経済産業省
文字サイズ変更

セキュリティ人材の確保に関する研究会(第3回)‐議事要旨

日時:平成27年8月22日(土曜日)10時00分~12時00分
場所:独立行政法人情報処理推進機構13階会議室

出席者

出席委員
有賀委員(座長)、岩丸委員、富永委員、浜田委員、原田委員、三谷委員
オブザーバ
内閣サイバーセキュリティセンター

議題

  1. 資格制度構築に必要な個別論点の検討

議事概要

  • 情報セキュリティスペシャリスト試験合格者のうち、セキュリティ専任の技術者は5%くらいだと思う。他にシステム開発と兼務している人たちがいる。
  • 学生の中でも、暗号を専攻している人は情報セキュリティスペシャリスト試験を受けない。法律系の学生も受験していない。情報セキュリティ大学院大学の社会人学生は当初はベンダの人が多かったが、近年はユーザ企業から来る人も多い。
  • 情報セキュリティスペシャリスト試験の合格者の1割5分がユーザ側の人材。情報セキュリティスペシャリスト試験は情報処理技術者試験の高度試験の中でも最初に受ける人が多い。
  • 事務局資料の6ページはよくできている。左上向きの矢印の範囲にいることによって自己研鑽を続け、スキルが上がっていくイメージがいい。
  • 大学の観点からすると、CISOの立場が弱い。資格制度で強められると良い。企業でいうとCEOの下のCIOの下にCISOがいる。CISOは経営会議に出られない人も多く、グローバルで同じ状況。CISOがガバナンスをきかせられるようにならないといけない。CISOの立場も上がれば、経営会議にも出られるようになる。大学の卒業生をみてもCISOになった人はごく僅か。
  • CISOを置いているのは上場企業の2割くらいという調査がある。企業規模によって全く違う。規模が小さくなっていくと少なくなり、更に製造業になると数字は小さくなる。ここを変えないといけない。
  • CIO自体がいまひとつ。違う切り口でやる必要あり。上場の要件にCIOとCISOを置かないといけないくらいやらないと。
  • 人材の不足は調査で出ているが、手を打とうとしているのは、CIOやCISOを持っている企業だけ。そうでないところは手を打てていない。
  • 大企業でもIT専門会社を子会社化する傾向あり。IT業界としての希望は、重要インフラ13分野、ここにセキュリティに対するガイドラインのようなものを示して、広めていくと広まると思う。
  • 産構審の情報経済小委員会では、情報子会社化することが多重下請け構造の要因になるのではないかという指摘があった。
  • 情報子会社を持つのは世界にも類を見ない日本固有の形。子会社からガバナンスを聞かせるのは難しい。日米比較からも明確。
  • 自分自身が現場をわかっていないと。子会社からのサポートではスピードに難がある。コアのところは自社化する動きあり。
  • 子会社にCIOを持っていってその下にCISOをおいても、ガバナンスはきかない。
  • 金融機関はセキュリティの対応などは自社化が進んでいる。BtoBの企業、製造業などは意識が薄いと感じられる。
  • (重要インフラへの規制は)あればいいのはそのとおりだが、どこがどこまで作るか難しいと思う。政府が作ることなのか、自主的に作ることなのか、を含めて整理することが必要。
  • セキュリティポリシは企業意思であるという論があるが、重要インフラだからここまでは必要という基準は必要かもしれない。
  • IoTとなると、セキュリティ技術者ではなく、組込技術者側でセキュリティの意識が必要。重要分野をリードする人が育っていくことが望ましい。
  • 情報経済小委員会で「IoTジャンルで、既存に設置しているデバイスで既に感染しているものがありそうだ。大きな問題だ」という指摘があった。どこまでを対象とするかは整理したい。
  • 「情報システム」の範囲はどこまでか。狭い意味にとられることが懸念。運用などの技術者も対象に入るのではないか。
  • 運用と言うと、オペレーションのイメージがあり、マネジメントが入らない。
  • 外部環境が変化することをモニタリングする、リスク管理する要素を入れることを入れたい。
  • アメリカでは有価証券報告書にリスク状況を書き始めている。リスク認識を持てるのは、CISOなどでないとできない。きちんと経営会議の中で説明して、ガバナンスを効かせることが必要。
  • 資料6ページの(1)(2)は資格の対象でなくてよい。(3)について「情報システムを作る」の「作る」を修正したい。会社全体のセキュリティをどう守るか、インシデントが起きたときの初動など。それぞれ実施する部分があるので、定義に入れてもらうとユーザ企業は使いやすい。
  • セキュリティは技術だけでない。ガバナンスも含まれる。今回の人材像は技術だけなのか、ガバナンスも含むのか。作る人だけが考えればよい、では困る。
  • 今の情報セキュリティスペシャリスト試験をみると、企画から運用なども含んでいる。PDCAも入っている。ライフサイクル全般を対象にしている。
  • 利活用の観点から、教育、訓練、指導などが入っていてもよい。
  • ユーザ企業の中では、教育、啓発、マネジメント、レポーティング、起きた場合の対応、連絡などが重要で関心も高いが、実はノウハウがない。ITの構築はシステム部門に任せればよいが、セキュリティは全社での問題。人材育成が遅れている。(3)に「作る」だけでなく、そういった要素を入れてほしい。
  • 情報セキュリティスペシャリスト試験の対象者像、業務と役割に今、議論にあった「開発・運用・保守を推進する」「情報セキュリティポリシの作成、利用者教育」といったことが明確に書いてある。試験制度、問題の中身などを良く見ていただきたい。
  • 役割分担すると、作ると管理監督側の話と両方ある。情報セキュリティスペシャリスト試験は後者が薄い。
  • 組織のマネジメントのような話を試験で問うのは難しいだろう。
  • CISOと名乗るなら、情報セキュリティスペシャリスト試験と情報セキュリティマネジメント試験に受かっているべき。
  • スタートは対象を広くしたほうがいい。注目される、ボリュームあるものを作ったほうがよい。これだけ事件が起きているから、500人、1000人規模ではだめだろう。
  • 経過措置について、なるべく対象は広くしたほうがよい。時限的にでも。
  • IPAの調査で16万人が再教育必要と言っている以上、最初の人数は必要。
  • システム監査人制度の初期の検討であったが、今まさに監査をやっている人が入っていないのはおかしいという議論があった。今まさにセキュリティ業務を担当している人が入れるような制度設計にするべき。
  • 他の資格の合格者を入れるということもあり得るのではないか。
  • 学会に論文などを出しているかなどを見てはどうか。
  • 他の高度試験も対象にして、更新していけば良いという制度にしてはどうか。
  • 制度のスタートのときにどう対象を広くするか、更新基準をどうするかを分けて考えたい。広いままだとcertificationの意味がなくなる。情報セキュリティスペシャリスト試験の午後だけ受けてもらう案もあり。
  • 更新期限については運用側の問題が大きい。
  • 試験を合格した後、何もないというのはダメだというのがそもそものスタート。試験合格水準のスキルを維持しているということであれば、何年かしたら再度試験を受験し合格してはどうか。
  • スタートを広くは賛成。その後の更新に情報処理技術者試験を使ってはどうか。10,000人規模の登録者を考えると更新審査関連の事務量も膨大となる。試験を午後IIに絞ったりして活用すれば、受験負担も軽くなり、審査も効率化できる。
  • セキュリティについては「実践的な能力」が問われる。実践をきちんとやっているかがポイント。プライバシーマークの審査では、審査員はフォローアップセミナを年に1回受けなくてはならない。セミナをきちんと受けるが基本。審査側の工数も膨大である。それが基軸でそれができない方は試験というのがあるべき姿でセミナが主、試験が従なのではないか。
  • 情報セキュリティ大学院大学では文科省の事業でenPiTプロジェクトを実施しているが、その受講証明が使えるのではないか。大学でもできるが万人単位だと無理。教育の準備はあり。一つだけではなく複線でやっていくべき。地方であれば遠隔学習なども検討すればよいのではないか。
  • 3年ごとに試験を受けて合格するというのをユーザ企業に求めるのは難しい。それよりも実務経験を書かせる、セミナを受けさせるなどがあるのではないか。
  • 会場でテーマを与えられて書く論文ならまだしも、外で自由に書いてきて持ってきた論文では本当に本人が書いたものか分からない。
  • 社内の認定で論文もやっていたが、非常に大変。年間100人程度なら可能かもしれないが、万人単位なら回らない。
  • 大手企業はセキュリティに関する最新情報が入ってくるが、中堅中小は情報がなく、対策を立てられない企業も多い。毎年、セミナを受講するほうがよい。毎年変わっていることを教えることが大事。
  • 学校も教育プログラムを毎年見直している。試験でできるのは素養を持っているかの確認までではないか。
  • インシデントの共有が大事。民間では難しい。資格制度をうまく運用するには、情報共有も必要。
  • セキュアな状態なら情報を出せるが、そうでないと出せない。フォーラムなどの限定企業で事例を発表するなどは効果的。
  • 登録者のコミュニティはよい。話をして、情報を共有することが有効。
  • ITを発注側でもセキュリティは重要。資格対象のスコープは広めにしたい。実務経験では、セキュリティに携わっていない人が実務経験を書けない。単線でなく複線にしてはどうか。ハードル下げすぎてもいけない。
  • 登録者の中でもレベルの違いがあると思う。また、発注者の期待水準も違う。発注者の責任で、登録者がどういうレベルの人なのかを確認できるようなシステムがあればいいのではないか。
  • ベンダ企業の中で、本人が(セキュリティ関係の業務を)希望していても、セキュリティに関する仕事がないとアサインできない。セキュリティの仕事は限られていて、今はそのような人が多い。OJTで経験値をあげていきたい。
  • 実務経験を見て、前はこういった業務をしていたようだが、今は仕事がない。そのような人をどうユーザ側が判断できれば良いのではないか。
  • セキュリティ技術者のデータベースがあればすごくいい。本当にできたら評価は上がる。
  • (大学の)卒業生でセキュリティ業務についていない人も多い。目標としてCISOがいる企業でないと、昇進できずに違う仕事に就くというケースが多い。キャリアデベロップメントができれば定着するのだと思う。
  • 漢字名称で「技術者」は外してほしい。技術寄りのイメージがあり、マネジメントが薄くなる。メッセージが伝わらない。エンジニアもスペシャリストも技術寄りだ。オフィサーがよい。マネジメントの要素が入る名称にしてほしい。
  • 最新のセキュリティ用語を知っているかを大学で調査している。PマークやISMS取得企業に送っているが、知らない場合が多い。大企業でも新しい動向のフォローアップができていない。

以上

関連リンク

お問合せ先

商務情報政策局 情報処理振興課

 
最終更新日:2015年9月4日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.