企業のIT担当者が取得しておきたい「情報処理安全確保支援士」とは？期待される役割、必要スキルを解説！

多様なセキュリティ脅威に晒されている昨今は、大企業だけでなく中小企業でもセキュリティ人材の確保が急務になってきました。そのような中で、近年新しく新設された「情報処理安全確保支援士」という制度が注目を集めています。

 

この記事では、「情報処理安全確保支援士」の概要から新設された背景、具体的な対象者像などを総合的に解説しますので、企業のセキュリティ担当者の方はぜひ参考にしてみてください。

 

国家資格である「情報処理安全確保支援士」とは？

テレワークの急速な普及によって、オンラインの仕事が定着しましたが、同時に、サイバー攻撃の増加・高度化が社会問題となっています。

 

サイバー攻撃を受けることで企業情報が外部に流出するだけでなく、業務にも大きな支障が発生することから、企業を守るセキュリティ人材の確保が必要になりました。

 

この人材確保のために、2016年10月に「情報処理の促進に関する法律」が改正されて、生まれた国家資格が「情報処理安全確保支援士」です。

 

「情報処理安全確保支援士」が新設された背景とは？

「情報処理安全確保支援士」の概要を説明してきましたが、なぜこのような国家資格が設立される運びとなったのでしょうか。以下で具体的に触れながら解説します。

 

 企業への不正アクセスが増加する中で、セキュリティ人材は不足している

日本国内においてもあらゆる業務をオンラインで完結できるようになったことで、業務とインターネットが触れる機会が大幅に増え、サイバー攻撃も増加する結果となっています。

 

本来、大企業だけが第三者から狙われるものとイメージされていた攻撃も、中小企業の端末を踏み台に大企業へ攻撃を行う方法も広がり、中小企業にもセキュリティ対策が求められているのです。

 

会社規模に関係なく全ての企業で高いセキュリティレベル維持が必要になったことで、需要と供給が釣り合わない状況が続いています。

 

 日進月歩のセキュリティ知識を適時・適切に評価できる制度が必要だったため

「ITセキュリティ分野」の知識は、私たちが考えている以上にトレンドの流れが著しく早く、1年前のセキュリティ知識が使えなくなってしまうことも珍しくありません。

 

セキュリティ人材は、常に新しい知識を学び続ける必要があり、その状態を適時・適切に評価できる制度として「情報処理安全確保支援士」が設立されました。

 

 日を追うごとに多様化しているセキュリティ攻撃から守るために必要な人材を確保する

近年では、大企業から中小企業までDXの波が来ています。

 

DXとは、新しいITツールを活用しながら、社会や組織・ビジネスの仕組みそのものを変革することを指しており、大手企業を含めて力を入れているジャンルです。

 

新しいIT技術の導入と同時に、セキュリティ対策も新しく考えなくてはなりません。

 

このような新しい技術浸透とともに発生するセキュリティリスクから守るために、必要な人材を確保する目的で「情報処理安全確保支援士」が設立されたのです。

 

「情報処理安全確保支援士」の対象者像とは？

新しい脅威に対しても企業資産を守るために適切なセキュリティ対策を考える必要のある「情報処理安全確保支援士」の対象者像とはどのようなものでしょうか？

 

 対象者の定義

「サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づいて必要な指導・助言を行う者」と定義されています。

 

 具体的な役割と業務

具体的な役割と業務については、以下4つが定義されています。

(1)情報システムの脅威・脆弱性を分析、評価し、これらを適切に回避、防止するセキュリティ機能の企画・要件定義・開発を推進又は支援する。

(2)情報システム又はセキュリティ機能の開発プロジェクトにおいて、情報システムへの脅威を分析し、プロジェクト管理を適切に支援する。

 

(3)セキュリティ侵犯への対処やセキュリティパッチの適用作業など情報システム運用プロセスにおけるセキュリティ管理作業を技術的な側面から支援する。

 

(4)情報セキュリティポリシ作成、利用者教育に関して、情報セキュリティ管理部門を支援する。

 

 期待される技術水準

「情報処理安全確保支援士」に期待される水準は以下の通りです。

 

(1)情報システム又は情報システム基盤のリスク分析後、情報セキュリティポリシに準拠して具体的な情報セキュリティ要件を抽出できる

 

(2)情報セキュリティ対策のうち、技術的対策について基本的技術と複数の特定領域における応用技術をもち、これらの技術を対象システムに適用するとともに、その効果を評価できる。

 

(3)情報セキュリティ対策のうち、物理的・管理的な対策について基本的な知識と適用場面に関する技術を持つとともに、情報セキュリティマネジメントの基本的な考え方を理解し、これを適用するケースについて具体的な知識を持って、評価できる。

 

(4)情報技術のうち、ネットワーク、データベース、システム開発環境についての基本的知識をもち、情報システムの機密性、責任追従型などを確保するために必要な暗号、認証、フィルタリング、ロギングなどの要素技術を選択できる。

 

(5)情報システム開発における工程管理、品質管理について基本的な知識と具体的な適用事例の知識、経験を持つ。

 

(6)情報セキュリティポリシに関する基本的な知識をもち、ポリシ策定、利用者教育などに関して、情報セキュリティ管理部門を支援できる。

 

(7)情報セキュリティ関連の法的要求事項などに関する基本的な知識をもち、これらを適用できる。

 

「情報処理安全確保支援士」を活用している企業例

「情報処理安全確保支援士」が新しく新設されたことで、企業ではどのように動いているのでしょうか？

以下、取得支援などを積極的に行っている企業例を紹介します。

 

 某ネット証券会社

某ネット証券会社では、「情報セキュリティにおける社員の共通言語や、共通の認識・理解・レベルを作る」ために「情報処理安全確保支援士」が活用されています。

 

全ての情報システム部門、リスク管理部門に登録セキスペを配置して「セキュリティ事故対応チーム」であるCSIRTメンバーも登録セキスペであることが基準となっており、会社一丸となってサイバーセキュリティ対策に取り組んでいるのです。

 

 某セキュリティコンサルティング会社

某セキュリティコンサルティング会社では、セキュリティ分野のスキル習得目標として、CISSP・SANS・GIACなど、グローバルな高度セキュリティ資格の取得を推進しています。日本の国家資格である「情報処理安全確保支援士」についても「セキュリティ専門家にとって当たり前の資格」として、登録・講習費用は会社が負担しているのです。

会社全体で、セキュリティ人材育成に積極的に投資を行っています。

 

日々、多様化し続けるセキュリティ対応を行う上で「情報処理安全確保支援士」の取得推進も検討しよう！

この記事では「情報処理安全確保支援士」の概要から対象者像・期待される技術水準などを総合的に解説しました。日々変化し続ける脅威に対応できる知識を身につけられる「情報処理安全確保士」は、企業のセキュリティ担当者もぜひ取得するべき資格です。

 

そのほか、会社内で新たなセキュリティ人材を育てるために「情報処理安全確保支援士」の取得推進も進めていくことが求められます。