情報処理安全確保支援士制度とサイバーテロ

情報処理安全確保支援士制度とは

事業活動や社会生活にITが浸透する一方で、サイバー攻撃の件数も増加傾向にあり、被害も深刻化しています。
また、2020年の東京オリンピックはサイバーテロの格好の標的であり、現状以上に高度化したサイバー攻撃に対応する人材の育成、確保が急務です。
このため、サイバーセキュリティに関する知識や技能を備えた人材に付与する国家資格である情報処理安全確保支援士制度が開始されました。

情報処理安全確保支援士とは、企業や行政、社会インフラ等の情報システムをサイバー攻撃から守るための調査・分析・評価を行い、安全な情報システムの構築・運用を支援する専門家です。
サイバーセキュリティに取り組む行政組織、重要インフラ事業者、一般企業等の情報システムユーザー、及びセキュリティサービスを提供するITベンダーの双方での活用が期待されています。

情報処理安全確保支援士が必要な理由

なぜ情報処理安全確保支援士という国家資格が必要なのでしょうか。

第１の理由は、情報セキュリティ人材の圧倒的な不足です。
今年6月に経済産業省が発表した資料によると、2016年時点では約28万人の情報セキュリティ人材がいますが、約13万人の不足と考えられています。
これが2020年になると、情報セキュリティ人材は約37万人に増加するものの、不足も約19万人に拡大すると試算されています。
情報セキュリティの専門家に国家資格を付与することで、情報セキュリティを担う人材確保の助けになると考えられています。

第2の理由は、現在の情報セキュリティ試験に関する課題です。
現在でも国家試験である情報処理技術者試験には情報セキュリティスペシャリスト試験があり、その他民間の資格試験も行われています。
その多くは試験時点での情報セキュリティの知識や技能を評価するだけで、その後のフォローは行われません。
サイバー攻撃は年々その内容が高度化・巧妙化しているため、「昔取った杵柄」では対応が困難です。
今回発足した制度では資格取得した後も毎年の講習受講が義務付けられており、常に最新のサイバー攻撃に対処可能な仕組みが盛り込まれていると考えられます。

第3の理由は、セキュリティ人材の所在を見える化です。
現在の試験制度では合格者の所在がわからず、有資格者の活用が十分できていないと考えられています。
そのため、今回の制度では登録制度を整備しています。
つまり、試験に合格しただけでは単に「資格を有する者」に過ぎず、登録簿に登録されて初めて「情報処理安全確保支援士」を名乗ることができます。
この登録簿を公開することで、知識やスキルのある情報セキュリティ人材の活用を促すことが期待されています。

情報処理安全確保支援士の制度化は始まりに過ぎない

サイバー攻撃はもはや現場の改善プロセスでは対応しきれないレベルです。
「ITはよく分からないから」という理由で経営層や事業部門はIT部門やセキュリティ担当者にサイバー攻撃への対応を丸投げするケースが散見されますが、サイバー攻撃による被害は、対外的には経営責任だと見なされます。
経営レベルでサイバーセキュリティの重要性を認識し、サイバーセキュリティ人材の育成、確保に努める必要があります。

一方、サイバーセキュリティ担当者も資格を保有するだけでなく、日常から資格に見合った知識やスキルの吸収に努め、高度なスキルを持つサイバー犯罪者や国家レベルのサイバー攻撃に立ち向かう必要があります。
今回の情報処理安全確保支援士の制度化によって、サイバーセキュリティへの積極的な取組みを行うきっかけになることが期待されます。

（金子 清隆／ITコンサルタント セキュリティコンサルタント）