情報処理安全確保支援士の本当のメリットは個人よりも会社にある
ここでは情報処理安全確保支援士(RISS/登録セキスペ)のメリットについて解説します。また現在の企業別ランキングや情報処理安全確保支援士を取り巻く状況について書きます。
目次
情報処理安全確保支援士に付いて
2016年10月からIT界初の国家資格である情報処理安全確保支援士の登録がスタートしました。
前身の資格である情報セキュリティスペシャリスト保持者は安全確保支援士の登録の権利が与えらえれ、2年間の猶予期間があります。
登録に迷っている方のほとんどは維持コストがネックなのではないでしょうか。3年間で約15万円の支出が必要となります。登録代を含めると17万です!
これは国が行うセキュリティ教育費用で、登録者全員に行うことで安全確保支援士の能力の品質が保たれるというわけです。
とはいえ、この金額は個人には負担が重すぎるという声があります。また、2016年現在、独占業務が(混乱を避ける為)決まっていないのでいわゆる「xxをするときはこの資格が必要」というものではありません。
合格率1割強の難関資格を取ったはいいけど、個人的メリットもはっきりしないし費用もかかるので登録を迷っている方がほとんどだと思います。
どうして国はこの様に維持費を高額にしたのでしょうか。
情報処理安全確保支援士は企業が頭数を競う資格だから
例えばあなたがクライアントで候補業者からサーバーやシステムを納入するとします。ユーザーから見れば情報漏洩のリスクは気になるもの。
ケース1
候補A社の営業「うちのシステムは社員がとても念入りに頑張ってチェックして納入していますのでセキュリティは大丈夫です」
クライアント「頑張ってって言ったってどれくらい?見ている人はちゃんとセキュリティ知識あるの?」
ケース2
候補B社の営業「うちには安全確保支援士が100名在籍しており製品監査を行っていますのでセキュリティは大丈夫です。国からの公表によると競合A社はたった2人の様です。」
クライアント「確かにこの前公表されていましたね。A社はたった2人で見てるなんてハッキングしてくださいと言っている様なものですね。」
セキュリティは信用
仮に両製品が本当は全く同じOEM製品だったとしても、クライアントがどちらを選ぶかは明らか。
セキュリティは「信用」です。本当はクライアントがいちいち脆弱性チェックすればいいのですが、それは現実的ではありません。
結局は第三者が測った「信用」で判断するしかないというところに落ち着くわけです。そして国はその「信用の源泉」の最高峰というわけです(少なくとも顧客の目には)
ポイントは今までの高度情報資格とは異なり名簿が公開されること
重要なのは情報処理推進機構より公表される「登録名簿」
ここには登録番号に併記して会社名が記載されます(任意で出さないこともできます)
これは何を意味しているのでしょう。
そう、これをソースに安全確保支援士の企業別所属者数ランキングが作成されるということです。
その数値はセキュリティについて詳しくない顧客にとってはその企業の「セキュリティ信用度そのもの」に映るでしょう。
これが「情報処理安全確保支援士の本当のメリット」です。
様子見企業は出し抜かれた
初回登録期限は2017年1月末でした。当時はGoogle検索しても「安全確保支援士の個人的メリットはない」的な記事が上にきていました。
それは半分正しいと思います。3年で15万円も出して国の教育を受けるくらいなら民間の参考書で自分でセキュリティの勉強をした方が安いからです。
なので所属企業が本当のメリットに気づかない不幸な合格者は資格喪失してしまい、気づいた時には後の祭りです。
富士ソフト社は早速、初回で109名の支援士登録を行いました。
『富士ソフト、サイバーセキュリティ支援のための組織体制を強化、サイバーセキュリティ推進室の新設と100名を超える情報処理安全確保支援士の登録申請 』 http://www.fsi.co.jp/company/news/161221.html
情報処理安全確保支援士は「xx管理士」の様に企業に1人いれば良い様な資格ではなく、100人単位で頭数を競う資格だということがここからわかると思います。
制度開始2年目
制度開始2年目で大きな変化が起きました。
というのは様子見組の登録期限は2年だからです。上記の様に競争が激化していた場合は慌てて駆け込み登録が入り強烈なバイアスがかかりました。
この段階で盛り上がりがない場合は、様子見組が権利喪失して制度はジエンドでした。もちろんすでに大量のコストをかけた企業群がそれを静観はしませんでした。
すでに登録者数は15000人を超え、大手ベンダは百人単位で頭数を競っているのがランキングを見てもわかります。
IT界初の国家資格、情報処理安全確保支援士制度を取り巻く環境がどうなっているか。これからがとても楽しみです。
情報処理安全確保支援士関連ニュース
2017年4月に登録した場合、集合講習8万円が3年目からで済むのは「2014年春季試験合格者」からです。それ以前の合格の場合は初年度から8万円の集合講習を受ける必要があります。
登録名簿は特に区分けされずに番号順にPDFで公開される予定です。それに基づいた企業別ランキングなどの作成公開は自由に行っていいとのことです。
2017年2月15日、IPAより初回登録者数の発表がありました。その数4175人。機構の想定より多かったようです。合格者の総数比率10%。コストを考えると相当な数です。
2017年4月 特定非営利活動法人 日本セキュリティ監査協会が情報処理安全確保支援士特例制度を発表しました。
登録事項
2017年10月2日(月) から、登録者公開情報に以下の項目が追加となり登録セキスペは自身で変更できるようになりました。
- 連絡先電話番号
- 連絡先メールアドレス
- 得意分野(i コンピテンシ ディクショナリより選択)
- 保有スキル(i コンピテンシ ディクショナリより選択)
- 自由記述(最大400文字)
情報処理安全確保支援士会について
Facebookグループの有志にて法人、情報処理安全確保支援士会の発足が決まっています。団体としての行政へのアプローチも期待出来そうです。
IoT税制の優遇条件担保業務
2018年6月6日に施行された「IoT税制(コネクテッド・インダストリーズ税制)」において、税制優遇の条件の一つ「一定のサイバーセキュリティ対策が講じられている」ことを担保する役割を登録セキスペが担うこととなりました。