経済産業省
文字サイズ変更

セキュリティ人材の確保に関する研究会(第4回)‐議事要旨

日時:平成27年8月22日(土曜日)13時00分~14時45分
場所:独立行政法人情報処理推進機構13階会議室

出席者

出席委員
有賀委員(座長)、岩丸委員、鵜飼委員、富永委員、浜田委員、三谷委員
オブザーバ
内閣サイバーセキュリティセンター

議題

  1. 資格制度構築に必要な個別論点の検討

議事概要

  • 「当初は幅広く」という方針で、セキュリティアドミニストレータ試験合格者まで含めてはどうか。
  • 他の高度試験は対象とせず、まず情報セキュリティスペシャリストに絞るほうがよい。これがうまくいったら、プロマネの登録制などもあったほうがよい。
  • 例外措置として、実務経験者や各種試験の合格者等を入れたらどうか。
  • 最新の知識は試験で問えるとして、実務の有無について証明するのは困難。だとすれば、客観的な(公平な)結果が確保できる国家試験でよいのではないか。
  • 試験の再受験を必要条件にしてはどうか。試験は最新事例を反映していないという意見があったが、現行の情報セキュリティスペシャリスト試験は、セキュリティ会社の現場でセキュリティ業務に従事している試験委員が実務的・現実的な問題を作成している。
  • 生で起きていることをセミナーで伝えたほうが役に立つのではないか。試験はルール上どうしても事象を抽象化出さざるを得ない。最新の技術を出せるのか。
  • 実務で起きていることと、試験・資格は違う。資格を持っている人が追随する仕組みがあれよいのではないか。最新の知識を知っていることを確認してから認定するところまで限定すると資格者が減ってしまう。試験だけが必須ではなく、実務をやっている人は両方でよい。どっちを軸にするか。試験は必要要件でないほうがよい。
  • 資格の更新要件として、受からないかもしれない試験を目標にするのは苦しい。継続教育を主とするのが目的ではないのか。
  • 試験は最低限の素養を問うことはできるが実務は試験に落とし込めない。ただ、実務経験を確認することも難しい。素養を持っている者をラベリングするのが今回の登録制度ではないか。経歴等が公開される登録者のDBの構築と、士業であることに伴う守秘義務、の2点をメリットとして登録制度を運用するのではないか。インシデントの情報共有も安心してできる。いきなり実践的に使える人々を確保するのは難しい。実践的に使える人は登録制度の運用の中で育成し、結果としてそのような人が選出されてくるのではないか。それらを上級○○(マルマル)というように上位の資格者を階層化すればよいのではないか
  • ベンダ側からすると、セキュリティの専門家はコストセンターで支援をしているだけではない。システムの構築にもセキュリティの知識が必要。アーキテクトにもプロジェクトマネージメントにもセキュリティの人は必要。実務経験を認めないと裾野が広がらない。
  • 基本的に当初資格対象者を広げるのであれば、絞らないほうがよい。
  • 主旨からすると実務ができる人間の幅を広げる(キャッチアップする)。そこに試験がはまるのかが疑問。
  • 最初の入口が試験なのはわかるが、セミナーを受けているか、などを認めるべきなのではないか。
  • それだけお金を払っても維持するモチベーションがあるのか。インセンティブ(メリット)があるなら、手間がかかってもやる。対象とメリットはセットの議論。
  • 何を担保する制度なのか。予備軍はいるか。実務的に活躍している人の登録か。コンセプトによって違う。
  • 更新制度というからには、新しい知識を持っているかであり、試験で担保されるならそれでよい。逆に実務の認定は難しい。国家資格なら公平にやらないといけない。1万人の論文審査は実務上難しい。
  • 実務の能力が高いが、試験が不得意な人はどうするのか。
  • トップガンのような人は認定されなくてもやっていける。今回の対象はそこではないと思う。
  • 特待生的な扱いはあっていいのではないか。実務働いている人は試験免除でもよいのではないか。
  • 特待生的的なものは、しっかりとした審査制度を作ることが良い。経済産業省が認めた者などでカバーしてはどうか。
  • セキュリティ技術者のデータベースがあれば使うと思う。案件を相談したいユーザ企業は、守秘義務があればとりあえず安心する。データベースが一般に公開されていれば実務経験を偽って記載する人はいなくなると思う。
  • システム監査人に倫理規定あり。経産省が作ったシステム監査企業台帳は一般に公開しているので意味がある。牽制機能もある。
  • 継続教育は個別にどのくらい意味があるのかを突き詰めると難しい。ざっくり書いてあればよいというようにすればいいと思う。
  • トップノッチの人を活用して、最新の攻撃事例とはこういうものだという話を聞くだけでも役に立つはず。試験合否にかかわらず。
  • カンファレンスでの発表何件なども基準にすればいと思う。
  • 今後どのくらい普及させることができるかによる。ガイドラインなどがあれば、書いてもらえるといい。
  • 建設業界340万人のデータベースを作るということが報道されていた。それは専門性が見えないので、困るから。IT業界もデータベースを作ろうということ。
  • 発注側でこれまで何となく選んでいたベンダを、DBを見て、セキュリティ資格を持っている人が多いからこのベンダに頼もうという判断基準になるとよい。セキュリティのしっかりした企業に頼むことができるようになる。

以上

関連リンク

お問合せ先

商務情報政策局 情報処理振興課

 
最終更新日:2015年9月4日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.