ちょうど今日合格発表があって、情報セキュリティスペシャリストに合格していたことがわかりました。で、そんな中で感じたいろんなことを綴っていきます。
IT系での資格の価値
税理士・弁護士・医師と言った資格は、持っていなければそもそもその仕事をすること自体ができません。一方で、IT系の資格にそのような業務独占のものは基本的になくて、資格を持っているからといって特別にできることが増えるわけでもありませんし、逆に資格なんかなくても活躍している人たちだって山のようにいます。
それでは、その中で資格を持つ意味とはどのあたりにあるのでしょうか。個人的には、大きなポイントは2つあると考えています。
- これだけのスキルだと客観的に示す機能
- (特に、実績を積んだわけでもない場合)どれだけのスキルがあるか示すことは難しいものですが、資格というものさしを使って一定の理解を持たせることができます。
- 学習の動機付けとして
- (合格自体を目的として張った山が当たったような場合はともかく)試験範囲という形で、求めるスキルセットを明確にしているので、自分に足りていない分野をはっきりさせる効果もあります。
とりわけ、IPAの行う試験は特定のベンダーの製品に依存しないようなものなので、広く力を付けるという意味では役に立つ気がしています。
情報セキュリティそのものについて
まず、大原則として「セキュリティも費用とリスクのバランス」ということは実感できました。たとえば、「インターネット上へ公開しているサーバのリスクをゼロにする」方法は、「サーバの公開自体を止めてしまう」以外に存在しません。また逆に、「自分が隕石に当たって死ぬリスク」を減らすために労力を払っている人も、おそらくそう多くはないでしょう。
もちろんリスクを減らすことは必要ですが、リスクも「起きうる確率」と「起きた時の被害」、そして逆に「どれだけのコストでどれだけリスクを軽減できるか」という対策側の事情も踏まえて、総合的にどうするのか判断する必要があります。そして、残存するリスクに対しても「許容する」「保険などで他者に移転する」などの手法があります。
そして、内部犯だったベネッセの情報流出や、メールを開いてしまったことによる日本年金機構の例でもわかるように、「人間がルールを守ること」を前提としたセキュリティには、どうしても回避しきれないリスクが残ります。技術的に対策できるところはもちろん対策が必要ですが、どれだけ防御しても問題は起こりうるという前提のもとに、いざ起きてしまった場合の善後策まで用意してはじめて立派なセキュリティ対策と言えるでしょう。