経済産業省
文字サイズ変更

セキュリティ人材の確保に関する研究会(第2回)‐議事要旨

日時:平成27年8月19日(水曜日)10時00分~12時00分
場所:経済産業省本館1階西共用会議室

出席者

出席委員
有賀委員(座長)、岩丸委員、浜田委員、原田委員、三谷委員
オブザーバ
内閣サイバーセキュリティセンター、文部科学省

議題

  1. 各種資格の登録更新制度について
  2. 資格制度構築に必要な個別論点の検討

議事概要

  • 技術士では技術士補を導入しているように、何々士だけでなく、何々士補といった、「準ずる者」と位置付ける階層を導入してはどうか。
  • この登録更新制度は、弁護士などのような資格制度なのか、単に合格者を登録するだけの制度か、明確にしたほうが良い。
  • 対象者はどのくらいの数を目指すのか。継続的に育成していくのが狙いなのではないか。
  • 経過措置の網を最初に広げることが重要。その上で、新たな登録者を入れつつ知識や技能のない者を振るい落とすなど更新制によって、資格者の出入りのある制度にすべき。他の資格制度にあるような一時休止のようなものがあってもいい。
  • 情報セキュリティ監査人の登録制度の経験では、登録者も伸び悩んでいることから質だけでなく量を確保すべきだったので、量の確保は重要。徐々に質を高めていけばよい。
  • 登録者数の規模感が重要であろう。社会全体で20数万人が必要とされ、更に8万人が不足している、という中で、人材を確保すべき、という文脈から議論されていることからすると、今回の登録制度は、公認システム監査人や情報セキュリティ監査人のように数百人程度の規模で運用するのではなく、万人単位を目標とすることがよいのではないか。
  • 登録の対象をどこに置くかという戦略をどうするかによって設計変わる。人材確保の必要性に関する文脈や様々な要請からすると、多数を確保しないと話にならないということだろう。裾野を広くして登録制度の推進力をつけないといけない。そういう意味では、登録更新の水準をある程度下げていくべきで、そこからセキュリティの重要性に関する雰囲気を醸成・啓発することが重要。
  • 他の資格制度では数種類に階層分類されているが、今回の登録制度も4種類とか分類したほうがよいのではないか。
  • 先ほど指摘された「何々補」という分類名称では、主体的な業務担当ではなく補助的な業務を担当するという印象を受ける言葉であり、登録者も違和感を持つ人がいる。
  • まずは「何々士」というベースとなる資格を創設して、運用の中で資格者の一部を上位の資格に誘導していくような、プレミアを創設していく戦略もある。
  • 中小企業での対策を推進しなければならないし、そうしたレベルでのセキュリティへの関心を高めるとともに、ボランタリーに自衛消防隊的な制度にしていくことが必要。
  • ユーザから見ると人材の質の維持が必要だと思っている。企業がこの登録制度を活用していく上では、発注する際の基準にして受注先を選別するために、登録者が高度の専門技術者であることが必要だと考える。この登録制度は、啓蒙的に広げていくための施策なのか、質の高度化なのか、はっきりさせるべき。
  • セキュリティ人材が8万人不足しているという文脈からスタート時にある程度登録者数を確保するためには、経過措置に関しては、過去の合格者3万人が制度を設計する上での原点になるのではないか。
  • 経過措置としては、テクニカルエンジニア試験(情報セキュリティ)や情報セキュリティアドミニストレータを含み、過去の情報セキュリティ関連区分の合格者まで遡及してもよいではないか。のべ6.4万人。登録更新制度を通じて登録者が減少するとしたらそれでも少ないのではないか。
  • ITコーディネータの悩みは活動イメージ。資格者が現場でどのように活躍するかの具体的なイメージのモデルがあると登録更新制度が普及浸透していく。
  • 監査はタスクが定義されていて現場でどのように活躍するかのイメージがあるのでわかりやすいが、セキュリティは分野が広く、いろいろで千差万別であり、相当広い範囲をカバーすることになる。情報セキュリティスペシャリスト試験の合格者は、ベンダ側の開発者もいれば、管理者、ユーザ側の人もいるので、人物が特定しづらい。とりあえず前広に登録するということだろうが、具体的な活動内容のイメージが必要だろう。
  • セキュリティ人材の活動には3種類のイメージではないか。具体的には、(1)セキュリティを含めたシステム開発全般、(2)セキュリティの仕組みの構築(防御のデザイン)、(3)インシデント発生時の対応。特に、このうちの2つ目と3つ目は全く違う。それらを全部一緒にして登録制度を開始しても、共通部分は確認できるが、細分化しないと使い物にならない。
  • そういう意味ではイメージを明確化してそういう人材を必置とする規制をかけないといけない。特に重要インフラ。イメージを明確化すればビジネスモデルが確立する。ただ、現在検討中の情報セキュリティマネジメント試験(仮称)はレベル4ではなく、CISO並みでない。そのため、少なくとも経過措置の説明の際に発言のあった過去の試験合格者の3万人や6.4人の者をどう登録制度に含めていくかという設計が必要ではないか。
  • GSOCは、必ずしも全ての要員が技術的に高い能力を要求されるものではないことから、全員が確実に登録制度の対象なのか確定的には言えない。
  • IoTにより全てが繋がることになるので、全般的にレベルが高くないところも含めてセキュリティをあげていくべき。
  • セキュリティは他の工程にもかかわる分野なので、設計、構築など他の工程でセキュリティの知見のある人々も大勢いる。そういう人々をうまく登録制度に巻き込んでいけるとよい。
  • セキュリティには、まずはトータルに最低限のセキュリティを知っている者が見ないとだめであり、セキュリティ技術者の育成にかかわってくる。
  • 制度設計をする上で、想定している登録者数が、100人単位なのか、1,000人単位なのか、10,000人単位なのか、に関する規模感の合意が必要ではないか。登録制はいいきっかけだが、登録制だけ対応できる訳では無い。
  • 他の団体で資格制度の運営を経験したが、規模感の大きい場合には登録するためのシステムが必要。ITCはシステムが複雑だが自動化してカバーしている。

以上

関連リンク

お問合せ先

商務情報政策局 情報処理振興課

 
最終更新日:2015年8月31日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.