経済産業省
文字サイズ変更

セキュリティ人材の確保に関する研究会(第1回)‐議事要旨

日時:平成27年8月10日(月曜日)15時00分~17時15分
場所:独立行政法人情報処理推進機構13階会議室A

出席者

出席委員
有賀委員(座長)、岩丸委員、富永委員、浜田委員、原田委員、三谷委員
オブザーバ
内閣サイバーセキュリティセンター、文部科学省

議題

  1. 情報処理技術者試験など各種試験の概要について
  2. 資格登録制度について
  3. 資格登録制度に関する調査について
  4. 今後の進め方について

議事概要

議題1及び議題2について

  • これまでの情報処理技術者試験は主にベンダ側の技術者向けだったが、新しい情報セキュリティマネジメント試験(仮称)(以下「マネジメント試験」)はユーザ側で重要。また、更新制については、セキュリティ分野は技術や事象の移り変わりが激しく最新の知識を持っている必要が有るので有意義。同時に登録についてはシステム監査人の場合はそれを業にしている人がいるので目的は明確だが、セキュリティの場合はそれとは異なると思われるので、どういう目的とするか議論が必要。
  • セキュリティ監査制度の場合には制度を立ち上げてもマーケットが無かったので制度の見直しを余儀なくされた。資格の維持のためには一定のマスの規模が必要。資格の更新にはコストがかかり、資格を維持するインセンティブが無いと続かない。公認会計士も数年前から更新制を入れて比較的に上手く行っている。CISSPのような海外の資格の場合は採用の条件などになっており個人でも資格維持のモチベーションにつながっているが、日本でも同様なことができるのだろうか。単に海外の資格を参考にするのではなく、資格を保持するメリットが企業に有るのか、個人にあるのか制度設計の際にはよく考える必要がある。
  • いくつかのユーザ企業に意見を聞いた。ユーザの立場からは知識だけでなく実務にリンクした資格でベンダの評価に使えるのであれば意味がある。ユーザ自身では最近中途採用の例が出てきているがその際に役に立つ。ユーザ企業の中ではローテーションが有るのでセキュリティ以外の業務に移ると更新が難しい。義務化されると資格を取るし底上げにもつながるという意見もあった。
  • 技術進歩の激しい中で更新制は有意義。ベンダ企業では資格は積極的に取得を勧めており、手当や管理職任用条件などインセンティブを与えている。セキュリティ関係は欧米の製品が多く、活況を呈してはいるが円安の影響で収益も芳しくなく、花型分野とは言えない状況。何らかの公的なインセンティブが働くと違ってくるのではないか。例えば個人情報保護の分野で確認されるなど義務までいかなくても求められる状況が有れば違うのではないか。
  • 技術士のCPDをしている。技術士は8万人いるがCPD認証者は千人に満たない。毎年、更新者の審査を一定量行うが全員がパスする訳ではなく、パスするのはなかなか厳しい。コストもかかる。更新制をするのであれば、本腰を入れて覚悟しなければいけない。それだけのメリットがあるのかどうか。例えば、情報処理技術者試験については合格者を調達要件で提示するよう政府調達のガイドライン(実務手引書)に入れるなどしている。更新のための値段に合った形で制度設計できるのか。バランスを考える必要がある。
  • 現状では(情報処理技術者試験の)合格者は公表してないが、登録して登録情報を公表することは意味がある。
  • 情報セキュリティスペシャリスト試験(以下「スペシャリスト試験」)とマネジメント試験は明らかに違う。スペシャリスト試験は個人で登録するインセンティブが有るが、マネジメント試験は関連人材の裾野を広げるものでリテラシーに近い。
  • 企業のISMSの認証とは分けたほうが良い。数で比べると少しずれている感がある。また、大学の立場からはスペシャリスト試験を受けさせたいが、大学で学んでいるのに、試験の全部を受けないといけないのは大変。例えば(スペシャリスト試験の)午後IIだけなら受けられる。大学在学である程度免除をして貰いたい。
  • 午後IIは受けて欲しい。他の制度では講習受講、奉仕活動、書籍購読などで更新しているところもあるが本当に質が担保できるのか。費用もかかる。それぐらいであれば一度合格した者に再度全部受けてもらうのは辛いが、実務能力を確認する意味で午後IIだけ受けて貰うことはあり得るし有効。
  • 午後IIはケーススタディも使っている。考える力を付けられる。良く作られている。
  • この資格が対象とするのはどういう人か。ITベンダに80万人技術者がいると言うが、セキュリティ専門は数千人程度。マーケットは小さい。
  • ある程度以上の規模の企業は自ら人材育成ができるのかも知れないが、50~100人といった小規模の企業は難しい。サービス基盤を利用してITを持たない仕組みも必要。
  • 最近の開発と運用を接近させる「DevOps」のような流れからみても、ユーザ側のセキュリティの裾野のレベルを底上げすることは効果がある。
  • いきなり色々な事をすると上手く行かない。全体のうち、最初にするのはこれだけと少しずつにした方が良い。スモールスタートで反応を見ながら手探りで広げた方が良い。
  • これまで企業内ではスペシャリスト(専門人材)は評価されなかった。ゼネラリストが重宝された。これからは違ってくる。
  • ここ2~3年で企業のセキュリティ環境は変わった。それまでは少ないカネでどう対策を取るかという話だったのが、大手では予算が無いからやらないという企業はほとんど無くなった。一方で、中堅中小企業はステージが違う。未だ経営の問題。経営者の意識を変えないといけない。
  • 中小企業は(セキュリティ対策が)出来ていないが、システムは大手企業とつながっている。社会的な仕組みが要る。
  • Pマークは最近は中小企業も対象となっている。10人以下の小規模な企業でも取引先に要求されるとやらざるを得ない。実際には自分たちではできないからコンサルタントに頼み安全管理措置を導入しているが、意外と上手く行っている。これと同様に、例えばマイナンバーをトリガーにして管理者を資格の一つとして定着させるのはあり得るのではないか。
  • IoTには中小企業が沢山(参画して)いる。(中小企業であっても)セキュリティは知りませんと言えない状況。
  • IoTは怖い話。機器が攻められると、同じものが沢山ばらまかれている。機器をセキュアに作る必要性がある。中小のセキュリティ確保は大きな宿題。
  • 経過措置は、更新制を導入するのであれば、その期限の範囲で良いのではないか。例えば3年更新であれば、経過措置の遡及も3年など。
  • (現行試験制度の始まった)21年以降ではどうか。
  • 対象はスペシャリスト試験だけでよい。マネジメント関連も出題範囲に含まれる。新設されるマネジメント試験はリテラシーに近い。マネジメント試験を合格した人には将来的にスペシャリスト試験も目指して欲しい。
  • セキュリティの考え方も変わって来ている。例えば以前だとケーブル抜くのが常識だったが今は抜いちゃいけない場合が有る。逆になってきている例もある。

議題3について

  • アンケートの設計や母集団などが正しいのか。属性が違う可能性がある。
  • 個別資格について(アンケートで)聞いている旨冒頭に加えるべき。
  • 経済産業省からの依頼による調査である旨追記すべき。
  • 「御社は」との聞き方だが、企業グループの場合はグループでの回答もあり得る。
  • 細かく質問しすぎる。
  • 本日の議論の中でも、遡及範囲を21年からにするか、それとも13年からにするのかなど論点が色々とあったので、それを項目に織り込んで欲しい。
  • 全体的にセキュリティの「専任者」前提ではなく、「兼任者」を意識した設問にして欲しい。

議題4について

事務局から今後の研究会の日程等について連絡を行った。

以上

関連リンク

お問合せ先

商務情報政策局 情報処理振興課

 
最終更新日:2015年8月31日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.