17年4月1日付の初回の情報処理安全確保支援士(登録セキスペ)に登録した4,172人のうちの1人なわけですが、実は必要性とか意味とかにしっくりくる決定打がなく期限ぎりぎりに登録、登録後も若干しっくりさがなかったんだけど、初年度のカリキュラムを終えて少し意識が変化したかな、と。

法律「情報処理の促進に関する法律」の第六条に定められている「情報処理安全確保支援士の業務」には、

情報処理安全確保支援士は、情報処理安全確保支援士の名称を用いて、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援することを業とする。

とあり、それをIPAが考える人材像に落とし込んだのが、以下。

IT活用に伴うリスクに応じた具体的・効率的なセキュリティ対策を企画し、セキュリティ専門家のみならず、IT・セキュリティを専門としない人にも説明・連携して、安心・安全な環境の確保を支援する人材

とはいえ、それを具現化というのは難しいというか、結局のところ、頭でわかってはいるけど、会社の規模、所属部署、役職、業務内容、経営者・経営陣のセキュリティへの意識や投資判断など、教科書通りにいかない要素は多々。

最新のセキュリティ知識、情報を習得することの意義はある。でも、それって登録セキスペに登録しなくても、日々の学習や意識で十分補えるからやっぱりどうなんだろうと。

そんなこと思いつつ、初年度のカリキュラムを受講。初年度とはいえ、もともと情報セキュリティスペシャリストからの鞍替えのため、3年目のカリキュラムに該当するオンライン講習Cと集合講習。やってみて思ったのが、

オンライン講習Cの範囲が多岐にわたるため、まず自分がセキュリティという分野で日常的に収集している情報が特定の分野に偏っていることに気がつかされた。例えば、マルウェアとかCSIRT、IEEE802.11なんかの知識は全然当たり前のことだけど、倫理綱領やISOなどの規格の最新動向なんてあまり知らなかった。そういう偏りがなくなるのは有意義だな、と感じた。

集合講習は、自分が受けた日が割と期限ぎりぎりの3月某日だったこともあり、参加者が過去最大(当日の講師の話)だったようで、全然違う職種の人たちとグループワークが出来たことが大きかった。セキュリティへの各社の取り組みや意識ってやっぱり全然違うんだな、と。特に意識している情報(個人情報やカード情報)によって意識している規格なども違うし、守るために行っている取り組みも違う。自社の位置付けや課題、あまり考えたことがなかったことに気が付いたりとなかなか有用。

それと講師の方々が某有名なサイバーセキュリティ系企業の方たちだったが、終わったあとに気になっていたことにどう対応する案があるのかなどを気軽に話ができたのが良かった。たまたま良いツールなどもあったことから翌日早速自社内での検証をスタートできるレベルまで話ができた。表からコンサルしてくれ、アセスしてくれ、ってこういう企業の門を叩くと、くらくらする見積りを見てしまうことになるが、それがこういう会話が出来る場で解決するのだから良いな、と。

自然とではあるが、収集している情報を社内や部署内に発信していく意識が以前より高まった気がする。初年度のカリキュラムを終えて、それがなんとなく出来ているのは自分が思ったより単純なだけかもしれないが、それこそ国なりIPAが目指すサイバーセキュリティへの安心・安全な環境作りの一部の活用なのかもしれないな、と感じた次第。

自分、そしてそのまわりの人の意識が少しずつ変化していくことが、この制度の一つの意義に思えるようになったので、2年目の今年は去年より積極的に取り組んでみようかなと思っている。強いて注文をするとすれば、オンライン講習の内容をもっと厚くした方がいいと思うし、集合講習も毎年の方が意味があるんじゃないかな、と。まぁ、登録者数が18年中には5桁になると、そんなに人集める時間も場所もないというのが現実なのかな。


Similar Posts (Posts or dissimilar):関連するようなしないようなエントリの抜粋