経済産業省
文字サイズ変更

産業構造審議会 商務流通情報分科会 情報経済小委員会 試験ワーキンググループ(第1回)‐議事要旨

日時:平成28年1月15日(金曜日)13時00分~15時00分
場所:経済産業省本館17階東6第3共用会議室

出席者

有賀委員、岩丸委員、富永委員、浜田委員、原田委員、三谷委員(座長)、宮武委員

議題

  1. 情報処理安全確保支援士制度及び検討の進め方
  2. 自由討議

議事概要

以下、委員等からの主な意見

1)試験制度について

  • 新しい資格を作らなくても海外の資格であるCISSPで十分ではないかとの声もある中、日本の国家資格としての位置づけや必要性をしっかりと打ち出していく必要がある。
  • 公認情報セキュリティ監査人制度では、レベルの維持にこだわり最初の登録条件を厳しくしすぎたため、登録者が増えず、当初の目標人数に達していない状況。一方、海外のCGEITでは業務経歴を提出すれば登録可能とし、その後の更新でふるいにかける仕組みとすることでイニシャル・マスは確保できた。人数を確保するためには、最初は案の1により間口を広くし、その後絞っていったほうがよいのではないか。
  • 夏の研究会でも入り口は広く、更新をしっかり行うという形がよいと整理したと理解。更新のための講習を安易に承認すると、試験合格後に何もしていない場合と大して変わらず、何のために登録するのかということになり、本資格の魅力がなくなってしまう。
  • ユーザ企業としては、情報セキュリティ担当にアサインされて勉強するべき事の目安として情報処理技術者試験の情報セキュリティスペシャリスト試験(SC試験)を活用してきているので、この試験スキームで問題はない。あとは講習で技能をどう担保していくのかがポイントである。
  • 間口を広くということには賛成。ただし、母集団となる過去の試験合格者が6.8万人いるとのことだが、2020年の登録目標人数が3万人ということを考えると全てを含める必要があるのか。
  • 情報処理技術者試験の情報セキュリティに関する高度試験の合格者は、SC試験合格者、テクニカルエンジニア(情報セキュリティ)試験合格者及び情報セキュリティアドミニストレータ試験合格者の合計で約6.8万人いる。これら方々のうち、何%の人が登録してくれるかが重要。SC試験の合格者で実際に情報セキュリティ業務を行っている人は5%程度であり、残りは他の業務をしている。そのような点では過去の合格者がすべて登録するわけではない。登録者数の規模感は運用設計に大きく影響するので、慎重な議論が必要である。
  • 学生に聞いてみたところ、「本当に企業から必要とされる資格になるのか。」といった冷めた反応も多かった。
  • ベンダでも現時点では情報セキュリティに特化した人材は少ないが、社会ニーズを踏まえ規模を拡大している状況。
  • 外国籍の方が受験可能である場合、登録簿の情報項目案に年齢や生年月日など聞きづらい項目がある。そういった点からの検討も必要ではないか。
  • 本資格制度創設の目的の一つには「情報セキュリティ人材の育成」も含まれていると考えている。過去の合格者に登録したいという意思があるなら広く受け付けて、次の更新までに勉強してもらうという形にした方がインセンティブも働き、登録者も確保できるのではないか。
  • 文系の生徒の中には、技術にはそれほど詳しくないためSC試験合格は厳しいものの、情報セキュリティに関する理解は深い人材もいる。そういった人も含められないか。
  • 実際には、パケットの中身が読めない人には情報セキュリティ業務は厳しいと思う。過去の合格者の中で、本当に必要な技術レベルを持つ人材は少ないかも知れないが、制度としての規模感を維持しつつ、自己研鑽させる仕組みを作るというのも国の政策の一つではないか。
  • 情報セキュリティは技術力だけでなく広い視点が必要である。技術だけでは守るべきものが何かという視点がズレてくる。間口を広くというのは賛成だが、講習受講期間が3年というのは長すぎるのではないか。
  • 政府や独法等でサイバーの業務に従事している人達は、業務の都合上試験を受験できないという人も多く、そういった人の登録を認めるというのはよい考えだと思う。
  • 業務に従事しているというだけで認めてよいかは検討が必要である。現在従事している業務を続けられればよいわけではなく、必要なスキルを持っているかどうかで判断すべきではないか。
  • 大学の課程については、JABEE等と連携できないか。特定の大学を認定するというよりは、第三者がカリキュラムを認定する仕組みの方がよい。
  • スキル標準等を上手く使ってIPAが認定するなど、いろいろなやり方が考えられる。
  • 基本情報技術者試験については、現在もカリキュラムの中身を審査して講座を認定し、修了試験に合格した人は午前免除などの措置をしている。
  • 情報処理安全確保支援士に必要な知識・スキルやその水準が明らかになれば大学側もカリキュラムが組めるのではないか。将来的にはモデルコアカリキュラムを組むことも考えてみたい。
  • SC試験の試験要領とシラバスは既に作成されており明確に規定されているので、これをベースにカリキュラムを作ることは可能である。ただし、「知っている」だけではなく「できる」ことが必要となる。
  • カリキュラム作成は大学側でやるにしても、教えられる講師は少ない。その実践には民間の力を借りるという方法も考えられる。
  • 永続的な制度とするため、過去の合格者の取扱いのほか、裾野を広げていく点で大学のカリキュラム認定についても積極的に検討したい。

2)講習(更新)について

  • 受講者側の時間的制約や運営側の負担(手間、コスト)の問題があるのは理解するが、技能の演習が2時間では短いのではないか。もう少し技能について広く、かつ深くすべき。
  • SC試験の過去問題を利用するとのことだが、新しい問題に対して自ら解答を導いてこそ技能が身につくものであり、解説を聞くだけでは不十分である。
  • きちんと本人が受講しているかを確認するということと、一度は集まることにも意味があるのではないかとの考えから、「集合型研修」を基本とするのはよいが、法律上では講習の回数は規定されておらず、「3年で1回」でよいのかというところから検討する必要があるのではないか。
  • 講習とした場合、大学でいう4~8単位程度は必要ではないか。
  • eラーニング型などの方法も視野にいれてはどうか。技術だけでなく倫理なども含め幅広い知識を身に付けさせ、他の人からみて魅力的な人材とすることが重要である。
  • 講習でどの程度のコストを受験者に負担させるのか。セキュリティキャンプレベルで対応すると数十万となる。
  • 講習であったとしても品質の担保が必要。それで講習での担保が難しいことから夏の研究会では午後II試験で対応と落ち着いたと理解する。
  • 単に会場を確保し、講師を招いて講習を実施したとしても2~3万円程度となる。
  • 閣議決定では、実践的な能力を適宜適切に評価できる試験制度の充実を図るとされている。この点を踏まえ講習を行うべきと考える。
  • 講習、演習のほか、新しい技術や攻撃手法を知っているということも重要だと思う。それだけでも対応が早くなるなどの効果はあるのではないか。メールマガジン等による情報提供を行うとともに、確認のため返信させるなどの仕組みを考えてはどうか。
  • 品質担保のほか、個人が負担できる受講料にはおのずと限界があり、その中で何ができるかということではないか。その中でeラーニング等も含め、講習のやり方を検討してはどうか。
  • 本人確認については、サイバー大学では、Webカメラを使って対応している。ただし、試験では利用していない。
  • 講習については、3年間で1回だけで良いのか。毎年行うのか。また内容として品質はどう担保するのか。2点が論点だと理解。

3)登録について

  • 事務局案では、全ての登録事項が任意の公開となっている。個人情報の保護や情報セキュリティ分野ということで留意すべき点はあると思うが、「人材の見える化」という公開の目的を考えれば、氏名などは必須とすべきではないか。
  • いつ講習を受講したかは重要な情報である。
  • 保有資格については、一つの独立した公開項目としてしまうと、国がその内容を保証したと勘違いする人もいるので、自己PR欄に含めた方がよい。
  • 登録事項に記載された内容をどこまで確認するのかという点は非常に重要なポイントである。

4)次回の検討項目について

  • 次回のワーキンググループでは、講習の内容(回数、レベル)、また、必須とする公開項目などについて検討を行う。

以上

関連リンク

お問合せ先

商務情報政策局 情報処理振興課
電話:03-3501-2646
FAX:03-3580-6073

 
最終更新日:2016年2月25日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.