として、情報処理安全確保支援士があげられています。しかし、これは情報処理安全確保支援士ではなくても、ほかのCISSP(Certified Information Systems Security Professional)などの資格でも代替可能です。

PCI DSSの監査人になるための資格要件の一つとして情報処理安全確保支援士があげられています。

概して、情報処理安全確保支援士はセキュリティをビジネスとしてやっていく場合に役に立ちそうな資格です。ただ情報処理安全確保支援士だからこそできる独占業務などはありません。

情報処理安全確保支援士の負担

費用負担

登録、維持に費用がかかります。

初回登録

情報処理安全確保支援士の登録時に、登録料がかかります

• 登録免許税の収入印紙 9000円
• 登録手数料 10700円

1年ごとのオンライン講習

年に一回IPAが行なう共通講習(20000円)を受講しなければなりません。

3年ごとの実績講習、特定講習

3年に一回、IPAが行なう実績講習か、民間事業者が行なう特定講習を受ける必要があります。

IPAの実施する実績講習の場合 80000円です。

トータルコスト

上記の通り、三年間で登録に2万、講習に14万かかってきます。
これが高いとするかは携わる業務によって異なるでしょう。
セキュリティを生業とする方なら必要経費となるでしょう。
ただエンジニアが業務の片手間に取得して、セキュリティ知識の証明に利用する場合、かなり高いと感じます。

信用失墜行為の禁止

情報処理安全確保支援士は情報処理安全確保支援士の信用を傷つけるようなことをしてしまってはいけません。

秘密漏洩の禁止

情報処理安全確保支援士は業務上知り得た秘密を漏らしてはいけません。以下「情報処理の促進に関する法律」を引用します。

第二十五条　情報処理安全確保支援士は、正当な理由がなく、その業務に関して知り得た秘密を漏らし、又は盗用してはならない。情報処理安全確保支援士でなくなつた後においても、同様とする。

罰則規定もあります。

第五十九条　第二十五条の規定に違反した者は、一年以下の懲役又は五十万円以下の罰金に処する。
２　前項の罪は、告訴がなければ公訴を提起することができない。

情報漏洩すると、懲役、もしくは罰金に処され前科がつきます。秘密情報の管理に注意です。
なお「告訴がなければ公訴を提起することができない。」というように、被害者が訴えなければ罪にならない親告罪です。

この項目が凄く怖いなぁと私は感じました。ペラペラと他人に秘密を話すのはしないと思いますが、ソフトウェアの設定を誤ってしまいうっかり情報漏洩しないか？　と聞かれると「しません」と私は断言できません。Facebookですら情報漏洩を起こすのですから、情報漏洩しないと断言できる人はよほどの自信家でしょう。

情報漏洩しないと断言できないのに、漏洩したら前科がついてしまうというのはリスク管理をするうえで看過できないリスクかと思います。

自身が設定、設置したソフトウェアの脆弱性による情報流出でも責任を取らされるのなら、なかなかに怖いと思うのですが実際どうなんでしょうね。

調べて気がついた意外なこと

登録期限がない

情報処理安全確保支援士試験に合格したら情報処理安全確保支援士に登録できますが、登録期限はありません。合格したからといって急いで登録しなければならないわけでもなく、必要になったときに登録できます。

登録を取り消されても再試験無しに再登録できる

情報処理安全確保支援士は前述の通り講習の受講義務があります。受講しなかった場合、情報処理安全確保支援士の登録を取り消され二年間再登録できません。
しかし、情報処理安全確保支援士試験の合格は有効なので、再度登録するとき、試験を受験しなくても登録できます。
　
情報処理安全確保支援士のよくある質問に書いてありました。

まとめ

情報処理安全確保支援士について調べたことをまとめました。

わざわざ試験に合格はしましたが、今の環境だと情報処理安全確保支援士になったときのメリットよりも、守秘義務違反のリスクがデカいと思います。

情報処理安全確保支援士は本当にセキュリティを生業とする人が登録するべき資格であり、セキュリティ知識の証明に片手間に登録するべきではないでしょう。

試験に合格している場合、いつでも登録申請はできるようなので、必要になったときに情報処理安全確保支援士になるのがよいと思います。