サプライチェーンリスク低減のためにも情報セキュリティマネジメント試験を活用

2022-01-13

IPA(独立行政法人情報処理推進機構)が実施している情報処理技術者試験の中でも、ITパスポート試験と情報セキュリティマネジメント試験はITを利活用する者(ユーザー向け)の試験になっています。

私自身も、今は情報処理安全確保支援士に合格していますが、最初はITパスポートから順番に受けはじめ、情報セキュリティマネジメント試験は平成31年春季試験で合格しました。

今回の記事では、情報処理技術者試験を受け進めていった経験を踏まえて、情報セキュリティマネジメント試験がどんな役に立つのか、受ける意味があるのかについて情報セキュリティの観点から記載したいと思います。

情報セキュリティマネジメント試験の概要

IPAの情報では、情報セキュリティマネジメント試験の対象者は「ITの安全な利活用を推進する者」とされ、試験区分としては共通キャリア・スキルフレームワーク(CCSF)レベル2相当となっています。

情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。〈共通キャリア・スキルフレームワーク(CCSF)レベル2相当〉

https://www.jitec.ipa.go.jp/sg/about.html

試験自体は平成28年から始まったので情報処理技術者試験の中では新しい試験になりますが、令和3年度後期試験までの累計受験者は約15万人、合格者は約9万人(合格率約60%)と合格率は高くなっています。

試験の特徴

試験自体はユーザー向け試験のため合格率は高くなっています。個人的な意見になりますが、試験を受けて感じた特徴を以下に記載します。

  1. 技術的な内容は少ないが、情報セキュリティに関する一通りの理解が必要
  2. 試験の文章量が多いため読解力が要求される
  3. ネットワークセキュリティを中心にしたマネジメントが中心
  4. もちろんアナログ(オフライン)のセキュリティ対策も重要

何よりも、2.の文章量については令和元年度秋季試験では午後問題の最後まで解答できなかった受験者も多かったようです(詳細は不明ですが合格点の調整が入りました)。

令和2年度後期試験からはCBT(Computer Based Testing)試験になったため受験時期によって設問が変わるようになりましたが、基本的に文章量は多いままだと思います。

情報セキュリティマネジメント試験の評価

試験自体はユーザー向けの試験で合格率も高いため、ITパスポート試験と同様に合格することで高い評価が得られる試験ではありません。

ですが、情報セキュリティに関してはIT系の企業の方はユーザー企業へ説明する内容の判断として、ユーザー企業の方はベンダーとの話し合いの上で必要な知識として重要性は高いです。

少なくともユーザー企業の方にとっては、情報セキュリティに関する知識を一通り身に着ける試験としてとても有用な試験だと思っています。

試験を受けて欲しい具体的な対象者

IPAからの対象者は前述の通り「ITの安全な利活用を推進する者」と幅広くなっていますが、特にITに関わらない職業の管理職の方はITパスポート試験と合わせて必須の知識だと思っています。

とは言え、年齢が高くなるにつれて新しい事の勉強が億劫になるのも現実ですし、ましてや試験を受けて不合格になった場合を考えると試験は受けずに勉強だけで十分との考えも出てくると思います。

ですが、現在ではほとんどの業種で何らかのICT機器を使って業務を行っています。

その中で企業の情報セキュリティガイドラインの利用状況に関するアンケート結果では、日本では情報セキュリティに関するフレームワークやガイドラインを利用せずセキュリティ対策に取り組んでいる企業が27%と最も多い回答になっています。

もちろん、選択肢以外のガイドラインやフレームワークを利用している場合は問題ありませんが、もし自己流での情報セキュリティ対策の場合は必ずどこかに穴が開いていると思って差し支えないです。

そのため情報処理安全確保支援士として、特に管理職の方には情報セキュリティマネジメント試験の受験・合格を持ってISMS(情報セキュリティマネジメントシステム)・ISO27001を理解してもらいたいと考えています。

サプライチェーンリスクへの対策として

また、タイトルにも挙げたように現在では個々の企業活動がサプライチェーンの一部を担っている事が多くなっています。

サプライチェーンとは、商品の企画・開発から、原材料や部品などの調達、生産、在庫管理、配送、販売、消費までのプロセス全体を指し、商品が最終消費者に届くまでの「供給の連鎖」である。

https://www.meti.go.jp/report/tsuhaku2021/pdf/02-01-02.pdf

サプライチェーンリスクには自然災害や原材料価格の高騰などの様々なリスク要因が含まれていますが、近年は新型コロナウイルス感染症によってテレワークやオンライン会議が増えたことによるサイバーサプライチェーンリスクについても重要視されています。

サイバーサプライチェーンリスクと情報セキュリティマネジメント試験

サイバーサプライチェーンリスクとは、企業活動で取り扱う情報に関するセキュリティインシデントが取引先等で起きた結果、自社を含めた広範囲の企業に影響を及ぼすリスクの事です。少し古い情報ですが、IPAからも「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」として報告書が作成されています。

報告書にもありますが、サイバーサプライチェーンリスクに対しては1.情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を委託先に明示していない事、2.委託契約における情報セキュリティ上の責任範囲(責任分界点)がわからない事が大きな課題となっています。

また、課題1.の情報セキュリティ対策の明示についても、課題2.にある責任範囲がわからない事に加えて、ユーザー企業では実施する情報セキュリティ対策そのものが分からない事も原因と思われます。

最後に

今後の企業活動でIT機器の利用範囲が広がることはあっても狭くなることは考えづらいですが、セキュリティに関する意識はまだまだ低い企業が多いのが現実です。

そのため、情報セキュリティマネジメント試験を積極的に活用することで競合他社との差別化もでき、広く関係者の安心できる企業活動の推進につながれば、と思っています。