こんにちは。アイネの渡邊と申します。
先日、情報処理安全確保支援士に義務付けられている実践講習を受講してきました。受講内容はあまり公開できませんが、受講の感想など内容に触れない範囲で紹介します。
私の簡単な紹介
私はITエンジニアとして働いており、情報セキュリティの専門家としては働いていません。ITエンジニアが知っておくべき技術として情報セキュリティを勉強し、情報処理安全確保支援士の資格を取得しました。現在は資格保有者として社内の情報セキュリティ教育を担当しています。
自己紹介記事がこちらにあります。
https://www.wantedly.com/companies/company_3219243/post_articles/405795
情報処理安全確保支援士とは
情報処理安全確保支援士は、一言でいうと「ITの安全安心を支えるセキュリティの門番」です。IPA(独立行政法人 情報処理推進機構)が主催している情報処理安全確保支援士試験に合格し、登録することで正式な資格を得ることができます。IPAのホームページには以下の記載があります。
サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者
https://www.jitec.ipa.go.jp/1_11seido/sc.html
情報処理安全確保支援士は、情報処理技術者試験の高度区分に位置付けられている試験ですが、唯一登録が必要な資格となっています。年々変化するサイバー攻撃に対して、常に最新技術を習得しておく必要があるため、定期的な講習を受講した者だけが資格を維持できる仕組みになっています。
定期的な講習には、eラーニングによるオンライン学習(年1回、2万円)と実践講習(3年に1回、8~16万円)があり、両方の受講が必要です。今回、私が受講したのは、実践講習です。
情報処理安全確保支援士の実践講習とは
情報処理安全確保支援士の実践講習には、以下の種類があります。
- 実践講習A:インシデント対応のグループ演習を行うことで技術を学ぶ
- 実践講習B:新規事業立ち上げの際の助言を検討することで、実践的な能力を習得する。
上記以外にも、業界別サイバーレジリエンス強化演習、制御システム向けサイバーセキュリティ演習があります(上記より高度な内容です)。
今回、私が受講したのは実践講習Aです。実践講習Aの費用は8万円で、朝10時~17時までの講習です。途中に1時間の昼休憩の他、10分間の休憩が2回あります。テレビ会議システムを利用したオンライン講習になりますので、自宅受講となり、Webカメラが必須です。
なお、私は以前にも3年に1回の実践教育を受講しており、当時は集合教育として実施され、研修会場での受講でした。その後、新型コロナ感染拡大を受けて、講習実施が見送りになったこともあり、実に5年ぶりの受講となりました。
実践講習の進め方
講習内容を詳しく記載することはできませんが、とある会社で情報セキュリティインシデントが発生した想定で、CSIRT(Computer Security Incident Response Team、セキュリティインシデントが発生した際に対応するチーム)の一員としてどう振る舞うかをグループ演習を通して学んでいくという内容でした。
事前にインシデント内容といくつかの課題が提示され、当日までに自分なりの考えを検討しておくことが求められました。5年前の実践演習では、その場で初めて課題が提示されたので、事前検討は不要でした。しかし、今回は事前検討が必須となり、それなりに時間をかけて整理しておく必要がありました。
さて、講習の進め方ですが、受講者全員(14名)を3グループ(1グループ4~5名)に分け、後はグループ毎に課題に取り組んでいくという方式で進められました。最初にグループ内での自己紹介タイムがありましたので、ある程度お互いを知った上で講習を進めることができました。
演習は課題毎に以下の流れで進められました。
- 講師からの課題説明(事前学習が前提なので、詳しい説明なし)
- グループ内討議
- グループ毎に討議結果を発表
- 講師の講評
グループ内討議では、課題に対するお互いの事前検討結果を持ち寄って、グループとして意見をまとめました。そして、グループの代表(順番制)が全受講者に討議結果を発表しました。私のグループは、安易に人の意見を否定するような人はおらず、お互いの意見を尊重し合うことができましたので、安心してグループ討議を進めることができました。
なお、私のグループには私も含めセキュリティ専門家はいませんでしたが、他のグループにはいらっしゃったようで、詳細なレベルで討議結果を発表しており、とても感心しました。
受講後の感想
今回の実践講習は実質5時間40分という長時間の演習でしたが、あっという間でした。一方的に聞くだけの講習とは違い、積極的な参加が求められるので、時間を感じなかったのだと思います。但し、常に緊張感があったため、結構疲れました。
講習の成果ですが、日頃インシデントに関わることが少ないだけにとても勉強になりました。これを機に再度、情報セキュリティを学び直したいと思いました。
反省としては、事前課題にもっと時間をかけて取り組んでおけば良かったと思いました。これにより講習の成果は大きく変わるからです。グループ討議は短時間なので、お互いが事前に検討してきた意見をすぐにまとめる必要があります。わからない人に説明している時間的余裕はありません。また十分に議論する時間もありません。結局、事前に最も良く検討された意見を中心にまとめていくことになるので、事前の課題検討に力を入れておいた方が良いのです。他の皆さんはかなり課題検討をされてきていましたので、私の課題検討は少々足りなかったと反省しています。とは言え、色々な意見に触れることで多くの学びがあり、とても勉強になりました。
まとめ
情報処理安全確保支援士には独占業務もなく、資格の登録、維持に大きなメリットがあるわけではありません。一方で資格を維持するためには、最低でも3年で14万円程度の維持費が発生します。今後、資格のメリットが増えていくことを期待しています。
今後、今回学んだ知識を生かして、社内の情報セキュリティやセキュリティ対策に取り組んでいきたいと思います。SESエンジニアとしての仕事が優先にはなりますが、工夫して対応していきたいと思います。