前回、 こんな記事 を書きました。その際、自らの「宿題」となっていた情報処理安全確保支援士試験について、この度、一応、リベンジ?できましたので、誠に僭越ながら、その経過やその後の所感などをつらつらと書きなぐってみました。ただし、マル秘のテクニックや面白い話が特に書いてあるわけではありませんので、あくまで、暇つぶし程度におつきあいくださいませ。
1.対策全般
1.-(1)午前対策
これについては、多くを語る必要はないですよね。午前1も午前2も「過去問道場」で決まりでしょう。午前1なら、ここ、午前2なら、ここですね。ひたすらこなしましょう。分からない問題は、後述の参考書に立ち返る必要がありますが、繰り返していれば、そのうち、嫌でも9割~完答のレベルに達します。スマホで移動時間に済ませるくらいでもいいでしょうね。
一発合格できなくても、午前1をクリアしておけば、その後2年間は、試験が免除になって、再チャレンジするときに少し楽になります(いや、だから一発で受かれって)。
1.-(2)午後対策
1.-(2)-1 参考書等
あらゆる資格モノは、何はともあれ、知識のインプットが欠かせないわけです。まずは、参考書などの選択から始めるわけですが、自分の場合も、他の多くの方と同じようなラインナップで対策です。基本的には、以下の3つのタイプで揃えました。
[1] 教科書+副読本
「情報処理教科書 情報処理安全確保支援士」。言わずと知れた「上原本」です。毎年のように改定版が出ますが、その都度厚みが増しているので、編集も大変でしょうねえ。初学者ならこれでしょう。
「セキュリティ技術の教科書 第3版」。これも定番ですね。「上原本」では概要だけになっている技術的な解説も細かく記載されています。時間があれば通しで読みたいところですが、時間がない場合や既に実務を熟知している方なら辞書的に活用するのもありでしょう。
[2] 過去問解説本
当たり前ですが、情報処理安全確保支援士試験の合格に最も重要なのは、「過去問」の網羅的かつ反復的な演習です。ただし、IPAの解答例には、なぜ、そういう答えになるのか、といった解説がないため、疑問が解消されない場合もあります。そのような場合でも出題分野に応じて、効率的に学習を進めるために支えとなるのが、この手の解説本です。
「情報処理安全確保支援士「専門知識+午後問題」の重点対策」は、分野別の分析に加え、演習すべき過去問をピックアップして解説を加えているので、時間が限られている場合でも効率的な演習が可能です。
なお、この本ではありませんが、過去問の解説本の中には、IPA(情報処理推進機構)が示す解答例とは別の解答を記載しているものも見られますので、IPAの解答例と見比べることは必要です。
[3] 解答技術の解説本
資格試験である以上、出題者側の意図に沿った解答文を作成する技術は必須です。そのスキルを身に着けるために効果的なのが 「うかる! 情報処理安全確保支援士 午後問題集 [第2版]」です。
筆者自身が「“ズルい攻略本”です」と指摘しているように、その「用法・用量」を適切に守れば、効果的なアイテムになります。著作のコンセプトがなかなか面白いですね。午後の記述問題の公式解答からIPAの出題意図、採点手法などを分析し、解答文の作成技術のヒントを示している解説本で、[1]や[2]とは全く毛色が異なります。
なので、過去問を実際に解かず、又は、出題の意図を理解せずに、解答例をやみくもに暗記しても(必ずしも無駄とは思いませんが)合格できるレベルにすぐに到達できるとは思えません。が、過去問を何度解いても、作文のノウハウに自信がない人にとっては、有力なツールになると思います。
1.-(2)-2.動画コンテンツ
動画視聴のよいところは、短時間で「何となく分かった気になって、前向きになれる」ところです(笑)。揶揄しているのではないですよ。抽象的な概念は、場合によって文字だけで理解することが難しく、自分で手を動かせるエンジニアならともかく、頭の中でイメージを形作れないことがあります(例えば、入力・出力を通じて、状態が変化するようなもの)。参考書でも、表や絵で補足している場合もありますが、動画は映像を通じて、頭の中でのイメージ作りに役立ち、ひいては、概念構造の理解の深化につながるものと思います。
情報処理安全確保支援士に役立つ動画は、テーマごとにきちんと整理・提供されているものも多く、かつ、その多くが無料なのは、素晴らしいです。自分もいろいろつまみ食いさせていただきました。それぞれの必要性に応じて活用すればいいと思います。
1.-(2)-3.模試
複数の事業者が情報処理安全確保支援士試験向けの模擬試験を実施しています。午前・午後とも、実際の試験に準じて作問されています。お金もそれなりにかかるので、正直「盲腸」のようなものかもしれないですが、試しに受けてみると、忘れていた知識を気づかされるなど、学習内容の見直しにつながりました(実際、その後の本番で類似の問題がありました)。コスパの感覚は人それぞれでしょう。
試験問題については、純粋なオリジナルというよりIPAの過去問をベースにアレンジした感じのものが多いように思えますが、IPAですら、相応の人員と時間をかけて入念に作成しているのでしょうから、過去問に飽きたから?と言って、模擬試験で完全新基軸のテーマの出題を求めるのは酷というものです。
1.-(2)-4.IPAの公開資料
意外と無視できないのが、IPAが提供しているコンテンツです。最新のセキュリティ事情に対する理解は、直接的な試験対策に必ずしも直結しないかもしれませんが、熟読する価値はあると思います。時間がなくとも、この業界で食っていきたい人は、視野を広げるためにも、これとこれくらいをなめるくらいはどうぞ(業界を取り巻く「公式見解」を知っておくことは、どの分野でも重要だしね)。
1.-(2)-5.その他
本来的あれば、「参考書等」の項目で記述すべきですが、自分の弱点対策なので、末筆に。以前から、認証・認可の分野は、シーケンス図での理解はしているつもりでも、その各処理において、具体的にどのような情報のやり取りをしているのかといった詳細な技術情報が頭で整理されていないことに気づいていました。ただ、(コードを書かない、読まない)自分のレベルに合う参考書に巡り会えないままでした。
そんな中、ひょんなことから、知りたいことを端的にまとめている本(「OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダくレクトへの攻撃編)」)の存在を知りました。形式的には「同人誌」のようですが、自分にとって、この本は、コンパクトにまとまっていて、非常に有用でした。誤字脱字が若干散見されますが、そこはご愛敬でしょう(理解の妨げになるレベルではありません)。認証・認可のプロセスやその攻撃・対策についての理解を大いに深めてくれました。
1.-(3)学習過程
既に「失敗経験」があるため、偉そうに詳しく述べるほどのことはありません。ひたすら、以下(1)~(3)の繰り返しです。
(1) 教科書の流し読み(熟読するより繰り返しを重視)
(2) 過去問の演習(時間を計測して取り組み、その後、解答例と突き合わせて、自作の解答の過不足を確認)
(3) 時々、「その他のコンテンツ」に触れる
所用時間は、長くても平日2時間程度、休日4時間程度です。真面目にやったのは、賞味2か月くらいでしょうか。結果的に「アジャイル」になっていませんが、可能な限り、短時間でもいいので、毎日、コンテンツに触れるようにしました。
2.試験実況
今回は、令和5年度(2023年度)秋試験を受験しました。ここからは、その実況をどうぞ。
試験当日、午前1は、免除されていたので、早朝に起きなくてよかったです。とはいえ、少々、早めに行って(といっても、試験開始30分前くらいですが)会場でトイレなどを済ませておきました(混雑する場合があるのでね)。
2.-(1)午前2
25問を40分で解答するので、基本的な戦略として、読んですぐ分かる(1分以内)問だけを先にマークして、迷いそうなものは後回しにします(良くも悪くも慎重な性格なもんで)。20分位で一通り目を通しましたが、この時、確実に自信のあるものは6割なかったかもしれません(何やっとんねん)。同じテーマだけど過去問とは表現を変えていたり、新ネタ(単に自分が知らないだけ)もいくつかありましたね。
その瞬間、午前2は、さすがに余裕だろうと高をくくっていた感覚は、ふっと消え失せ、「まさか、ここでつまずくのか」と思い、焦る気持ちを抑えながら、冷静に見直しを進めていきました(「道場」で過去問を繰り返しすぎて、答えを自然に覚えている状態までなってしまったことの是非を今更考えさせられます)。
2.-(2)昼休み
昼休みには、食事をとりながら、午前2の問題冊子を机に置き、持ち込んだ参考書を片手に「答え合わせ」をしていました。いまさら「結果」は変えられないし、妙な精神状態になっても嫌なので、いつもならこういうことはしないのですが、今回は、間違いを多く発見して気を落とすよりも、午後の試験中に「さっきのあれは何だっけ」みたいなな思いが、頭をもたげることを避けたかったのでした。
結果的には、迷った問題のいくつかが正解であることを確認でき一安心。時々、午前に出題された問題の分野が、午後にも関係してくることがあるとの情報も接していたため、安心して次に進む心構えができたと思います。
2.-(3)午後
これまでは、午後の試験は、午後1及び2に分かれていましたが、今回から午後は「1枠」で、4問中2問選択解答で150分の形式に変わりました。
この試験に限りませんが、資格試験などにおいて、試験区分や時間などが変更される場合、その影響による受験者の不利益を極力避けるため、難易度も含めて一定の配慮がなされることがあります。
何の根拠もありませんが、今回、午後試験が改組されることを聞いてから、出題形式やレベルが激変することはないと思っていました。自分にとって、午後試験のリスクの一つが、午後1の時間がタイトであることだったので、今回のような変更はむしろポジティブにとらえていました(正直、午後1と午後2の違いは、IPAによる当初の目的・ねらいに関わらず、多くの受験者に思っているように、問題文の量の軽重くらいです。結局、後述のとおり、この点(難易度)については、想像どおりでした。
例のごとく、解答用紙が配付されると、表裏両面に記載された解答欄の形・量から構成を想像し始め、ある事に気づきました。問4の解答箇所が多い上に、記述と思われる問も字数制限のある「マス」がありません。その時、思いました。「この問題は『奇問』ならぬ『鬼門』かもしれないな。とはいえ、小問数が多いということは、一つ当たりの配点が小さいはずで、多少のミスがあっても挽回できる(≒致命傷にならない)かもしれない。」と。
情報処理安全確保支援士の午後試験は、問題の選択眼が問われます。選択を誤ると、時間配分も含めて大きな失敗につながることもあるからです(失敗したやつが偉そうに言うなよ)。
そんなことを漠然と考えていると、早速、試験開始です。まずは、全4問の問題文をななめ読み。問1はアプリ開発、問2はセキュリティ対策の見直し、問3は、インテグレーションサービスのセキュリティ、問4はリスクアセスメントです。前稿で述べたとおり、自分は、業務上、コードを書いたり、アプリを管理したりしたことはないため、必然的に問2と問4を選択することにしました。
ただし、問4のリスクアセスメントの表の見方が気になるものの、おそらく時間がかかるだろうと思い、先に問2から取り掛かります。今回は、自分にとっての最重要テーマだった認証・認可系の問(シーケンス図とかがあるやつ)が見当たらなかったので、過去の反省から、がっつり準備してきた身としては、正直、肩透かしを食らった気分になりましたが。
問2については、セキュリティに問題のある組織の改善策を問題文から読み取り、かつ、正確な専門用語を用いて、解答するという伝統的かつ典型的な問題で、詳細は省きますが、少なくとも、出題者の意図が理解できたので、迷いはあったものの、筆が進みます。良問だと思います(またもや、偉そうなコメントですいません)。
問4については、前述のとおり、これまでにないタイプの問題でした。特に、設問2(1)の「あなたの知見に基づき,答えよ」は、なかなか「しびれる」問題文ですよね。作問時にどういう採点基準を想定したんだろ?。これまで、IPAは、解答文の多少の記述の揺れしか許容していなかったと思っていたのに、この問題は「あなたの知見に基づき云々」ですからね。
午後試験の構成を変える以上、今回のタイミングで新基軸の方向性を示したい!?という試験委員の方々の意欲的な雰囲気が伝わる問題です。問自体は、長文で背景を正確に理解する必要はありますが、なかなか面白い問題でしたね。採点基準を検討する際には、相当数の解答パターンを検討したのでしょうね。それでも、「審議」になった珍解答もあったかもしれません。
でも、よーく問題文を読んでみると、ある程度の「正解の表現」に近づくよう、説明を重ねて、誘導していたと思われる箇所が問題文中にいくつもあるようにも思えます(「ランサムウェアによる"二重の脅迫"が社会問題化したことをきっかけに(云々)」で「機密性」についてのリスクアセスメントに限定してるしね)。
こんな感じでしたので、所感としては、主にSE・アプリ系の方々は、問1及び問3を、主にITコンサル・ガバナンス系の方々は、問2及び問4を選んだのではないかと思われます。今後も、多様なバックグランドを持つ受験者のためにアレンジされた問題が作成される可能性を感じさせました。
気にしていた試験時間については、結果的に一定の余裕がありました(IPAによる激変緩和・配慮のおかげか?)。以前の午後1のように、時間の経過に神経をとがらせながら、反射神経的に問題を解いていた時とは異なり、出題者の意図や背景を考慮しつつ、推敲しながら解答することができたと思います。
試験時間が終了すると、監督員が解答用紙を回収して確認をします。自分は、会場の部屋の比較的前の方に座席があったため、解答用紙の「記入状況」が自ずと目に入ってきました。すると、半分より多くの方々が問2と問4を選択しているように見えました。コードを書く人でも問2とかは着手しやすかったはずですし、自分の感覚と同じ人も多かったのではないかと、妙に納得しました。
3.結果
前回の挑戦では、その結果に多少の自信があったこともあり、昼間にIPAの「マイページ」を見て、その結果に愕然とし、その後、いやーな気分が半日続いた苦い思い出があったので、今回は、前回よりも自信があったものの、ちょっと自重して、帰宅する途中でスマホから「マイページ」を覗きました(へたれやな、ほんまに)。
すると、ログイン後の個別の試験結果のページに入る前のページにある「結果情報」の欄に「合格証番号」の文字が。あっけなく、自らの合格を悟ったのでした。その後、情報処理安全確保支援士の個別のページに入り、赤囲みの「合格」の文字を発見。このあたりで、じわじわと合格の実感が出てきました。得点については、相変わらず、まあまあ基準を超えた程度でしょうか。でも、これで十分満足です(足るを知るってこと)。自宅への帰り道に寄ったスーパーで祝杯用の酒を思う存分買ったことは言うまでもありません。
4.登録に向けて
皆さまご承知のとおり、情報処理安全確保支援士は「士業」ですので、試験に合格しただけでは、「支援士」として名乗れません。ですので、「支援士として活動する」には、登録をする必要があります。自分としては、せっかく合格したので、まずは、登録するつもりで準備を進めようかなあと思っています。ただし、世の中では、諸々の理由で試験に合格しても登録していない方々も一定数いるようですね。
4.-(1)ちょっと分析
そこで、どれくらいの人が登録する強い意欲(≒支援士になりたい、ならなければならない)を持っているのか、簡単な分析をしてみました。通常、情報処理安全確保支援士の登録は、4月と10月に、それぞれまとめて行われます(例えば、春試験を受けて、夏に合格した人がすぐに登録手続きを行えば、最短で10月に登録されることになります)。
想像ですが、情報処理安全確保支援士になることへの強い意欲があれば、合格後にすぐ登録手続きをとると思われます。そこで、合格者のうち、その直後の登録期日で登録者となった人の割合を擬似的な「登録意欲」として、変化を追ってみました。結果は以下のとおりです。データのソースは、こことここです。
| 登録時期 | 直前試験の合格者a | 登録者(のうち直前試験の合格者)b | b/a | |
|---|---|---|---|---|
| R5(2023) | 秋 | 2,394 | 764 | 31.9% |
| 春 | 2,782 | 883 | 31.7% | |
| R4(2022) | 秋 | 2,131 | 585 | 27.5% |
| 春 | 2,359 | 766 | 32.5% | |
| R3(2021) | 秋 | 2,306 | 778 | 33.7% |
| 春 | 2,253 | 648 | 28.8% | |
| R2(2020) | 秋 | 2,703 | 107 | (注) |
| 春 | (注) | 822 | 30.4% | |
| R1(2019) | 秋 | 2,744 | 786 | 28.6% |
(注)2020年春試験は実施されていないため、算出から除外しています。
これを見る限り、ここ数年、直前の合格者のうち、3割前後の合格者しか「速やかに」登録しておらず、しかも、大きな傾向の変化は見られません。
なぜ、登録者数が圧倒的に少ないのかについては、いろいろ指摘があるようですが、結局のところ、「情報処理安全確保支援士」を名乗れるメリット(能力を認めてもらえること、収入が大きく増加することなど)と、その登録・維持にかかる費用とのバランスを欠いていると思っている人が多いということに収斂しているように思えます。
とはいえ、情報処理安全確保支援士の取得・維持にかかる費用は、本当に割高なのでしょうか。自分が取得した資格について、その取得・維持に必要な主な費用(3年分)について、比較してみました。
| 資格 | 受験費用 | 登録費用 | 維持費用(3年) | 合計 |
|---|---|---|---|---|
| 情報処理安全確保支援士 | 7,500円 | 19,700円 (登録免許税:9千円 登録手数料:10,700円) |
14万円 (オンライン講習(2万円×3年) 特定講習(8万円)) |
16万7,200円 |
| CISSP | $749 | - | $125×3年 | $1,124 (約16万円) |
| CISM | $575 (会員費用) |
- | $570 $145×3年(Professional Membership) $45×3年 (CISM Certification Annual Maintenance Fee) |
$1,145 (約16万円) |
米ドルレートは140円で仮置きしています。
上記の他、送料等の諸費用がかかります。
これを見ると、多少円安の影響もありますが、現状、費用面での大きな差は、さほどないですね(というより、CISSPやCISMは、あほみたいに高い参考書を買わないと事実上、対策できないのでより高額かもしれません)。また、CISSPもCISMも情報処理安全確保支援士と同じく独占業務があるわけではなく(とはいえ、就職・転職時の事実上の拘束条件にはなり得るが)、あくまで能力認定試験ですからねえ。グローバルな認定と国内レベルの認定といった「違い」を考慮すると、やはり割高なのか?、また、取得者の立場(職種・収入等)によっても評価は異なると思われるので、何とも形容しづらいところです。
費用の負担感というのは、やはり、現状の個人の所得水準によって変わるものですよね。そこで、この点についても比較してみます。
| 資格 | 平均年収 |
|---|---|
| 情報処理安全確保支援士 | 600~1,300万円 |
| CISSP | 1,736万円 ($124,000) |
| CISM | 1,329万円 ($94,926) |
米ドルレートは140円で仮置きしています。
年収のデータは、それぞれ、検索して見つけた一例に過ぎないので、そのデータの正確性や網羅性について保証の限りではないことは留意が必要です。
正直、能力的な差(資格を取得したという事実だけで高い給与が得られるわけではない可能性)、ソースがバラバラかつ多少の誤差もあると思いますので、直接的な比較がどこまで有効なのかは慎重な検討が必要なところですが、多くの方々が感じているとおり、CISSPやCISM取得者(ドルベース)の年収は、情報処理安全確保支援士よりも良さそうに見えます(さらに言えば、為替レートの違いはあるにせよ、IT業界に限らず、そもそも日本のあらゆる業界の給与水準が世界水準と比べて低すぎるという指摘も当てはまりそうです。ただし、米国などは物価水準も日本のそれとは異なると思われるので、この点で単純に比較することは多少乱暴かもしれませんが)。
やはり、額面上、同じくらいの維持費用でも体感の負担感は違ってきますよね(やっぱ、国際系の資格を適度に評価してくれそうな外資系、コンサル系などの方が有利か)。
4.-(2)古くて新しい問題
情報処理安全確保支援士の3年おきの更新制の導入は、2020年(令和2年)5月に施行された改正「情報処理の促進に関する法律」によるものですが、その改正法案が審議された国会での議事録を見ると、こんな記録がありました。
衆議院 経済産業委員会(令和元年11月13日)議事録(抜粋)
(某国会議員)
「このセキュリティースペシャリストというのも、三年に一度、今も講習制度はあるようでありますけれども、今度からこれを受けなければ免許が更新できなくなるということでありますけれども、十万円という費用がかかる、三年に一度受けるのに。それで、セキュリティースペシャリストとしては、独占業務でもない。セキュリティースペシャリストでい続けようというインセンティブも持たせながら、質も高めていかなければならない。
そういう意味でも、この制度の運用というのは、経済産業省はしっかり考えながら進めていただきたいと思います。」
制度創設の検討当初から、指摘されていたということですかね。その他、こんなやりとりも。
参議院 経済産業委員会(令和元年11月28日)議事録(抜粋)
(某国会議員)
情報処理安全確保支援士についてお伺いしたいと思うんですが、二〇二〇年までに三万人超の有資格者をつくると、これを目指しているというふうに伺っているんですが、現在一万八千人の登録があると伺っています。うち百九人が所在不明ということを聞いているんですけれども、三万人達成の見込みはいかがでしょうか。
それと、あわせて、今年七月に行われたこの情報処理安全確保支援士の資格をもう既に持っていらっしゃる皆さんに対する、活動に関する実態調査というのを拝見しますと、この資格を取って何がメリットかという質問に対して、一番多い答えが、五十数%の方がスキルアップができるということなんですね。二番目が五〇%ぐらいで、サイバーセキュリティーに関する最新動向を把握できるという答えで、要は自分の中でこれをいかに力にしていくかということになっている。
外との関連ということではなかなかお答えが高いところは出てきていないんですけれども、これをどう分析して、今回更新制が導入されるとなりますと、更にハードルは上がるのかなと思っています。そのハードルを越えるインセンティブをどうつくっていこうと考えていらっしゃるのか、教えてください。
(経済産業省)
今御質問のございました情報処理安全確保支援士制度でございますけれども、二〇一七年の四月から登録を開始いたしまして、これまでに一万九千四百十七名の登録が行われたところでございます。
この制度についての評価、様々ございますけれども、本年八月に行われました民間の調査によれば、情報の分野には様々な資格がございますけれども、言わば人気ランキングの中で三位に位置付けられておりますので、そういう意味におきましては、一般の方から見て、取得することが何らかの価値を持つものだというふうに評価はしていただいているんだというふうには考えております。
同時に、先ほど御質問ございましたとおり、二〇二〇年までに登録数三万人超を目指すとされているところでございますが、これはある意味で量も質も追求するということが重要になってまいります。
すなわち、これは、いわゆるセキュリティー人材については、特に地方で、あるいは中小企業との関係で不足しているのではないかという指摘が従来からずっとございます。そういう意味では、この今御指摘の情報処理安全確保支援士というのは、もちろん三万人を目指しておりますけれども、今の足下でも二万人弱という規模から見て、そういう意味では、裾野が広く、あるいは地方や中小企業のニーズにも対応できるような資格ではないかというふうに考えております。
と同時に、この資格を取ってその方々が活用されていく上では、当然でございますけれども、その資格を持っている人が最新の技術、情報に触れ、それに必要な知見を持っているということが、信頼されるということが重要になってまいります。
したがいまして、今回の改正法案の中で三年更新制というのを御提案を申し上げておりますのは、そういうことを通じて、必ず、その資格を持ち、既に登録をされた方が一定期間の中ではきちんとした実践的な講習を受けられることを通じてそうした信頼が生まれ、そのことによって使われる方も増え、また、それを目指す方も増えるといったような好循環を生むことで、二〇二〇年までに登録者数三万人超ということを目指してまいりたいというふうに考えております。
ちなみに、情報処理安全確保支援士の登録者数は、2023年10月1日現在で21,727名です。まあ、専門家の規模の拡大・質の向上とそのためのインセンティブのバランス(特に、前出のやりとり中で言及のあった「好循環」なんて、息の長い話だしな)は、なかなか思ったとおりにならないということですかね(個人的には、状況を少しでも改善する地道な取り組みこそが何より重要だと思うので、当時のやりとりをもって、「問題ありの制度を作った」などと、安っぽい批判をするつもりはないです。improvement >>>>> criticismです。(他人事みたいに聞こえるかね))。未だに続く、「古くて新しい問題」ということで。
4.-(3)登録手続き
情報処理安全確保支援士の登録には、所定の事務手続きが必要です。調べてみると、最終的には「紙」で申請するようですね。必要な主な書類は以下のとおりです。
[1]登録申請書
[2]誓約書
[3]合格証書の写し
[4]戸籍の謄本若しくは抄本又は住民票の写し
[5]登録事項等公開届出書
[6]登録申請チェックリスト
これらを簡易書留で郵送とのこと。「デジタル分野の資格なのになぜ紙か」という、まっとうなツッコミは置いておいて、こういうことも合格者にとっての面倒くささを醸し出しています。これらの書類を見る限り、[4]以外は現状でもデジタル処理(申請)が可能な感じがします。しかも、[4]ですら、マイナンバーカードを使えば、技術的には実現できそうです(まあ、現状、法制度の検討時の整理なども含め、かつ、他の大人の事情があって、こういうことになっているのだと想像しますが)。
ここからは、若干方向の異なる専門的な話になりそうなので、軽めに触れておきますが、実は、他の士業も郵送で登録させているようです(戸籍や住民票の写しを提出させるのも同じ)。なので、「士業」としては歴史の浅い情報処理安全確保支援士についても、先行事例と同様に制度設計したんでしょうかね。
ちなみに、ある意味意外だったのは、IPAから送付された合格証書に登録に向けた案内などに関わる文書が同封されていなかったことです。言うまでもなく、登録するか否かは、合格者の自発的な意思にかかっているとはいえ、そもそも、手続きなどを熟知していない者もそれなりにいるでしょうし、合格証書を受け取った瞬間から登録手続きが「解禁される」わけですから。よもや、郵送代をけちりたいわけではないでしょうが、せめて紙1枚くらいあっても良さそうなものです。
(2024年8月追記)
と、思っていたら、マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)が改正され、国家資格などの登録でマイナンバーが活用できることになりました。着々と準備してたのですな。改正法を見ると、情報処理安全確保支援士もしっかり対象になっていますね。
ということで、デジタル庁の発表によると、早速8月から、いくつかの資格で利用が始まるようです。情報処理安全確保支援士については、「2025年度頃以降 予定」だそうです(「○○年度頃以降」って、あまり聞かない言い方だけど)。
・・・で、本当にしょうもないツッコミなんですけど、一言いいですかね。
このページには、「今後手続きが可能な資格」として、各分野の資格名称が列挙されています。そして、「行政・司法・教育等」の項目に「行政書士」、「司法試験」、「司法試験予備試験」、「教員」に続いて、「情報処理安全確保支援士」が記載されています(2024年8月2日現在)。
「ん?」と思った方は、するどいです。「情報処理安全確保支援士」って、「行政」?、「司法」?、「教育」?・・・、どれも違いますよね。・・・そう、 「等」の扱いなんですよ・・・。
でもさ、「情報処理安全確保支援士」って、情報分野では、唯一の士業なんだよね? であれば、項目名に「情報」って言葉くらい入れてほしかったな(無理して「行政」などの分野と並列でまとめる必要はないし、同ページにある「自動車」の項目では、一資格(自動車整備士)だけで立ってるんだからね)。
確かに、登録人数はまだまだ少ないし、一般的な認知度も低いかもしれないし、このページを見るような支援士関係者もさほど多くないだろうけど、デジタル庁が作成する資料くらいは、「情報」分野をハジパイではなく、こういうところで明示的に認知されるように扱ってほしいわけですよ(支援士制度の主務官庁からもデジタル庁に出向者がいるんじゃないのかなあ?)。
ということで、支援士の業界団体さま、世の中では、認識にまだ差があるようなので、より一層の広報活動が必要みたいです。
以上、とっても些細なことですが、この資格が世の中にもっと認知されることを切に願う者のちっちゃな愚痴でした・・・ハイ。
(追記終わり)
4.-(4)所感・展望
いずれにせよ、歩留まりがいいとはお世辞にも言えない情報処理安全確保支援士の登録状況の大幅な改善は、主務官庁や主催者にとっても相応の課題と認識されているはず(と信じている)ので、関係者の方々におかれては、国内のサイバーセキュリティ分野の人材の層の厚みを他国と比べてもより重厚なものにする意味でも積極的かつ「アジャイル」で取り組んでいただきたいところです(部外者のお前ごときが何を言うか、というご批判はごもっともです)。
また、同様の問題意識で分析されている方がいらっしゃいました。参考になります。
それと比べても、ISC2が説明するCISSP取得のメリットって一般論的なものばかりで物足りないんですよね。それでも、知名度が高く、世界に冠たる技能認定制度であるという余裕なのかね。
別の切り口だと、最近、よく話題になることがある「経済安保」との関係で注目が高まるだろうと推測しています。近頃、経済安全保障推進法が施行されていますが、この中では、インフラサービスの安定的な提供を確保するためのしくみとして、一定の条件に該当する事業者が業務の委託先等の従業員の情報セキュリティに関する資格等の専門性を確認できるように担保することが求められており、政府の文書によると、その専門性を示す例示として、「情報処理安全確保支援士」や「CISSP」が挙げられています。
そのため、情報セキュリティに関わる業界において、今後、収益の上積みを狙う野心的な事業者であれば、有資格者を確保するインセンティブがより一層働くかもしれませんね。転職を狙う方にとっては、チャンスが増えるかもしれません。
5.最後に
以上、情報処理安全確保支援士試験の合格までの過程からこの試験を取り巻く状況についての所感などまで、かなりおおざっぱに書いてみました。最後まで駄文をご覧いただきありがとうございました。
自分としては、前回の失敗により、もはや「アジャイル」ではなくなってしまったので、今回は、効率さを意識しながらも、地道に準備するだけで派手なことは何一つできませんでしたが、 予告どおり「跳躍の年」に目標を達成できてほっとしています。次の目標はまだ決めていませんが、引き続き、精進していきたいと思います。今年は辰年ですが、さらなる高みに登れるかな。