目次 1. 情報処理安全確保支援士 ( 登録セキスペ ) とは 2. 登録セキスペ取得のメリット 3. 登録セキスペに期待される役割 4. 登録状況 5. 講習のコース概要 1

Size: px

Start display at page:

Download "目次 1. 情報処理安全確保支援士 ( 登録セキスペ ) とは 2. 登録セキスペ取得のメリット 3. 登録セキスペに期待される役割 4. 登録状況 5. 講習のコース概要 1"

ゆきひらくだら
7 years ago
Views:

1 HRD イニシアティブセンター主催セミナー新国家資格情報処理安全確保支援士( 登録セキスぺ ) 制度のご紹介 2017 年 7 月 12 日 IPA IT 人材育成本部 HRDイニシアティブセンター情報処理安全確保支援士グループ田口聡

2 目次 1. 情報処理安全確保支援士 ( 登録セキスペ ) とは 2. 登録セキスペ取得のメリット 3. 登録セキスペに期待される役割 4. 登録状況 5. 講習のコース概要 1

3 1. 情報処理安全確保支援士 ( 登録セキスペ ) とはサイバーセキュリティ分野初の登録制の国家資格として 2016 年 10 月に創設されましたサイバーセキュリティに関する専門的な知識技能を活用して企業や組織における安全な情報システムの企画設計開発運用を支援しまたサイバーセキュリティ対策の調査分析評価を行いその結果に基づき必要な指導助言を行うことを想定していますロゴマーク法律名通称名英語名情報処理安全確保支援士登録セキスペ ( 登録情報セキュリティスペシャリスト ) RISS: アールアイエスエス (Registered Information Security Specialist) 2

4 1. 情報処理安全確保支援士 ( 登録セキスペ ) とは制度創設の背景経緯日本年金機構をはじめ大規模な情報漏えい被害が頻発するなど日本の組織企業等に対するサイバー攻撃の件数は年々増加 2020 年東京オリンピックパラリンピック競技大会を狙ったサイバー攻撃のリスクサイバーセキュリティ対策を担う高度かつ実践的な能力を有するセキュリティ人材の育成確保は急務 IPA や民間団体等によりセキュリティの能力を測る試験が複数実施されているものの人材の所在が見える化されておらず日進月歩のセキュリティ知識を適時適切に評価できるものにはなっていない試験制度見直しの検討過程において国家資格創設が提言されたことを受け情報処理の促進に関する法律を改正 3

5 報処理安全確保支援士1. 情報処理安全確保支援士 ( 登録セキスペ ) とは情報処理技術者試験制度との関係情報セキュリティスペシャリスト試験を独立させ別制度として資格試験を新設両試験の運営は一体的に実施験< 制度開始前 > < 制度開始後 > (情登録セキスペ)試4

6 情報処理安全確保る資格を有する者1. 情報処理安全確保支援士 ( 登録セキスペ ) とは制度の全体像 1. 支援士になる資格を有する者になる段階支援士とな2. 登録を受けて支援士になる段階 3. 支援士として活動資格を維持する段階 1 資格試験 ( 情報処理安全確保支援士試験 ) 能力を有する者合格情報セキュリティスペシャリスト試験をベースに新設受験手数料 (5,700 円 ) 録欠格事由に該当する場合は登録不可情報処理安全確保支援士2 資格試験合格と同等以上の登録申請3 経過措置対象者以下の試験合格者が対象 - 情報セキュリティスペシャリスト試験 - テクニカルエンジニア ( 情報セキュリティ ) 登録可能期限を設定 (2 年間 ) 登録簿への登登録情報の公開必須項目 ( 登録番号等 ) を除き公開する項目は本人の任意とする資格名称の独占使用支援士以外が名称を使用した場合は 30 万円以下の罰金刑が課される支援士としての義務遵守 (1) 信用失墜行為の禁止登録手数料 (10,700 円 ) 及び登録免許税 (9,000 円 ) の納付が必要 (2) 秘密保持取消し後 2 年間は再登録不可義務違反の場合登録取消し又は一定期間の名称使用停止義務に違反した場合は 1 年以下の懲役又は 50 万円以下の罰金刑が課される (3) 講習受講オンライン講習 (20,000 円 ) を年 1 回受講するとともに 3 年ごとに集合講習 (80,000 円 ) を受講やむを得ない事由の場合期限延長措置あり 5

7 1. 情報処理安全確保支援士 ( 登録セキスペ ) とは制度の特徴 1. 人材の質の担保情報セキュリティスペシャリスト試験をベースとした新資格試験合格者を登録継続的な講習受講を義務化最新の知識技能を維持 2. 人材の見える化資格保持者のみ資格名称を使用可能 ( 名称独占資格 ) 登録簿の整備登録情報の公開 3. 人材活用の安心感国家資格として厳格な秘密保持義務信用失墜行為の禁止義務 6

かつ登録を維持していることにより継続的に自己研鑽を実施していることの証になります名称の独占使用ができます ( 登録セキスペでない方が当名称を使用した場合 30 万円の罰金になります ) 7 2 継続的効果的な自己研鑽が可能毎年講習の受講が義務付けられておりその中で

8 2. 登録セキスペ取得のメリット技術者サイバー攻撃が増加する中でサイバーセキュリティ対策を担う専門人材は不足しており社会全体として早急な人材の確保が求められている脅威や攻撃手法は刻々と変わり規模も拡大サイバーセキュリティ人材母集団の拡大の必要性関係者間のネットワークづくり情報共有の必要性 1 情報セキュリティに関する高度な知識技能を保有する証歴史と信頼のある情報処理技術者試験情報セキュリティスペシャリスト試験の合格者及びそれをベースとした新試験合格者が登録対象者でありかつ登録を維持していることにより継続的に自己研鑽を実施していることの証になります名称の独占使用ができます ( 登録セキスペでない方が当名称を使用した場合 30 万円の罰金になります ) 7 2 継続的効果的な自己研鑽が可能毎年講習の受講が義務付けられておりその中でサイバーセキュリティの専門家の監修した最新情報を反映した内容を学ぶことができます 3 年に1 回の集合講習においては実践に即したケースをもとにグループ討議を実施他業種の登録セキスペとのネットワークづくりや情報共有が可能ですインストラクショナルデザインに基づく講習設計オンラインと集合を組み合わせた反転学習手法など効果的な学習を実現する手法を取り入れています

2. 登録セキスペ育成のメリット組織企業グローバルな競争環境の変化の中でサイバーセキュリティはより積極的な経営への投資ビジネスチャンスの拡大サイバー攻撃などのリスクの増大 8 2 社会的評価信頼の向上サイバーセキュリティの確保は企業の経営層が果たすべき責任の一つ 1

登録セキスペの監査や助言を受けていること等を積極的に情報開示していくことで組織としてのサイバーセキュリティ確保への取り組み姿勢の表明が可能です厳格な秘密保持義務等や信用失墜行為の禁止などの義務があり採用面での安心感につながります 3 ビジネスチャンスの拡大 IT によるビジネス革新 (

9 2. 登録セキスペ育成のメリット組織企業グローバルな競争環境の変化の中でサイバーセキュリティはより積極的な経営への投資ビジネスチャンスの拡大サイバー攻撃などのリスクの増大 8 2 社会的評価信頼の向上サイバーセキュリティの確保は企業の経営層が果たすべき責任の一つ 1 提供する機能やサービスそのものへの信頼の向上緊急対応 ( インシデント ) のみならずものづくり運用など企業活動の多岐にわたって登録セキスペの関与が進むことにより事業継続機能保障など総合的な観点から信頼性が向上します自組織における登録セキスペの保有人数や登録セキスペの監査や助言を受けていること等を積極的に情報開示していくことで組織としてのサイバーセキュリティ確保への取り組み姿勢の表明が可能です厳格な秘密保持義務等や信用失墜行為の禁止などの義務があり採用面での安心感につながります 3 ビジネスチャンスの拡大 IT によるビジネス革新 ( プロセスや取引範囲の変化 ) が進む中でサプライチェーンにおける組織のセキュリティ管理責任は増大します今後は調達における登録セキスペの参画の要件化なども想定されることから登録セキスペの育成が企業競争力につながります出典 : 企業経営のためのサイバーセキュリティの考え方の策定について平成 28 年 8 月 2 日 NISC

10 セキュリティ IT ベンダ企業ITのスキルレベルトップガン人材 CISO 啓発対象3. 登録セキスペに期待される役割情報セキュリティ人材の全体像ユーザ企業対応するレベルの試験トップレベルハイレベル高度情報セキュリティ人材セキュリティ企業等でユーザ企業のセキュリティ対策のサポートを行うエンジニア自社システムの開発運用実装を行うエンジニア情報処理安全確保支援士試験 ( 通称 : 登録セキスペ試験 ) セキュリティについて専門的なスキル知識を保有すべき人材 (LV.4 以上 ) ミドルレベル ( セキュリティを専門としない ) システムの設計 / 開発 / 運用等を行うエンジニア ( 事業部門において ) IT を活用した事業の企画推進を実施平時はセキュリティポリシーの運用を行いトラブル時には部門長やセキュリティ技術者と連携し対応する人材ご参考情報セキュリティマネジメント試験 PC やスマホの利用者 9 出典 :NISC 普及啓発人材育成専門調査会第三回会合 (2016/8/2) 経済産業省説明資料を基に IPA が作成

11 3. 登録セキスペに期待される役割登録セキスペの業務登録セキスペの想定される業務 1. 経営課題への対応セキュリティ対策策定更改実施指導組織技術上のリスク評価上記のための監査検査調査分析 2. システム等の設計開発設計段階までのセキュリティ対策セキュアコーディングの推進セキュリティテストの実施評価等 3. 運用保守ポリシー実践脆弱性への対応品質管理情報収集教育啓発活動等 4. 緊急対応緊急時に備えた準備インシデント対応の全体統制インシデント処理復旧 10 登録セキスペを活用する企業のメリット提供する機能やサービスの信頼性確保企業の社会的信用度の向上ビジネスチャンスの拡大 IT ベンダ企業での期待効果セキュアなものづくりにおける技術者としての活躍ユーザー企業へのコンサル研修等への対応自社セキュリティ対策の企画立案システムの運用保守監視調査等の実施 IT ユーザ企業官公庁等での期待効果システムの運用保守監視インシデントの調査分析等への対応 ( 自社人材として又は外部実施者との調整者として ) 自社セキュリティ対策の企画立案社内情報セキュリティ教育の実施 CISO CIO( 又は補佐 ) への登用支援活躍登録セキスペ保有者のメリット最新の知識技能を有することの証明個人の信頼度向上活躍の場の拡大国家資格の取得により最新の情報セキュリティに関する知識技能を有することの証し登録セキスペとして義務を果たしていることによる資格保有者個人の信頼度の付加又は向上企業内におけるステイタスの獲得 IPAによる登録状況の見える化 ( 登録セキスペであることの表示公表 ) 10

3 登録セキスペに期待される役割り登録セキスペの活躍の場面サイバーセキュリティの確保は積極的な経営への投資であり

経営者が認識する必要のある 3原則に基づき経営者がCISO等に指示すべき重要10項目の概要３原則１

登録セキスペの業務例 1 CISOが推進するセキュリティポリシーの策定においてその実践への対応を確実な

サプライチェーン単位のIT 関連領域においてその開発運用体制に照らし技術の責任者として登録セキスペを活用 11

12 3 登録セキスペに期待される役割り登録セキスペの活躍の場面サイバーセキュリティの確保は積極的な経営への投資であり経営者の重要な責務の一つ登録セキスペは経営者の右腕となりサイバーセキュリティ施策を企画実施経営者が認識する必要のある 3原則に基づき経営者がCISO等に指示すべき重要10項目の概要３原則１経営者のリーダーシップが重要２自社以外ビジネスパートナー等にも配慮３平時からのコミュニケーション情報共有登録セキスペの業務例 1 CISOが推進するセキュリティポリシーの策定においてその実践への対応を確実なものとするための支援者として登録セキスペを活用 2 9 セキュリティポリシーに基づくリスク管理体制の構築にあたりサプライチェーン単位のIT 関連領域においてその開発運用体制に照らし技術の責任者として登録セキスペを活用 11 出典 IPA サイバーセキュリティ経営ガイドライン解説書

13 ティアティアティイ 3. 登録セキスペに期待される役割 ITSS+ のセキュリティ領域領域 ITSS+( プラス ):2017 年 4 月 7 日公開企業等でのセキュリティ対策の本格化を踏まえ専門的なセキュリティ業務の役割の観点により経営課題への対応から設計開発運用保守セキュリティ監査における 13 の専門分野を具体化これらの専門分野は登録セキスペが想定する業務を包含しており登録セキスペにとっては ITSS+ を用いて実務の場で具体的に自らの専門分野を明示することができるセキュリティ領域専門分野情報リスクストラテジ情報セキュリティデザインセキュア開発管理脆弱性診断ドミニストレーション情報セキュリナリシス情報セキュリ C S I R T キュレーション C S I R T リエゾン C S I R T コマンドインシデントハンドリングデジタルフォレンジクスンベスティゲーション情報セキュリ情報セキュリティ監査レベル 7 レベル 6 レベル 5 レベル 4 レベル 3 レベル 2 レベル 1 12 登録セキスヘ想定業務経営課題設計開発運用保守緊急対応監査

14 3. 登録セキスペに期待される役割 ITSS+ のセキュリティ領域登録セキスペと ITSS+( プラス ) との関係 : ライフサイクル上での整理 13

15 4. 登録状況 2017 年 4 月 1 日 4,172 名の情報処理安全確保支援士が誕生登録セキスペの登録者の情報を公開 < 登録者公開情報イメージ > 登録番号登録年月日氏名フリガナ生年月試験合格年月資格試験合格証番号講習修了年月日自宅住所 ( 都道府県 ) 勤務先名称勤務先住所 ( 都道府県 ) を公開 ( 下線部は必須項目 ) 14

16 4. 登録状況 15

17 4. 登録状況 4,172 名の属性等内訳男性女性 3,945(94.6%) 227(5.4%) 平均年齢 10 代 20 代 30 代 40 代 50 代 60 代 40.5 歳北海道東北関東 ,642 1, % 7.7% 39.3% 39.3% 12.2% 1.4% 中部東海近畿中国四国九州沖縄 , 海外 1.6% 3.2% 70.2% 8.6% 10.1% 2.0% 0.6% 3.6% 0.1% 16 初回試験応募者数 :25,130 名合格者数 : 2,822 名 2020 年に登録者 3 万人が目標です!

18 4. 登録状況登録者公開情報 (icd との関連 ) 登録セキスぺは自身の得意分野と保有スキルを公開できる icd タスク構成図情報処理安全確保支援士登録事項等公開届出書得意分野をタスクの大分類から選択する 17

19 4. 登録状況登録者公開情報 (icd との関連 )2 情報処理安全確保支援士登録事項等公開届出書 icd スキル構成図保有スキルをスキルのスキル分野から選択する 18

4. 登録状況登録者公開情報 (icd との関連 )3 登録者公開情報は専用 Web サイトへの掲載を予定 < 公開システムイメージ > 情報処理安全確保支援士 - 登録者公開情報 REGISTRANT'S PUBLISH INFORMATION 検索結果件数 : 15 件登録番号登録年月日氏名フリガナ住所 ( 都道府県 ) 勤務先名称詳細内容 000001 2017 年 4 月

000005 2017 年 4 月 1 日荏原五郎エバラゴロウ東京都勤務先名称詳細内容 Web サイト上で公開 000006 2017 年 4 月 1 日太田六輔オオタロクスケ神奈川県勤務先名称詳細内容 000007 2017 年 4 月 1 日神谷町七子カミヤチョウナナコ東京都勤務先名称詳細内容 000008 2017 年 4 月 1 日錦糸町大八キンシチョウダイハチ大阪府

20 4. 登録状況登録者公開情報 (icd との関連 )3 登録者公開情報は専用 Web サイトへの掲載を予定 < 公開システムイメージ > 情報処理安全確保支援士 - 登録者公開情報 REGISTRANT'S PUBLISH INFORMATION 検索結果件数 : 15 件登録番号登録年月日氏名フリガナ住所 ( 都道府県 ) 勤務先名称詳細内容年 4 月 1 日情報安全太郎ジョウホウアンゼンタロウ千葉県独立行政法人情報処理推進機構詳細内容年 4 月 1 日足立太郎アダチタロウ北海道勤務先名称詳細内容年 4 月 1 日板橋次郎イタバシジロウ青森県勤務先名称詳細内容年 4 月 1 日上野三四郎ウエノサンシロウ宮城県勤務先名称詳細内容年 4 月 1 日荏原五郎エバラゴロウ東京都勤務先名称詳細内容 Web サイト上で公開年 4 月 1 日太田六輔オオタロクスケ神奈川県勤務先名称詳細内容年 4 月 1 日神谷町七子カミヤチョウナナコ東京都勤務先名称詳細内容年 4 月 1 日錦糸町大八キンシチョウダイハチ大阪府勤務先名称詳細内容年 4 月 1 日九段下九兵衛クダンシタキュウベエ京都府勤務先名称詳細内容年 4 月 1 日毛長緑道十郎ケナガリョクドウジュウロウ和歌山県 - 詳細内容年 4 月 1 日港南十一コウナンジュウイチ福岡県 - 詳細内容年 4 月 1 日鮫洲十二郎サメズジュウジロウ - - 詳細内容年 4 月 1 日新橋十三郎シンバシジュウサブロウ - - 詳細内容年 4 月 1 日砂町十四郎スナマチジュウシロウ - - 詳細内容年 4 月 1 日詳細内容 19

21 5. 講習のコース概要 1 年目 : 最新知識のインプット 2 年目 : 技能の強化コース名 : オンライン講習 A Ⅰ. 知識 1h 最新動向情報セキュリティ 10 大脅威 ( 直近のもの ) コース名 : オンライン講習 B Ⅰ. 知識 1h 最新動向情報セキュリティ 10 大脅威 ( 直近のもの ) Ⅱ. 技能 3h 情報セキュリティ対策の実践情報セキュリティ早期警戒パートナーシップガイドライン 2016 年版概説 Japan Vulnerability Notes (JVN) 概説 Ⅲ. 倫理 2h 情報セキュリティ従事者としての倫理的責任と義務 ( 守秘義務誠実義務注意義務等 ) 理解度確認テスト Ⅱ. 技能 4h セキュリティ設定共通化手順 SCAP 概説脆弱性情報の読み方扱い方 ( 製品開発者ウェブサイト構築者ウェブサイト運営者セキュリティ担当者の役割 ) ( ポリシーに従った ) ユーザー教育と内部監査 Ⅲ. 倫理 1h 法令順守契約履行 ( 個人情報営業秘密特定機密知財権 SLA 等 ) 理解度確認テスト 3 年目 : 基礎の再確認と集合講習への反転学習コース名 : オンライン講習 C Ⅰ. 知識 2h 情報セキュリティ関連の制度や規格等の動向 (JIS ISO/IEC IEEE 等 ) 最新動向情報セキュリティ10 大脅威 ( 直近のもの ) Ⅱ. 技能 2h インシデントレスポンスセキュア設計セキュア開発の概説 Ⅲ. 倫理 2h 倫理コンプライアンスの概念 RFC1087 インターネットと倫理及び情報処理学会倫理要領概説集合講習 : 座学の最小化グループ演習 3 課題コース名 : 集合講習 Ⅰ. 知識 2h 事前学習の理解度確認テストグループ演習のための知識の確認とワーク Ⅱ. 技能 3h ケーススタディ1インシデント対応のグループ演習ケーススタディ2 予防策の検討のグループ演習 Ⅲ. 倫理 1h ケーススタディ3 倫理的な判断行動に関するグループ演習理解度確認テスト 20 印は共通コンテンツ ( 最新の10 大脅威 )

グループ演習でのケーススタディを中心としたもので組織におけるセキュリティインシデントの対応予防策や倫理的な判断行動などのテーマについて受講者の経験や知見に基づいた活発な議論が多く交わされました受講生からは

22 5. 講習のコース概要 ( 参考 ) 集合講習実施状況情報処理安全確保支援士 ( 登録セキスペ ) の第 1 回集合講習を開催昨年 10 月に施行された国家資格情報処理安全確保支援士 ( 登録セキスペ ) では毎年講習を受講することが義務付けられており IPA では制度が始まって初となる集合講習を 6 月 20 日 ( 火 ) に開催しました今回は今年 4 月に登録された登録セキスペ 24 名が参加されました講習はグループ演習でのケーススタディを中心としたもので組織におけるセキュリティインシデントの対応予防策や倫理的な判断行動などのテーマについて受講者の経験や知見に基づいた活発な議論が多く交わされました受講生からは受講生それぞれの知見に基づく意見を聞くことができ有意義であったグループディスカッションで自分の知識レベルを再確認することができたなどの意見がありました (IPA News 7 月号記事より ) 講義の様子グループ演習の様子 21

23 まとめ登録セキスペサイバーセキュリティ分野初の登録制の国家資格として 2016 年 10 月に創設されましたサイバーセキュリティに関する専門的な知識技能を活用して企業や組織における安全な情報システムの企画設計開発運用を支援しまたサイバーセキュリティ対策の調査分析評価を行いその結果に基づき必要な指導助言を行うことを想定しています個人としても組織としてもぜひ情報処理安全確保支援士制度をご活用ください次回の登録の締め切りは 7 月 31 日 ( 月 ) 次回の情報処理安全確保支援士試験は 10 月 15 日 ( 日 ) 22

24 情報処理安全確保支援士に関する詳細はこちらのページでご案内していますご清聴ありがとうございました 23

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E > 身近な情報利活用による生活環境の事例をベースにネットワークがなかった時代の生活環境と比較させながら IT により生活が豊かに変化したことについて解説します 1. 身近な情報利活用の事例スライド上部の事例を紹介します学生が利用している情報サービスについて問いかけます IT によって実現していることについて説明します 2. ネットワークがなかった時代スライド上部の事例を活用し過去の事例を紹介します