情報処理安全確保支援士（登録セキスペ）試験・資格とその効果

情報処理安全確保支援士（登録セキスペ）取得・維持費用や、取得効果、取得するまでに行ったこと、などについて記載します。
この記事は下記のような人を対象にしています。

対象	記載箇所
情報処理安全確保支援士（登録セキスペ）試験の内容が気になる方	情報処理安全確保支援士（登録セキスペ）とは
合格したところで役に立ちそうか気になる方	情報処理安全確保支援士（登録セキスペ）取得の効果
資格の登録・維持をするには費用が掛かるため実情が知りたい方	情報処理安全確保支援士（登録セキスペ）登録と維持のコスト
合格するまでどの程度の学習が必要になるか気になる方	情報処理安全確保支援士（登録セキスペ）取得するには

情報処理安全確保支援士（登録セキスペ）とは

昨今必要性が急速に増大していることはよく聞かれるかと思います。
IPA の記載からは「情報処理安全確保支援士とは、サイバーセキュリティ対策を推進する人材の国家資格」とのことです。

• 内容詳細は IPA の記載をご参照ください。

  • 国家資格「情報処理安全確保支援士（登録セキスペ）」とは
  • 情報処理安全確保支援士（登録セキスペ）制度

• 国家資格につき合格時には官報に記載され、資格登録を行った場合には IPA に有資格者情報が登録されます。

  • 情報処理安全確保支援士　検索サービス

• 「具体的に試験で何を問われるか」を確認して実務やこれからのチャレンジに合致するかどうかの確認が推奨されます。

  • 過去問題
    情報処理安全確保支援士（登録セキスペ）は資格の取得・維持に比較的多くの時間、費用が必要とされます。
    取得必須の状況下ではない限り、取得に向けた諸コスト、取得後の実費、業務への生かし方をイメージすることが重要と考えます。

情報処理安全確保支援士（登録セキスペ）取得の効果

資格取得のための学習でどういった実務上の効果が得られるか、という分析を行った上で着手することが推奨されるのではないか、と感じました。
一般知識、セキュリティ観点で気を付けるべき実装・設計も範囲に含まれることより、幅の広い工程で効果が得られると考えられます。
一方でより上流工程に近い程、得られる恩恵は多くなるであろう傾向は感じられました。

• 午前 Ⅰ
  一般的な知識を問われます。
  知っていることが望ましい点は理解しますが、実務上役立つ内容は少ない印象です。

• 午前 Ⅱ
  セキュリティ観点で知っておくべき知識が問われ、実務によっては密接に関わる情報も含まれます。
  筆者が受験に至るきっかけにはこういった基礎知識を得ることも入っていました。
  得られた基礎知識は以下のような実際の業務上でも良い効果が得られている印象があります。

  （具体例）

  • 調査 ①
    GitLab を利用しているプロジェクトが存在し、ソフトウェアバージョンが低いまま利用され続けている状況があり、管理層より問題視されていた。
    しかし、バージョンアップを行うにも負荷や影響が大きく、可能な事なら現状を維持したい現場の声もあるとの情報もあり。
    （本来はさっさとバージョンアップするのがよいのですが、関係者がかなり多く、小回りは利かない状況に陥っていた形です。）
    現時点で何のリスクを背負った状態にあるのか、GitLab への対処が必須か、GitLab の置かれる環境、利用方法と照らし合わせて継続利用が可能か、の把握・判断が必要となる。
    結果、筆者がいつまでに調査結果を報告可能か回答を求められた。

    馴染みのない作業の見積りを急に振られ、以下のアプローチを考えながら「おそらく 3 日程掛かる」と回答。
    結果的には見積りに沿った内容になったが、セキュリティ関連の一般的な知識があればより正確に、かつ負荷を軽減できたであろう、というのが受験背景の一つです。

    No	作業	感じたハードル
    1	GitLab の CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子） がまとまった情報を特定する	どうにかまとまった情報を探し出したがどうしたものか？
    2	「1」との比較用に NVD（National Vulnerability Database）上の GitLab 情報も取得	あれ？スコアの付け方が違うものもある。 一か所だけ参照するよりも比較対象があったほうがよいの？スコアの付け方が違うの？
    3	収集した脆弱性で一定以上のスコアになっている対象を分析	脆弱性＆該当する機能・部位から現場 GitLab に該当しているかを判断。 周辺環境、使い方でも分かれるし判断が難しい。。

  • 調査 ②
    各プロジェクトに適用する「Docker コンテナイメージの脆弱性スキャン方法」検討や、脆弱性スキャン結果の分析を行う必要があった。
    たとえばスキャン対象として、以下のような検討から。

    • コンテナイメージの入手先や、ベースとなる OS であるのか
    • コンテナイメージ構築の内容であるのか
    • 取り込んだライブラリであるのか
    • 入れ込んだアプリであるのか

    さらにそれらで検出した脆弱性がどのような内容で、プロジェクトではどのように利用しているから危険であり、対応優先度はどのようになり、連絡を取るべき関連部署がどこか。など。

• 午後 Ⅰ、午後 Ⅱ
  近年重要視されている領域に間違いなく、下記などで一定の効果が望める午後 Ⅰ、午後 Ⅱ の問題は学習の価値がある認識です。

  • 実際にあり得そうなセキュリティインシデントを多角的な切り口で問題解析するのか
  • 被害があった後にも影響を切り離して運用継続可能な環境をどう構築するのか
  • 被害があった後の迅速な復旧計画はどのようにするのか
  • 安全な運用をどう構築していくのか

  日常業務をこなしているだけでは触れることが難しい様々な環境、状況を疑似体験できる午後の試験は過去の問題を解く価値も高いと感じています。
  現場や職種、あるいは勤め先が変わったときに役立つ、周辺環境の把握能力を向上させることの期待も大いに持てると考えられます。

• 資格登録
  「一定の能力を持つこと」、「情報処理安全確保支援士としての義務を遵守していること」を IPA の検索サービスで対外的にその場で示すことが出来る点はメリットとなります。
  上記と同時に企業の取り組み状況として、報処理安全確保支援士在籍数の公表にも繋げることが可能です。（案件入札の要件に関わる場合もあるようです。）
  また、セキュリティに関しては常に最新の情報に触れることが重要であり、継続的な講習を通して情報処理安全確保支援士間の横のつながりも意識された資格維持の建付けとなっています。

情報処理安全確保支援士（登録セキスペ）登録と維持のコスト

受験や資格登録、維持を行った最初の 3 年間で以下の費用が掛かります。
個人で負担するには大きいものとなるため、予め在籍企業による負担の可否を確認することが推奨されます。
また、仮に自己負担となる場合にどうするか悩んだ場合、少しでもキャリアアップにつながる可能性があれば取得は推奨です。
※情報処理安全確保支援士（登録セキスペ）取得の効果もご参考。
他の高度試験で求められる論述形式の問題が少ないため、その分取得は容易と感じられます。
資格登録の時期は選べるので先行合格して費用は後で考えればよい、という流れも可能です。

No	対象	費用	補足
1	参考書	約 3,000 円 ※個人差あり	筆者は情報処理安全確保支援士 2022 年版を一冊。 あとは過去問題のみ。
2	受験費用	7,500 円	所属企業宛ての領収書発行が可能。 （情報処理技術者試験・マイページより）
3	登録免許税	9,000 円	資格登録時の領収書発行が不可。収入印紙。
4	登録手数料	10,700 円	資格登録時、所属企業宛ての領収書発行が可能。
5	オンライン講習(初年度)	20,000 円	本表では最初の 3 年間として記載。維持する上では継続的に必要なため要注意。
6	オンライン講習(二年目)	20,000 円	本表では最初の 3 年間として記載。維持する上では継続的に必要なため要注意。
7	オンライン講習(三年目)	20,000 円	本表では最初の 3 年間として記載。維持する上では継続的に必要なため要注意。
8	実践講習(三年に一度)	80,000 円 ～	本表では最初の 3 年間として記載。維持する上では継続的に必要なため要注意。

情報処理安全確保支援士（登録セキスペ）取得するには

• 必要とされる学習時間
  500 時間程度が学習時間の目安という点、的を射ている印象です。
  筆者の結果からは 300 時間程。
  過去に応用情報技術者を取得していたのでその分勝手が分かっていたこともあり、3 ヶ月間で何とか収まった形。
  で、その 300 ～ 500 時間をかける価値がどこまであるか、ご判断の一助になれれば幸いです。

• 筆者実績・学習内容

  • 午前 Ⅰ
    一般的な知識で問題は使いまわされる傾向があります。
    点数をあげるには暗記が手っ取り早いです。
    日常業務的に暗記する価値がどこまであるかは疑問です。（儀式程度に済ませました。）

  • 午前 Ⅱ
    セキュリティ関連の基礎知識が学べます。
    筆者の入り口はこのあたりで、参考書を読み込み体系的に学べたことに満足しています。
    問題は使いまわされる傾向があるので、対試験では暗記が手っ取り早いです。
    頭の引き出しに入れておいて損はなく、午後 Ⅰ、午後 Ⅱ の学習に入る前に頭に入っていると役立つ面もあると思われます。

  • 午後 Ⅰ、午後 Ⅱ
    午後問題に特化した参考書などは特に必要ありませんでした。
    考えて回答を導き出しにくい問題も、回答をみると「なるほど」となる類が多いので、基本的に過去問を解くことのみで合格に至ることができました。
    ネットワーク、アクセス履歴解析、最近ではコンテナレジストリ関連まで幅広く学べます。

• 筆者実績・時間割
  本業を落ち着かせながら学習しないと 3 ヶ月間で納めるにはボリュームがありそうでした。
  筆者は本業に影響を出さないようにするために 8 時間前後の睡眠時間確保も必要で学習環境の整備には気を配りました。

  • 平日は午前対策

    • 通勤電車の往復で参考書を読む。

    • 家で IPA の過去問中の午前を消化。

      消化対象	内容
      応用情報技術者の午前問題	一応全部、14 年分くらい
      情報処理安全確保支援士の午前 Ⅰ 問題	一応全部、14 年分くらい
      情報処理安全確保支援士の午前 Ⅱ 問題	一応全部、14 年分くらい

  • 休日は午後対策

    • IPA の過去問中の午後を消化。
      一説には過去 4, 5 年分を解けるようになるまで繰り返す、という勉強方法もあるようです。
      筆者の場合、4, 5 年分だとパターン別の経験が不足する気がしたので、普段触れ合えない環境について考える良い機会、とじっくり向き合う方式にしました。

      消化対象	内容
      情報処理安全確保支援士の午後 Ⅰ 問題	一応全部、14 年分くらい
      情報処理安全確保支援士の午後 Ⅱ 問題	一応全部、14 年分くらい