【資格】ITエンジニアの国家資格:情報処理安全確保支援士(RISS)
情報処理安全確保支援士は日本が必要なスキルを持っていると保証しているITエンジニアの国家資格です。メリット・デメリット踏まえた賛否両論はありますが、非IT業界で情報処理安全確保支援士になっている身ではメリットが大きいと思っています。
この記事は情報処理安全確保支援士の登録を考えている方や、情報処理安全確保支援士試験を受けようと考えている方向けの記事になります。
前置き
情報処理技術者試験の中で唯一、合格が国家資格(情報処理安全確保支援士)につながる試験が情報処理安全確保支援士試験です。試験の区分はレベル4(高度試験)と試験の中では一番難しい試験の一つとなっています。
情報処理技術者試験の合格はもちろん知識・技術の証明になりますが、合格に加えて国家資格を取得することで国(日本)がITエンジニアとして必要なスキルを持っていると保証していることになります。
現在ITエンジニアとして業務を担当している方はもちろんですが、異分野・未経験からITエンジニアを目指す方にとっては資格の取得が知識・技術の証明で最も説得力を持つことが分かってもらえると思います。
難しい試験ですが異分野・未経験・独学でも合格できます!
https://uura.site/sc-1/仕事で使うように作った情報セキュリティの基本資料です。
https://uura.site/sc-main/it-security-summary/その他の試験についてはこちらのページにまとめています。
https://uura.site/sc-main/it-skill-examination-summary/そんな情報処理安全確保支援士ですが定期的な更新と安くない費用が必要になることもあり、ネット上の意見は賛否両論です。この記事では本業が非IT系で情報処理安全確保支援士になっている私自身の経験を踏まえて、資格概要や取得のメリット・デメリットについて紹介しています。
情報処理安全確保支援士
情報処理安全確保支援士(RISS:Registered Information Security Specialist)は、「情報処理の促進に関する法律」第六条で定められている国家資格です。
背景として、近年ではIT機器・システムの普及が進んだことに加えてサイバー攻撃の増加や高度化による脅威が増大しています。そのため、情報セキュリティ対策は経営上の課題だけでなく企業の社会的責任(CSR)としても重要な課題になっていることから、情報セキュリティの責任を担える人材の確保が急務となってことから国家資格として制定されました。
言い換えれば、国家レベルの課題として「情報セキュリティ対策を進めるための必要な人材が必要」なことから情報処理安全確保支援士が求められています。
法で定める業務
情報処理安全確保支援士は、情報処理安全確保支援士の名称を用いて、事業者その他の電子計算機を利用する者によるサイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。以下同じ。)の確保のための取組に関し、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援することを業とする。
情報処理の促進に関する法律(昭和四十五年法律第九十号)
法律の文面ではわかりづらいので要約すると法で定める業務は以下のようになります。
- 「IT利用者の情報セキュリティ(サイバーセキュリティ)の確保」のための「相談・情報提供・助言」を行うこと。
- 「IT利用者の情報セキュリティの確保の取り組み」に対する「調査・分析・評価」から「指導・助言」を行うこと。
- 上記を含めて「IT利用者の情報セキュリティの確保」のための「支援」を行うこと。
見ての通り、IT利用者が情報セキュリティを確保できるように「支援」することが業務のため、(例えば実際のファイアウォール設定の見直しなど)IT利用者への直接的な関わりだけでなく相談も含めた間接的な関わりも業務範囲となります。
情報処理安全確保支援士になる条件
情報処理安全確保支援士になるためには「情報処理安全確保支援士試験に合格した者」か、「同等以上の能力を有すると認められる者」でなければなりません。
「情報処理安全確保支援士試験に合格した者」はそのまま読んで字のごとくですが、「同等以上の能力を有すると認められる者」は「(警察・自衛隊・内閣官房などの)国が指定するポストでの従事年数が一定期間を超える場合」のため、ごく一部の人しか対象になりません。
以前は情報セキュリティスペシャリスト試験の合格者も試験免除で登録できましたが、2022年現在では不可能になっているため情報処理安全確保支援士試験に合格する必要があります。
一部試験免除
試験全部免除ではありませんが、国内外の類似資格合格者や大学等でセキュリティを専門とする教育課程の修了者については情報処理安全確保支援士試験の一部が免除されます。
https://isc.iwasaki.ac.jp/news/news20181009.htmlその他制度の詳細
その他、制度の詳細はIPA(独立行政法人 情報処理推進機構)のWebサイトをご覧ください。
https://www.ipa.go.jp/siensi/資格取得のメリット・デメリット
メリット
一定の知識・スキルレベルを国が保証してくれている
国家資格の一番メリットは、それまでの経緯(IT系企業の長期経験者、IT企業未経験者など)に関わらず、少なくとも資格を取得できるだけの知識やスキルを国(日本)が保証してくれることです。
もちろん、試験合格でもその時点の知識やスキルは証明できますが、情報処理安全確保支援士は継続した研修が義務付けられているため資格を維持している事で継続して知識とスキルを維持できている事が保証されます。
義務付けられている講習を通して知識・スキルが維持できる
上記の保証とつながっていますが、私のように本業が情報セキュリティと関係ない場合、一定レベルの講習を定期的に受講できることは知識とスキルの維持に非常に助かっています。
情報セキュリティ人材のネットワークが作りやすい
良くも悪くもまだまだ人数の少ない情報処理安全確保支援士のため、資格取得者のネットワークも発展途上です。言い換えれば、これまで情報セキュリティに関わっていなくても組織内で活動できる範囲が広いため、情報セキュリティ人材のネットワークは作りやすい環境になっています。
JP-RISSA(一般社団法人 情報処理安全確保支援士会)
情報処理安全確保支援士の有資格者団体(職能団体)で、情報処理安全確保支援士ポータルサイトの関連団体になっています。会員が国家資格「情報処理安全確保支援士」がわかる!説明会で演者としても参加しています。
https://www.jp-rissa.or.jp/IT企業の方からも評価される
個人的な事例ですが、本業で関わっている電子カルテベンダーや部門システムベンダーの方から教えてもらえる情報が増えました。
以前は「PCやシステムの導入経験がある少し詳しいユーザー企業の職員」でしたが、資格取得後は「情報処理安全確保支援士」として、ネットワークやセキュリティ設定の教えてもらえる情報が多くなりました。
デメリット
費用がかかる
ネットでも多くの方がデメリットとして上げていますが、登録の際に手数料と免許税で約20,000円、更新にはさらに費用が必要になります。
3年ごとの更新までにオンライン研修を3回、特定講習を1回受講する必要があり、研修・講習の受講費として3年間で15万円程度が必要になります。
会社によっては更新費用を負担してもらえる場合もあるようですが、本業と関係なく取得した私は当然会社負担は無いため自腹です…。
秘密保持義務が生じる
元々医療系の資格で仕事をしているため、個人的には全然気になりませんが今まで秘密保持義務が無い場合は気になる方もいるようです。
情報処理安全確保支援士は、正当な理由がなく、その業務に関して知り得た秘密を漏らし、又は盗用してはならない。情報処理安全確保支援士でなくなつた後においても、同様とする。
情報処理の促進に関する法律(昭和四十五年法律第九十号)
とは言え、資格上の秘密保持義務だけでなく普段の業務でも契約上の秘密保持義務は生じている事が多いため、特段何かが変わる事はありません。
その他、秘密保持以外にも倫理要綱から「公平と誠実」「法令等の遵守」「信用失墜行為の禁止」「自己研鑽」が加わりますが、自己研鑽以外は一般的にも守る内容となっているためやはり生活が変化することはありません。
メリット・デメリットから現状の課題
以上のようにメリット・デメリットがどちらもありますが、異分野・未経験でITエンジニアになりたい場合や、私のように本業は異分野でも、ITベンダー企業と接触する機会が多い場合はメリットが大きいです。
ですが正直、ITエンジニアの方が情報処理安全確保支援士になることの明確なメリットは少ないと思います。また、当然メリットが増えないと有資格者も増えませんが現状では以下のような課題が残っています。
業務独占が無い
情報処理安全確保支援士は法律で定められた独占業務が無く、あくまで名称の使用を認められるだけのため資格の有無で行える業務は変化しません。
IT技術・環境は日進月歩のため、特定の資格しか行えない独占業務を作ると進歩に追いつけなくなる企業が出てくる可能性があることは確かに理解できます。
ですが、昨今の大手銀行で頻発しているシステム障害や政情不安などを考慮して、社会への影響が大きい一定レベル以上の情報システムでは責任の所在を明確にするためにも国家資格の保有者を必置にするなどの処置が必要だと思っています。
が、そのような働きかけに対しても以下に示す課題があります。
有資格者団体(職能団体)も発展途上
職能団体(しょくのうだんたい)とは、法律や医療などの専門的資格を持つ専門職の従事者らが、自己の専門性の維持・向上や、専門職としての待遇や利益を保持・改善するための組織である。
https://ja.wikipedia.org/wiki/%E8%81%B7%E8%83%BD%E5%9B%A3%E4%BD%93
本業の医療系資格でも有資格者団体(職能団体)はありますし、資格所有者と団体会員数がほぼ等しい(賛助会員や企業会員も含める)会員数です。もちろん、根拠法施行後の期間が違うため一概に比較できませんが、私も所属しているJP-RISSAの会員数は現在400名程度と、資格所有者(約20,000名)と大きな差があります。
上記の課題を解決するための働きかけを行うためにも有資格者団体の発展が必要ですが、平成28年から新設された国家資格と言うこともありまだまだ団体自体も発展途上です。
とは言え、言い換えると私のように異分野・未経験の資格取得者でも団体運営に積極的に関わることができるため、発展途上だからこそやりがいがあるとも言えます。
課題解決のために必要と思うこと
上記の課題を解決して情報処理安全確保支援士としてのメリットを増やすためには、何よりも有資格者団体が行政や企業が無視できない規模まで発展し、意見を取り上げてもらうことが必要だと考えています。
そのためには現在の情報処理安全確保支援士への働きかけだけでなく、今後も情報処理安全確保支援士の資格取得者が増えていく必要があります。そこで、現在ITエンジニアとして仕事をしている方だけでなく、異分野・未経験からの資格取得者が増えるように、この記事のような情報提供や知識・技術の公開を進めています。
資格取得後の道
情報処理安全確保支援士試験の業務と役割や他の情報処理安全確保支援士の方々からお話を伺った中からは、業務内容は大きくテクノロジ系とマネジメント系に分かれていますが、マネジメント系の業務が多いようです。私自身も、本業以外では情報セキュリティマネジメントの構築や検証、ベンダー企業との調整が多いです。
法で定める業務自体も「支援」のため、非IT企業からITエンジニアへの転職を考えている方はもちろん、ITエンジニアの方でもマネジメント系の仕事を選びたい場合は資格取得で道が開ける可能性は高くなると思います。
テクノロジ系のセキュリティスペシャリスト
情報処理安全確保支援士に限った話ではありませんが、セキュリティベンダーの第一線で活躍しているエンジニアは報酬もかなり高い(年収4桁万円近く)との話を聞いています。
また、システム開発だけでなく、スマホアプリもセキュリティを考慮した開発が必要になっています。情報処理安全確保支援士自体はマネジメントが中心であっても、プログラミングを始めテクノロジ系に精通したセキュリティのスペシャリストは需要が高くなると思っています。
まとめ
異分野・未経験で情報処理安全確保支援士になっている立場からは、資格取得はメリットが大きいと感じています。もちろん3年間で15万円の費用は楽ではありませんが、非IT系の職業ではJP-RISSAから得られる情報も貴重なため、情報処理安全確保支援士を取得して良かったと思っています。
今後も情報セキュリティの重要性が高くなることは確実です。登録証に更新回数も記載されるようになったため、今現在は大きなメリットが無くとも今後を見据えた資格取得で長期的にはメリットが大きくなると考えています(経験年数〇年以上の情報処理安全確保支援士の必置化など)。
特に非IT系の方に対しては、ITエンジニアへの転職に関わらず資格取得は知識の維持のためにも有用だと考えています。