2022年秋季試験で情報処理安全確保支援士に合格。2023年4月に登録セキスペとなり、来年2026年1月で初回の更新を予定しています。実際にこれらの業務を経験して感じたことを、以下にまとめます。
想定読者
- 情報処理安全確保支援士問わず資格取得を検討している方
- 情報処理安全確保支援士に意味がないと考えている方
伝えたいこと
- セキュリティ関係なしに、エンジニアとして必要な視点や考え方が身につく
- 資格自体に意味はないが、資格を取得することに意味はある
1. ほんの、ささいなきっかけで。
資格取得のきっかけは、所属する会社の取得促進キャンペーンでした。
特に大した展望もなく、ただただ対策セミナーの受講から受験、資格取得時の登録料を全額負担してもらえるとのことで、当時APに合格してノリにのった私は、何も考えずに申し込みをしました。
・・・で、そのノリで一発合格しました。
(もちろん、何もせずにあっさり合格したということはなく、しっかり時間を費やして勉強はしていました。)
そうして、当時の私はこの資格にどのような責任が伴うのかをあまり理解しないまま、登録セキスペとなりました。
2. 難しいけど、無理じゃない
とはいえ、セキュリティエンジニアでもない、関連のある業務をしていたかというと(昨今セキュリティと切り離せない業務なんてないですが...)そうでもなかったのですが、取得を促進しているだけあり、有資格者にはそれなりの業務が割り振られます。
しかも、決して有資格者が多くない状況で、「自分で考え、その責任を負う」ということは、当時の社会人3年目の私には少し荷が重いな...と感じたことも覚えています。
2.1 やったこと
以下は、実際に私がセキスペ登録後に担当した業務の一例です。
-
製品開発におけるセキュリティ保障
- セキュリティ要件の妥当性確認
- セキュリティ対策のチェック、レビュー
- 使用OSSの脆弱性確認
-
セキュリティ運用ルールの立案
- 社内での製品テストにおける安全なテストプロセスの策定・運用
- 社内システムのアクセス権限管理ルールの策定・運用
-
製品のセキュリティモジュールのテスト・デバッグ
- セキュリティ機能の動作確認(例:暗号化・認証機能)
- セキュリティログの解析
-
社内コミュニティへの参加
- 上記業務に関連する社内勉強会への参加
- セキュリティに関する最新情報の共有
2.2 逆にありそうで、なかったこと
以下は、私がセキスペ登録後にこんなことあるんだろうな...と想像していたが、実際にはなかった業務の一例です。
-
セキスペの資格が必要な開発業務
- 「セキスペ」の資格が求められる開発プロジェクトへの参加
→ 資格よりも、規格標準への準拠や実務経験が重視される傾向
- 「セキスペ」の資格が求められる開発プロジェクトへの参加
-
セキュリティインシデント対応
- セキュリティインシデントの初動対応や調査
- インシデント対応手順の策定・改善
→ 重要度の高いインシデント対応は専門のチームで担当することが多い
2.3 これら業務を経て...
実際にこれらの業務を経験して感じたことを、以下にまとめます。
「リスク」に対して適切に「妥協」すること
セキュリティとは, "防御”であり, 攻撃者から自組織を守る城壁は厚ければ厚いほど良いに決まっています。
...しかし, そうはいかないのが現実です。 例えば, 以下のような制約が存在します。
- コスト制約: セキュリティ対策にはコストがかかるため, 予算内で最適な対策を選択する必要がある
- 運用制約: セキュリティ対策が運用に与える影響を考慮し, 過度な負担を避ける必要がある
- 技術的制約: 利用可能な技術やインフラに基づいて, 実現可能なセキュリティ対策を選択する必要がある
正直、理想はいくらでも描けますが、夢想家のままでは嫌われますし、組織は守れません。(実際、私もセキュリティ運用ルールの立案においては、その観点で結構なレビュー指摘を受けました...)
セキスペとして求められるのは、到達不可能な完璧に対して、現実的な妥協点を見つけ出し、それにより浮き彫りになるリスクに対して、適切な対策を講じること、それを論理的に説明できることだと感じています。
これは、セキュリティエンジニアに限らず、あらゆるエンジニアに求められるスキルだと思います。
「資格」がないと見つけられなかったものがある
いくつかセキュリティに関する業務を経験した上で、資格取得から2年目の去年、一度チャレンジ案件として暗号化機能実装の開発案件の見積もりを担当しました。しかし、顧客要求として求められている暗号化アルゴリズムは、勉強をしていたにも関わらず聞いたことがないようなもので、その調査には非常に苦労しました。
結局スキル不足と見なされ、案件受注には至りませんでした。
顧客の目線で見れば、資格を持っている、持っていないは重要でなく、要求を理解し、全幅の信頼を置けるかどうかしかありません。
そもそも、「どこかの誰かができないことを、自分がやる」ことがエンジニアの本質であり、価値であると思っています。資格を持っていること自体が価値になるわけではありません。
「情報処理安全確保支援士 意味ない」と検索される要因かとも思います。
ただ、「どこかの誰かができないことを、自分がやれるようになる」というゴールの見えない道のりにおいては、そのスタートラインを見つけることさえ容易なことではありません。
そして、そのタイミングを逃すと、結局何を目指せばいいのかが見えないまま、その日々の業務に追われ、ただただ時間だけが過ぎていくような気がしています。
先行きの見通せないエンジニア人生において、一番手軽に、なおかつ明確に目に見える目標として、資格取得は有効だと感じています。
そこで得たものは、実業務なり、自身の取り組み方であり、何かしらの変化をもたらすきっかけになりうると思っています。
その変化は、次なる目標を明確にしてくれるはずです。
私の場合、ほんの、ささいなきっかけが、変化をもたらし、エンジニア人生の道を一歩進めてくれました。
3. これまでも、そしてこれからも
資格取得から3年が経ち、改めて振り返ってみると、資格自体が有利に働いたことはなく、意味はなかったかもしれません。
しかし、資格取得を通じて得た経験や知識、そして何よりも資格取得に向けた取り組みが、自分自身の成長につながったと感じています。
しかし、資格取得はあくまで手段であり、その先にある成長や貢献が本質であるとも改めて感じています。
資格取得を検討している方には、ぜひその過程を楽しみながら、自身の成長につなげてほしいと思います。