steemit になにか書いてみようと思い早1ヶ月、このままだとずっと書かなそうなのでえいやで書いてみます。
IPA の資格を集めるのが趣味でして、2017年に新たに作られた情報処理安全確保支援士という国家資格を所持しています。(旧情報セキュリティスペシャリスト資格に基づく取得)
単に知識を測る資格で、実業務をほぼしたことないので、口が裂けても「セキュリティの専門家です。対策できます」なんていうつもりはありませんが、適切な指導のもとであれば指導者の手足となって動くことはできる思います。この資格では具体的には、以下のレベル4相当の業務を遂行できることを期待されます。
また、この資格には、他の区分とは異なり、法律で定められた義務があります。(詳しくは、法律で読む情報処理安全確保支援士 )
- 信用失墜行為の禁止: 資格自体の価値さげるようなことしないでねー
- 秘密保持義務: 業務上知り得た情報は他人にいっちゃだめだよー
- 受講義務: 定期的に研修を受講してねー
今回は、この 3 に該当する受講のひとつである「集合講習」というものに初めて参加してみました。せっかくなので、記載しても問題のないと考えられる範囲でまとめてみます。
集合講習の目的
この集合講習の目的は、情報セキュリティ分野の最新知識・技能を維持するために行われています。いわゆる攻撃や脆弱性といった情報セキュリティに関する内容は、年々傾向が変わっていくため、定期的な講習を通じて情報のアップデートを行うようです。
時間と内容
この講習は、丸一日かけて行われます。9:45 から17:00まででした。(うち1時間昼休憩 + 10分程度休憩が数回)
午前はテキストを利用した座学中心の内容で重点的な分野を教わります。集合講習の前に、オンライン講習という e-learning と確認テストを済ませておく必要があるのですが、個人的な推測となりますが、その理解度が低い分野を取り扱っているように思いました。
午後は、有資格者同士でグループをつくり、架空の企業で発生したセキュリティに関する事案に対して、検討し架空の最高情報セキュリティ責任者(CISO)に報告するワークがあり、結構リアルで期待してたよりいいものでした。
- インシデント対応チーム(CSIRT)の業務内容を理解し、運用できるか
- CISOが意思決定のために必要な情報を示し、根拠のある対策の提案ができるか
- 高い倫理観を持ち、独立性を保ちつつ、事実をもとにした判断・行動することができるか
そんなあたりが問われたように思います。
感想
思いの外、ためになる内容で他の支援士と交流もでき、楽しかったというのが率直な感想です。
一方、僕は普段リモートワークをしているのですが、そういう組織には適用するのはなかなか課題があるなぁとも感じました。
課題
この集合講習自体に大きな課題は感じませんでした。内容もわかりやすかったですし、講師の方の説明も丁寧でよかったです。
しいていえば、以下のあたりでしょうか。
- 専用サイトや各種申込方法がわかりにくい。もっと使いやすくスムーズに申込みできるサイトにしてほしい
- 場所が政令指定都市レベルでしかやっていないので移動する必要ある(僕の場合は盛岡から仙台に行った)
- 若干、ワークの時間が足りない(一人でじっくり検討する時間が足りない。でもインシデント発生時はそんなものか・・・)
一方、この資格に対する問題点は2点ほど感じます。まず、資格の維持費が高いこと、そしてお金をいただくロールモデルが確立されていないことがあげれます。
この集合研修、受講料8万円します。オンライン講習も数万円かかりますので、3年間の維持費が15万円くらいかかります。会社が費用を持ってくれるならば影響ないですが、個人で登録するのは敷居が高いですね。ただ、それによって得られる収入があがるならばペイできそうですが、どうもそのロールモデルは見当たりません。登録してから1年弱ありますが僕の収入への貢献は0円です。
他の士業でも売上貢献が難しい士業がいくつもあるので、まあそんなものかと割り切ることも必要かもしれません。
あるいは我々支援士が主体的に行動して、品質を高め、その存在価値を高める必要があるのかもしれませんね。
おわりに
情報処理安全確保支援士の集合講習は、思ったより楽しい内容でした。
ただお金がかかるわりに、金銭的なリターンはありません。
あとあくまで知識を測る資格なので、実務とは別だよねと改めて思いました。
さて、春のIPA試験はなにを受けようかなぁ
