2018年7月
IPA IT人材育成センター
国家資格・試験部 登録・講習グループ
「情報処理安全確保支援士制度について」
目次
1.情報処理安全確保支援士
(登録セキスペ)
とは
2.登録セキスペの業務範囲、期待する役割
3.登録セキスペ登録状況について
1.情報処理安全確保支援士
(登録セキスペ)
とは
制度創設の背景
日本年金機構をはじめ、大規模な情報漏えい被害が頻発するなど
日本の組織・企業等に対するサイバー攻撃の件数は年々増加
2020年東京オリンピック・パラリンピック競技大会を狙った
サイバー攻撃のリスク
サイバーセキュリティ対策を担う高度かつ実践的な能力を有する
セキュリティ人材の育成・確保
は急務
IPAや民間団体等によりセキュリティの能力を測る試験が複数実施
されているものの、人材の所在が
「見える化」
されておらず、日進月歩の
セキュリティ知識を
適時・適切に評価
できるものにはなっていない。
試験制度見直しの検討過程において、
サイバーセキュリティ分野における
国家資格創設
が提言されたことを受け
1.情報処理安全確保支援士
(登録セキスペ)
とは
制度創設の背景(2)
【法律公布・施行】 ・平成28(2016)年 4月22日 改正情促法公布 ・平成28(2016)年10月21日 改正情促法・政省令施行 【主な動き】 ・平成28(2016)年10月24日 IPA による記者会見およびHPから情報発信開始 ・平成28(2016)年10月24日 申請受付開始 ・平成28(2016)年11月30日 講習受講料を含む講習内容を公開情報処理の促進に関する法律
施行令(政令)・施行規則(経済産業省令)
情報処理の促進に関する法律
(情報処理安全確保支援士の業務)
第6条 情報処理安全確保支援士は、
サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとと
もに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び助言を
行うこと
その他事業者その他の電子計算機を利用する者の
サイバーセキュリティの確保を支援すること
を業とする。
(登録事務の代行)
第22条 経済産業大臣は、
機構に、登録の実施に関する事務
(第19条の規定による登録の取消し及び命令に関する事務
を除く。次条第1項及び第2項並びに第43条第2項において「登録事務」という。)
を行わせることができる
。
(受講義務)
第26条 情報処理安全確保支援士は、経済産業省令で定めるところにより、
機構
※の行うサイバーセキュリティに関する講習
(第28条において単に「講習」という。)
を受けなければならない
。
※独立行政法人情報処理推進機構(業務の範囲)
第43条
機構は
、第32条の目的を達成するため、
次の業務を行う
。
【情報処理の促進に関する法律】
1.情報処理安全確保支援士
(登録セキスペ)
とは
制度創設の背景(3)全体スケジュール
2015FY 2016FY 2017FY 2018FY
4 7 10 1 4 7 10 1 4 7 10
検討
法令
登録セキスペ試験 および 申請・登録【経過措置者】
試験および
▲
8月 セキュリティ人材の確保に関する研究会 中間報告▲
4月 産業構造審議会商務情報流通分科会 情報経済小委員会 試験ワーキンググループ 中間とりまとめ▲
4/22公布(6月以内) 【改正情促法】 【政省令整備】▲
10/21施行 【登録セキスペ試験】 (以降、繰り返し) ▲ 春期 ▲ 合格発表 ▲ 秋期 ▲ 合格発表 ▲ 案内開始 ▲ 募集開始 ▲ 春期 ▲ 合格発表 登録セキスペ試験合格者 申請・登録 審査 ▲登録 審査 ▲登録 ( 以 降 、 繰 り 返 し ) ▲登録 審査 受付 受付~7/31 受付 受 付 【SC試験等】 ▲ 春期 ▲ 合格発表 ▲ 秋期 ▲ 合格発表 【SC試験等】1.情報処理安全確保支援士
(登録セキスペ)
とは
制度創設の背景(4)-
産構審
試験ワークキング報告-経済産業省ニュースリリース (2016年4月27日)
「情報経済小委員会試験ワーキンググループの検討結果を取りまとめました」
1.情報処理安全確保支援士
(登録セキスペ)
とは
制度創設の背景(5)-
制度開始時のニュースリリース-経済産業省ニュースリリース (2016年10月21日)
「サイバーセキュリティ分野において初の国家資格となる「情報処理安全確保支援士」制度を開始しました」
1.情報処理安全確保支援士
(登録セキスペ)
とは
制度の全体像
法律名
情報処理安全確保支援士
通称名
登録セキスペ(登録情報セキュリティスペシャリスト)
英語名
RISS:アール アイ エス エス
(Registered Information Security Specialist)【
ロゴマーク】
サイバーセキュリティに関する
専門的な知識・技能
を活用して、
企業や組織における
安全な情報システムの企画・設計・開発・運用
を支援し、
また、
サイバーセキュリティ対策の調査・分析・評価
を行い、
その結果に基づき、
必要な指導・助言
を行うことを想定している。
説明 フレーム:盾(シールド)を意味し、様々な脅威から情報組織や 社会を守る存在であること、深みのある青は誠実と 冷静さを意味する。 地 球:国際社会とデジタル社会を現す。 羽 :ITによる人々の生活と拡がりと飛翔を意味する。 4つの星:技術水準 レベル4という重要性の高い資格として【名称】
1.情報処理安全確保支援士
(登録セキスペ)
とは
制度の全体像(2)
3.活動・資格を維持する
2.登録する
1.登録資格を取得する
情
報
処
理
安
全
確
保
支
援
士
と
な
る
資
格
を
有
情
報
処
理
安
全
確
保
支
援
士
② 資格試験合格と同等以上の 能力を有する方 登 録 申 請 ③ 経過措置対象の方 ① 試験合格者 (情報処理安全確保支援士試験) ・情報セキュリティスペシャリスト試験をベースに新設 ・全部又は一部免除制度 - 情報処理技術者試験との連携による一部免除 - 国内外の類似資格合格者や大学等で セキュリティを専門とする教育課程の修了者を 一部免除 ⇒告示(CoE:全部免除、大学・大学院・ 専門学校(4年制):午前Ⅱ免除) 2017/9/29施行 ・国が指定するポストであって、当該ポストでの 従事年数が一定期間を超える場合を想定。 ⇒第一弾告示(警察・自衛隊)2017/4/7施行 ⇒第二弾告示(内閣官房、試験委員) 2017/9/29施行 登 録 簿 へ の 登 録 ・欠格事由に該当する場合は登録不可。 ・登録手数料(10,700円)及び登録 免許税(9,000円)の納付が必要。 ・登録簿記載事項に変更が生じた場合、 届出及び変更手続(手数料(900 円))が必要。 登録情報の公開 資格名称の独占使用 登録セキスペとしての義務遵守 必須項目(登録番号等)を除き、公開する 項目は選択可能 登録セキスペ以外が名称を使用した場合は、 30万円以下の罰金刑 (1)信用失墜行為の禁止 (2)秘密保持 (3)講習受講 ・義務に違反した場合は、1年以下の懲役 又は50万円以下の罰金刑が課される。 義務違反の場合人
材
人
材
の
見
え
る
化
人
材
活
用
の
安
心
感
1.情報処理安全確保支援士
(登録セキスペ)
とは
支援士となる資格を有する者(登録可能な者)
1.登録資格を取得する段階
○ 情報処理技術者試験の以下の試験区分の合格者
①情報セキュリティスペシャリスト試験(平成21~28年度)
②テクニカルエンジニア(情報セキュリティ)試験(平成18~20年度)
○ ただし、
制度開始から2年間(2018年10月20日まで)に登録を受ける
場合に限る(
申請締め切りは2018年8月19日
(当日消印有効)
)詳細後述
(1)試験合格者(情報処理安全確保支援士試験)
(2)経過措置対象者
○ 支援士試験は、
平成29年度春期(4月)
から実施
○ 試験時間や出題形式、出題範囲、シラバスなどは、情報処理技術者試験の
「情報セキュリティスペシャリスト試験」を踏襲
○ 受験手数料 :
5,700円
○ 実施回数など:年2回(4月・10月)
情報処理技術者試験と同日・同一会場
1.情報処理安全確保支援士
(登録セキスペ)
とは
情報処理技術者試験制度との関係
<制度開始前>
<制度開始後>
情 報 処 理 安 全 確 保 支 ( 登 録 セ キ ス ペ ) 試➣ 情報処理技術者試験の
情報セキュリティ
スペシャリスト試験を独立
させ、
別制度
として資格試験を新設
➣ 両試験の運営は
一体的に実施
1.情報処理安全確保支援士
(登録セキスペ)
とは
経過措置対象者
【情報処理技術者試験規則等の全部を改正する省令】
附則
(情報処理安全確保支援士試験合格の特例)
第4条 この省令による改正前の情報処理技術者試験規則(「旧規則」という。)の規定
による
情報セキュリティスペシャリスト試験
又は情報処理技術者試験規則等の一部
を改正する省令による改正前の情報処理技術者試験規則の規定による
テクニカル
エンジニア(情報セキュリティ)試験に合格した者
は、
支援士に合格した者
(ただ
し、この省令の施行の日から起算して2年を経過するまでの間に、法第15条の登
録を受ける場合に限る。 )
とみなす。
平成28年10月21日 施行
1.情報処理安全確保支援士
(登録セキスペ)
とは
登録申請手続き(登録の流れ)
2.登録する段階
登録に要する費用
申請者
IPA
●申請書類の準備
●登録免許税・登録
手数料の納付
申請書類の提出
(簡易書留による郵送)受理・審査
●登録簿への登録
●登録証交付
●登録事項などの
公開
申 請 書 類
① 登録申請書
② 戸籍謄本(抄本)又は住民票の写し
③ 試験合格証書(コピー)
④ 登記されていないことの証明書
⑤ 身分(身元)証明書
⑥ 欠格事由に該当しない旨の誓約書
⑦ 登録事項等公開届出書
1.情報処理安全確保支援士
(登録セキスペ)
とは
申請受付・審査・登録のサイクル ①
2.登録する段階
○ 登録申請は
随時受付
○ 登録簿への登録、登録証の交付は、次のとおり
年2回
とする
(1) 4月1日 【申請締切日:1月31日(当日消印有効)】
(2)10月1日 【申請締切日:7月31日(当日消印有効)】
2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 登録申請① (2.1~7.31) 登録申請② (8.1~1.31) 登録申請③ (2.1~7.31) 登録申請④ (8.1~1.31) 審査① (8.1~ 9.30) 審査② (2.1~ 3.31) 審査③ (8.1~ 9.30)▲
10/1 登録①▲
4/1 登録②▲
10/1 登録③通常サイクル
1.情報処理安全確保支援士
(登録セキスペ)
とは
申請受付・審査・登録のサイクル ②
経過措置対象者 最終登録分(2018年10月1日登録)
2016年度
2017年度
2018年度
10
~
3
4
~
3
4
5
6
7
8
9
10
登録申請 (2.1~8.19) 審査 (8.20~ 9.30)● 申請受付:
2018年2月1日~
2018年8月19日
(当日消印有効)
● 審査:
2018年8月20日~
9月30日
● 登録日:
2018年10月1日
▲
10/1 登録 経過措置対象期間(2016.10.21~2018.10.20)※
10月1日
登録のための申請締切日は通常
7月31日
であるが、
経過措置対象期間が
10月20日
までのため、申請受付期間を延長。
2.登録する段階
経過措置対象者
1.情報処理安全確保支援士
(登録セキスペ)
とは
支援士の欠格事由
1.登録資格を取得する段階
○ 以下のいずれかに該当する者は、支援士となることができない。
(情報処理の促進に関する法律第8条)
① 成年被後見人又は被保佐人
②
禁錮以上の刑
に処せられ、その執行を終わり、又は執行を受けることが
なくなった日から起算して
2年を経過しない者
③ この法律の規定その他情報処理に関する法律の規定であって
政令で定める
もの(※)
により、
罰金の刑
に処せられ、その執行を終わり、又は執行を
受けることがなくなった日から起算して
2年を経過しない者
④ 第19条第1項第2号又は第2項の規定により
登録を取り消され
、その
取消しの日から起算して
2年を経過しない者
※ 刑法(第168条の2及び第168条の3)
不正アクセス行為の禁止等に関する法律(第11条~13条)
2.登録する段階
1.情報処理安全確保支援士
(登録セキスペ)
とは
登録証、資格名称・ロゴマーク利用
2.登録する段階
1.情報処理安全確保支援士
(登録セキスペ)
とは
登録情報の公開
3.活動、資格を維持する段階
○
支援士の見える化を行い、企業等がその人材を安心して
活用できるようにする
ため、支援士の登録情報などを
IPAのウェブサイトで公開
(1)公開情報
(2)任意公開情報
※ 本人からの届出書に基づき公開
① 登録番号
② 登録年月日
③ 支援士試験の合格年月
④ 講習の修了年月日
① 氏名
② 生年月
③ 試験合格証書番号
④ 自宅住所(都道府県のみ)
⑤ 勤務先名称
2.登録する段階
1.情報処理安全確保支援士
(登録セキスペ)
とは
登録情報の公開(2)
<登録者公開情報のWeb化>
3.活動、資格を維持する段階
2.登録する段階
2018年7月2日(月)
リリース
登録者公開情報Web化による実現機能 プロフィールのビジュアル化 →顔写真の掲載も可能。 掲載情報の追加 →保有資格、経歴、業務実績、参考URL等を新規に追加。 リアルタイムにプロフィール編集 →マイページが一人ひとりに用意され、いつでも編集が可能。 登録セキスぺhttps://riss.ipa.go.jp/
1.情報処理安全確保支援士
(登録セキスペ)
とは
登録セキスペとしての義務遵守
信用失墜行為の禁止・秘密保持
・義務に違反した場合は、1年以下の懲役又は50万円以下の罰金刑が課される。
(信用失墜行為の禁止)
第24条 情報処理安全確保支援士は、情報処理安全確保支援士の信用を傷つけるような行為をしてはならない。
(秘密保持義務)
第25条 情報処理安全確保支援士は、正当な理由がなく、その業務に関して知り得た秘密を漏らし、又は盗用して
はならない。情報処理安全確保支援士でなくなった後においても、同様とする。
(罰則)
第51条 第25条の規定に違反した者は、一年以下の懲役又は五十万円以下の罰金に処する。
【情報処理の促進に関する法律】
➣ 個人の法的責任について
• 他の国家資格(技術士、弁護士、税理士、他)も同様の守秘義務や罰則があり、本制度に
おいても同様の法規定がある。
『正当な理由がなく、その業務に関して知り得た秘密を漏らし、又は盗用してはならない』等
• 顧客との契約(守秘義務契約含む)に基づく会社業務として、会社のルールを遵守して業務
遂行している限りにおいては、刑事罰に問われる事態になることは通常想定されない。
1.情報処理安全確保支援士
(登録セキスペ)
とは
資格の維持方法(講習の受講義務 ①)
3.活動、資格を維持する
○ 経済産業省の認可を受けてIPAが実施するサイバーセキュリティに
関する講習を、継続的に受講することにより資格を維持。
⇒ 講習未受講の場合は、
資格名称の使用停止又は登録取消し
となることがある。
① 知識:攻撃手法及びその技術的対策、関連制度等の概要及び動向
② 技能:脆弱性・脅威の分析、情報セキュリティ機能に関する企画・要件定義・開発・運用・保守、
情報セキュリティ管理支援、インシデント対応
③ 倫理:登録セキスぺとして遵守すべき倫理
(2)実施形式及び時間
● オンライン講習(1回当たり6時間)と集合講習(1回当たり6時間)を組み合わせて実施。
● 集合講習は、ケーススタディによるグループ演習が中心。
(1)科目及び範囲
(3)受講期限及び回数
1.情報処理安全確保支援士
(登録セキスペ)
とは
資格の維持方法(講習の受講義務 ②)
試験合格日から登録日までの期間が3年以内の者(基本パターン)
① オンライン講習:登録日を起点として、
年1回
受講
② 集合講習
:登録日を起点として、
3年目に1回
受講
③ 4年目以降は、①と②の3年サイクルの繰り返し
○ 登録日を起点として、
1年以内に
オンライン講習と集合講習を受講
○ 2年目以降は、基本パターン(前頁①~③)のサイクルと同様
試験合格日から登録日までの期間が3年を超えている者
3.活動・維持する
1.情報処理安全確保支援士
(登録セキスペ)
とは
資格維持について
合
格
1.受験
資格取得【初期費用】 申請・登録、資格維持【維持費用】 受験手数料 5,700円3.活動・維持する
○ 資格取得~資格維持に必要な費用は以下のとおり。
本制度においては、
更新のための手続きや手数料、年会費等の費用は発生しない。
2.申請・登録
登録免許税: 9,000円 登録手数料:10,700円3.講習受講
講習受講料 ・オンライン講習 :20,000円 ・集合講習 :80,000円 1年目 2年目 3年目 オンライン 講習 オンライン講習 オンライン講習 集合 講習登
録
受講基本パターンでの費用イメージ ( 以 降 、 3 年 サ イ ク ル で ● 申請・登録費用には、以下を含みます ①資格登録時に送付 ・登録証 ・講習受講計画 ● 講習受講料の中には、以下を含みます ①当該年次の講習受講修了時 ・受講修了証 ・講習受講計画 ※1~3年目に受講を義務付けら れている講習が明記される2.登録セキスペの業務範囲、期待する役割
情報セキュリティ人材の全体像
セキュリティについて専門的な スキル・知識を保有すべき人材 (レベル4以上)セキュリティ・ITベンダ企業
I T の ス キ ル レ ベ ル トップガン人材 CISO トップレベル ハイレベル ミドルレベルユーザ企業
(セキュリティを専門としない) システムの設計/開発/運用等 を行うエンジニア (事業部門において) ITを活用した事業の企画推進・を実施。 平時はセキュリティポリシーの運用を行い、 トラブル時には部門長やセキュリティ 技術者と連携し対応する人材 自社システムの開発、運用、 実装を行うエンジニア情報セキュリティ
マネジメント試験
対応するレベルの試験
セキュリティ企業等でユーザ 企業のセキュリティ対策のサポート を行うエンジニア 【ご参考】高度情報セキュリティ人材
情報処理安全確保支援士試験
(通称:登録セキスペ試験)2.登録セキスペの業務範囲、期待する役割
登録セキスペの業務範囲
登録セキスペに想定される業務
2.システム等の設計・開発 設計段階までのセキュリティ対策、 セキュアコーディングの推進、 セキュリティテストの実施・評価 等 3.運用・保守 ポリシー実践、脆弱性への対応 品質管理、情報収集 教育・啓発活動 等 4.緊急対応 緊急時に備えた準備、 インシデント対応の全体統制、 インシデント処理・復旧 1.経営課題への対応 セキュリティ対策策定・更改・実施指導 組織・技術上のリスク評価 上記のための監査・検査・調査・分析 支援 活躍 ○セキュアなものづくりにおける 技術者としての活躍 ○ユーザー企業へのコンサル、 研修等への対応 ○自社セキュリティ対策の企画 ・立案 ○システムの運用・保守、監視、 ITベンダ企業 での期待・効果 ○システムの運用・保守、監視、 インシデントの調査分析等への対応 (自社人材として又は外部実施者との 調整者として) ○自社セキュリティ対策の企画・立案 ○社内情報セキュリティ教育の実施 ○CISO、CIO(又は補佐)への 登用 ITユーザ企業・官公庁等 での期待・効果 ○国家資格の取得により、最新の情報 セキュリティに関する知識・技能を 有することの証し ○登録セキスペとして義務を果たして いることによる、資格保有者個人の 信頼度の付加又は向上 ○企業内におけるステイタスの獲得 ○IPA
による登録状況の見える化 登録セキスペ保有者のメリット 最新の知識・技能を有することの証明、 個人の信頼度向上 ⇒ 活躍の場の拡大 登録セキスペを活用する企業のメリット 提供する機能やサービスの信頼性確保、企業の社会的信用度の向上 ⇒ ビジネスチャンスの拡大2.登録セキスペの業務範囲、期待する役割
登録セキスペの業務範囲(2)
登録セキスペの業務例
(経営層の右腕として)
・CISOが策定するサイバー セキュリティ対応方針を、実 践で活用できる確実なものと するよう支援する。 ・緊急対応時の経営判断に 必要となる情報を経営者や CISOに提供。そのために、 普段から事業担当部門のリス ク把握と対応計画策定を行っ「サイバーセキュリティの確保は積極的な経営への「投資」であり、経営者の重要な責務の一つ」
しかし、経営層が必ずしも技術やセキュリティに詳しいわけではなく、セキュリティ対策の現場担当者は経営層とのコミュニケーションに慣れていない登録セキスペは、経営と現場をつなぐ「経営層の右腕」としての活躍が期待されている
経営者が認識する必要のある「3原則」に基づき、経営者がCISO等に指示すべき「重要10項目」の概要2.登録セキスペの業務範囲、期待する役割
登録セキスペ育成のメリット
▌
組織・企業
グローバルな競争環境の変化の中でサイバーセキュリティは
より積極的な経営への「投資」
※ビジネスチャンスの拡大
サイバーセキュリティの確保は、企業の経営層が
果たすべき責任の一つ
サイバー攻撃などのリスクの増大
②社会的評価・信頼の向上
③ビジネスチャンスの拡大
・自組織における登録セキスペの保有人数や、登録セキスペの監査や助言を受けていること等を積極的に
情報開示していくことで、組織としてのサイバーセキュリティ確保への取り組み姿勢の表明が可能です。
・厳格な秘密保持義務等や信用失墜行為の禁止などの義務があり、採用面での安心感につながります。
・緊急対応(インシデント)のみならず、ものづくり、運用など企業活動の多岐にわたって登録セキスペの
関与が進むことにより、事業継続・機能保障など総合的な観点から、信頼性が向上します。
・ITによるビジネス革新(プロセスや取引範囲の変化)が進む中で、サプライチェーンにおける組織の
セキュリティ管理責任は増大します。今後は調達における登録セキスペの参画の要件化なども想定される
ことから、登録セキスペの育成が企業競争力につながります。
①提供する機能やサービスの信頼性向上
2.登録セキスペの業務範囲、期待する役割
登録セキスペ育成のメリット(2)
▌
技術者
サイバー攻撃が増加する中で、サイバーセキュリティ対策を担う専門人材は
不足しており、社会全体として、早急な人材の確保が求められている
①情報セキュリティに関する高度な知識・技能を保有する証
②継続的・効果的な自己研鑽が可能
・歴史と信頼のある情報処理技術者試験「情報セキュリティスペシャリスト試験」の合格者及びそれをベースとした
新試験合格者が登録対象者であり、かつ登録を維持していることにより、継続的に自己研鑽を実施していることの
証になります。
・名称の独占使用ができます。(登録セキスペでない方が当名称を使用した場合、30万円の罰金になります。)
・毎年講習の受講が義務付けられており、その中で、サイバーセキュリティの専門家の監修した、最新情報を反映した
内容を学ぶことができます。
サイバーセキュリティ人材母集団の拡大の必要性
関係者間のネットワークづくり、情報共有の必要性
脅威や攻撃手法は刻々と変わり、規模も拡大
2.登録セキスペの業務範囲、期待する役割
〔参考〕ITSS+のセキュリティ領域
▌
ITSS+(プラス):2017年4月7日公開
領域 専 門 分 野 情 報 セ キ ュ リ テ ィ デ ザ イ ン セ キ ュ ア 開 発 管 理 情 報 セ キ ュ リ テ ィ ア ド ミ ニ ス ト レ ー シ ョ ン 情 報 セ キ ュ リ テ ィ ア ナ リ シ ス C S I R T キ ュ レ ー シ ョ ン C S I R T リ エ ゾ ン C S I R T コ マ ン ド イ ン シ デ ン ト ハ ン ド リ ン グ デ ジ タ ル フ ォ レ ン ジ ク ス 情 報 セ キ ュ リ テ ィ イ ン ベ ス テ ィ ゲ ー シ ョ ン 情 報 セ キ ュ リ テ ィ 監 査 レベル7 レベル6 レベル5 レベル4 レベル3 レベル2 レベル1 経営 脆 弱 性 診 断 セキュリティ領域 情 報 リ ス ク ス ト ラ テ ジ▌
企業等でのセキュリティ対策の本格化を踏まえ、専門的なセキュリティ業務の役割の観点により、
経営課題への対応
から
設計・開発、運用・保守、セキュリティ監査
における13の専門分野を具体化
▌
これらの専門分野は、
登録セキスペが想定する業務
を包含しており、登録セキスペにとっては、ITSS+を用いて実務の
場で
具体的に自らの専門分野を明示
することができる
2.登録セキスペの業務範囲、期待する役割
〔参考〕ITSS+のセキュリティ領域(2)
●専門分野の説明 専門分野 説明 情報リスクストラテジ 自組織または受託先における業務遂行の妨げとなる情報リスクを認識し、その影響を抑制するための、組織体制の整備や各種ルール整備等を含 む情報セキュリティ戦略やポリシーの策定等を推進する。自組織または受託先内の情報セキュリティ対策関連業務全体を俯瞰し、アウトソース 等を含むリソース配分の判断・決定を行う。 情報セキュリティデザイン 「セキュリティバイデザイン」の観点から情報システムのセキュリティを担保するためのアーキテクチャやポリシーの設計を行うとともに、こ れを実現するために必要な組織、ルール、プロセス等の整備・構築を支援する。 セキュア開発管理 情報システムや製品に関するリスク対応の観点に基づき、機能安全を含む情報セキュリティの側面から、企画・開発・製造・保守などにわたる 情報セキュリティライフサイクルを統括し、対策の実施に関する責任をもつ。 脆弱性診断 ネットワーク、OS、ミドルウェア、アプリケーションがセキュアプログラミングされているかどうかの検査を行い、診断結果の評価を行う。 情報セキュリティ アドミニストレーション 組織としての情報セキュリティ戦略やポリシーを具体的な計画や手順に落とし込むとともに、対策の立案や実施(指示・統括)、その見直し等 を通じて、自組織または受託先における情報セキュリティ対策の具体化や実施を統括する。また、利用者に対する情報セキュリティ啓発や教育 の計画を立案・推進する。 情報セキュリティ アナリシス 情報セキュリティ対策の現状に関するアセスメントを実施し、あるべき姿とのギャップ分析をもとにリスクを評価した上で、自組織または受託 先の事業計画に合わせて導入すべきソリューションを検討する。導入されたソリューションの有効性を確認し、改善計画に反映する。 CSIRTキュレーション 情報セキュリティインシデントへの対策検討を目的として、セキュリティイベント、脅威や脆弱性情報、攻撃者のプロファイル、国際情勢、メ ディア動向等に関する情報を収集し、自組織または受託先に適用すべきかの選定を行う。 CSIRTリエゾン 自組織外の関係機関、自組織内の法務、渉外、IT部門、広報、各事業部等との連絡窓口となり、情報セキュリティインシデントに係る情報連携 及び情報発信を行う。必要に応じてIT部門とCSIRTの間での調整の役割を担う。 CSIRTコマンド 自組織で起きている情報セキュリティインシデントの全体統制を行うとともに、事象に対する対応における優先順位を決定する。重大なインシ デントに関してはCISOや経営層との情報連携を行う。また、CISOや経営者が意思決定する際の支援を行う。 インシデントハンドリング 自組織または受託先におけるセキュリティインシデント発生直後の初動対応(被害拡大防止策の実施)や被害からの復旧に関する処理を行う。 セキュリティベンダーに処理を委託している場合には指示を出して連携する。情報セキュリティインシデントへの対応状況を管理し、CSIRTコ マンドのタスクを担当する者へ報告する。2.登録セキスペの業務範囲、期待する役割
〔参考〕ITSS+のセキュリティ領域(3)
▎
登録セキスペとITSS+(プラス)との関係:ライフサイクル上での整理
■
専門分野は、国家資格の”情報処理安全確保支援士(登録セキスペ)”が想定する業務を包含している。
2.登録セキスペの業務範囲、期待する役割
制度活用のメリット(1) 入札要件の充足
入札要件の充足
「デジタル・ガバメント推進標準ガイドライン」
(*1)(平成30年3月30日各府省情報化統括責任者
(CIO)連絡会議決定。)の内容を解説する
「
政府情報システムの整備及び管理に関する標準ガイドライン実務手引書
」の
調達の部分に情報処理安全確保支援士が掲載。
P44
2.調達仕様書の作成等
1)調達仕様書の記載内容 設計・開発を行う担当者には、情報処理の促進に関する法律(昭
和45年5月22日法律第90号)第15条の規定に基づく情報処理安全確保支援士の登録
を受けている者又は同等の資格を有する者を含むこと)。
P91・92
別紙6-1 調達する作業内容ごとの人材に関する要求条件(参考)
「政府情報システムの整備及び管理に関する標準ガイドライン実務手引書」
http://www.soumu.go.jp/main_content/000348295.pdf (*1)デジタル・ガバメント推進標準ガイドライン 世界最先端IT国家創造宣言(平成25年6月14日閣議決定)に基づき、サービス・業務改革並びにこれらに伴う政府情報システムの整備 及び管理について、その手続・手順に関する基本的な方針及び事項並びに政府内の各組織の役割等を定める体系的な政府共通ルール2.登録セキスペの業務範囲、期待する役割
制度活用のメリット(2) 関連資格取得の優遇
関連資格取得の優遇制度
情報処理安全確保支援士は、情報セキュリティ監査人の業務に携わるための資格取得の優遇制度
があります。
– 1日のトレーニングで「情報セキュリティ監査人補」の資格取得ができます(通常5日間)
– 筆記試験が免除されます
詳細は以下をご覧ください: 日本セキュリティ監査協会「高度情報セキュリティ資格特例制度」情報セキュリティ監査人補について
• 情報セキュリティ監査制度(経済産業省)に則り 情報セキュリティ監査を行う専門家です。 • 情報セキュリティ監査人補は内部監査を行うこと ができます。 • 情報セキュリティ監査人補が実務経験に基づき、 試験に合格した場合には、公認情報セキュリティ 監査人として、外部監査を行うことができます。2.登録セキスペの業務範囲、期待する役割
制度活用のメリット(3) 税制優遇
税制優遇の要件に
2018年6月6日に施行された「IoT税制(コネクテッド・インダストリーズ税制)」において、
税制優遇の条件の一つ「一定のサイバーセキュリティ対策が講じられている」ことを担保
する役割を登録セキスペが担う。
②セキュリティ面
必要なセキュリティ対策が講じられて
いることを、セキュリティの専門家
(登録セキスペ等)が担保
3.登録セキスペ登録状況について
登録者数(これまでの登録状況)
情報処理安全確保支援士の登録人数は
9,181名
となりました
(2018年4月1日時点)
https://www.ipa.go.jp/about/press/20180402_2.html2017年4月登録
2017年10月登録
2018年4月登録
新規
登録者数
4,172
2,822
2,206
3.登録セキスペ登録状況について
登録者内訳
2018年4月1日登録者(
2,206名
)の内訳
男性 女性 2,073(94.0%) 133(6.0%) 平均年齢 10代 20代 30代 40代 50代 60代 70代 39.9歳 2 264 813 813 292 20 2 0.1% 12.0% 36.9% 36.9% 13.2% 0.9% 0.1% 北海道 東北 関東 中部・東海 近畿 中国 四国 九州・沖縄 23 31 1,607 188 223 42 23 69 1.00% 1.40% 72.80% 8.50% 10.10% 1.90% 1.00% 3.10% https://www.ipa.go.jp/about/press/20180402_2.html➣ 2017年4月1日登録者 (
4,172名
)の内訳
➣ 2017年10月1日登録者
2,822名
の内訳
https://www.ipa.go.jp/about/press/20171002.html https://www.ipa.go.jp/about/press/20170403.html3.登録セキスペ登録状況について
登録者内訳(2) 勤務先の業種内訳
2018年4月1日及び2017年10月1日登録者の「現状調査調査票
※」に基づく勤務先の業務内訳
(4,125名)勤務先の業種
人数
割合(%)
情報処理・提供サービス業
2,051
49.7
ソフトウェア業
666
16.1
運輸・通信業
344
8.3
製造業
257
6.2
サービス業
122
3.0
コンピュータ及び周辺機器製造又は販売業
127
3.1
官公庁、公益団体
134
3.2
金融・保険業、不動産業
112
2.7
その他(学生など)
80
1.9
建設業
65
1.6
教育(学校・研究機関)
66
1.6
卸売・小売業、飲食店
40
1.0
電気・ガス・熱供給・水道業
23
0.6
※現状調査票 登録申請書に添付しご提出いただくもの。 2017年6月21日より運用を開始。3.登録セキスペ登録状況について
登録者内訳(3) 担当業務・登録のきっかけ
担当セキュリティ関連業務 (N=4,128)
登録のきっかけ (N=4,128)
0 500 1000 1500 2000 2500 選択肢以外のセキュリティ関連業務(9%) セキュリティ監査(11%) セキュリティ関連業務に従事していない(13%) インシデント対応(29%) 運用・保守(51%) 設計・開発(54%)2,224
2,086
1,202
535
450
386
2018年4月1日及び2017年10月1日登録者の現状調査調査票
※に基づく内訳
(4,125名)
※現状調査票 登録申請書に添付しご提出いただくもの。 2017年6月21日より運用を開始。 0 500 1000 1500 2000 2500 3000 その他(1%) ビジネスチャンス獲得のため(25%) 会社または上司の指示(40%) 自己研さん(66%)1,660
2,742
1,034
39
3.登録セキスペ登録状況について
組織別登録人数(勤務先名を公開されている方のみ)
注)・「勤務先名」を公開されている方の情報です。 ・登録セキスペの方が「勤務先名」に記載している文字列が正式な 組織名称と異なる場合、カウントされないことがあります。 ・2018年4月1日時点のデータです。 No 勤務先名 人数 1 株式会社日立製作所 230 2 SCSK株式会社 207 3 日本電気株式会社 187 4 KDDI株式会社 155 5 NECソリューションイノベータ株式会社 133 6 株式会社大塚商会 98 7 株式会社富士通ソーシアルサイエンスラボラトリ 87 8 株式会社ラック 85 9 富士ソフト株式会社 83 10 株式会社日立ソリューションズ 71 11 NRIセキュアテクノロジーズ株式会社 57 12 日本ユニシス株式会社 54 13 トレンドマイクロ株式会社 53 13 日本電気通信システム株式会社 53 15 富士通株式会社 52 16 NECネッツエスアイ株式会社 51 No 勤務先名 人数 17 株式会社NTTデータ 40 18 株式会社日立システムズ 38 19 NECフィールディング株式会社 36 20 TIS株式会社 35 22 三菱電機インフォメーションシステムズ株式会社 34 23 ユニアデックス株式会社 33 23 東日本電信電話株式会社 33 25 NTTコミュニケーションズ株式会社 30 26 株式会社中電シーティーアイ 26 27 ヤマトシステム開発株式会社 25 27 東北インフォメーションシステムズ株式会社 25 27 株式会社野村総合研究所 25 *上記一覧を棒グラフで示したもの3.登録セキスペ登録状況について
登録者内訳 都道府県別登録者数
地域 都道府県 人数 北海道 北海道 134 東北 青森県 28 岩手県 62 宮城県 104 秋田県 24 山形県 15 福島県 22 関東 東京都 3,073 茨城県 141 栃木県 35 群馬県 40 埼玉県 780 千葉県 784 神奈川県 1,679 中部・ 東海 新潟県 37 富山県 41 石川県 68 福井県 29 山梨県 13 長野県 57 岐阜県 57 静岡県 81 愛知県 374 三重県 37 地域 都道府県 人数 近畿 京都府 108 大阪府 468 滋賀県 33 兵庫県 241 奈良県 65 和歌山県 15 中国 鳥取県 9 島根県 22 岡山県 38 広島県 79 山口県 15 四国 徳島県 12 香川県 29 愛媛県 29 高知県 8 九州・ 沖縄 福岡県 160 佐賀県 16 長崎県 20 大分県 14 熊本県 35 宮崎県 9 鹿児島県 8 沖縄県 33 総数 9,181 0 500 1,000 1,500 2,000 2,500 3,000 3,500 北海道 岩手県 秋田県 福島県 茨城県 群馬県 千葉県 新潟県 石川県 山梨県 岐阜県 愛知県 京都府 滋賀県 奈良県 鳥取県 岡山県 山口県 香川県 高知県 佐賀県 大分県 宮崎県東京都
神奈川県
千葉県 埼玉県 愛知県 大阪府 (単位:人)4.登録セキスぺに義務付けられた講習について
講習の基本方針
※インストラクショナルデザイン(ID)とは, ADDIE(分析→設計→開発→実施→評価)と呼ばれる インストラクショナルデザインのプロセスに基づき,効果的・効率的に教育を行う科学的な手法。○品質が高く、効果的かつ受講しやすい講習提供に向けて
■効果を意識したカリキュラム設計 →インストラクショナルデザインに基づく設計 →実践にマッチしたケーススタディ中心による集合講習 →オンライン講習と集合講習の組合せによる反転学習 ■教材 ・最新動向を反映し、かつ実践に即した内容 →毎年、内容見直しを実施 ・支援士として遵守すべき倫理の実施 ■理解度の確認 ・確認テスト実施による理解度チェック ■登録セキスペ個人へのきめ細かい案内 ・「講習受講計画」の提示 ・メールによる受講フォロー ■居住地によらない受講機会の提供 ・オンライン講習の提供 ・主要8都市での集合講習開催よる受講機会の確保 ■障がい者受講時の配慮 ・「障害を理由とする差別の解消の推進に関する法律」に基づく合理的配慮の提供カリキュラム
教材
受講環境
集合講習
講師
国家資格としての 質の保証 ■認定講師による講習実施 (講師認定基準に基く講師認定) ・セキュリティ分野の第一人者 ・ファシリテーションの実績豊富4.登録セキスぺに義務付けられた講習について
「オンライン講習」と「集合講習」
◆集合講習
受講頻度 :3年に1回 受講日数・時間 :1日間(9:45~17:30) 開催場所 :全国主要8都市(東京、大阪、名古屋、札幌、仙台、広島、高松、福岡)での開催を予定 開催時期 : 1年間の受講期間中、随時開催 受講費用 :80,000円(非課税) (資格維持の費用を含む)◆オンライン講習(オンライン講習A、オンライン講習B、オンライン講習C)
受講頻度 :1年に1回 標準学習時間 :6時間 開催時期 :1年間の受講期間の間、受講したいタイミングで開始できます 学習期間 :申込後3ヶ月間(ただし、最大1年間内容の参照が可能です) 受講費用 :20,000円(非課税) (資格維持の費用を含む) 受講基本パターンの例 (オンライン講習教材イメージ) (オンライン講習Cの例) 知識(2時間):全7章 約110ページ 技能(2時間):全9章 約110ページ 倫理(2時間):全6章 約 60ページ ※標準学習時間1時間ごとに理解度を確認する テストがあります。(全問正解で合格となります。)4.登録セキスぺに義務付けられた講習について
年次ごとの講習内容
◆コース名:オンライン講習C Ⅰ.知識 2h • 情報セキュリティ関連の制度や規格等の動向(JIS、 ISO/IEC、IEEE等) • 最新動向「情報セキュリティ10大脅威」(直近のも の) Ⅱ.技能 2h • インシデントハンドリング • セキュア設計、セキュア開発の概説 Ⅲ.倫理 2h • 倫理・コンプライアンスの概念 • 「RFC1087 インターネットと倫理」及び「情報処理学 会 倫理要領」概説 理解度確認テスト ◆コース名:オンライン講習B Ⅰ.知識 1h • 最新動向「情報セキュリティ10大脅威」(直近のも の) Ⅱ.技能 4h • 「セキュリティ設定共通化手順SCAP」概説 • 脆弱性情報の読み方、扱い方 • ユーザー教育と内部監査 Ⅲ.倫理 1h • 法令遵守・契約履行(個人情報、営業秘密、特定 機密、知財権、SLA等) 理解度確認テスト ◆コース名:オンライン講習A Ⅰ.知識 1h • 最新動向「情報セキュリティ10大脅威」(直近のも の) Ⅱ.技能 3h • 情報セキュリティ対策の実践 • 「情報セキュリティ早期警戒パートナーシップガイドライン 2016年版」概説• 「Japan Vulnerability Notes(JVN)」概説 Ⅲ.倫理 2h • 情報セキュリティ従事者としての倫理的責任と義務 (守秘義務、誠実義務、注意義務等) 理解度確認テスト ◆コース名:集合講習 Ⅰ.知識 2h • 事前学習の理解度確認テスト • グループ演習のための知識の確認とワーク Ⅱ.技能 3h • ケーススタディ①インシデント対応のグループ演習 • ケーススタディ②予防策の検討のグループ演習 Ⅲ.倫理 1h • ケーススタディ③倫理的な判断・行動に関するグループ 演習
3年目:基礎知識の復習と実践的な能力の習得・維持・向上
1年目:最新知識のインプット
2年目:技能の強化
登録セキスペの知識・技能の維持・向上
及び倫理観の醸成
のために、 毎年1回のオンライン講習と3年に1回の集合講習の受講が義務付けられている。4.登録セキスぺに義務付けられた講習について
集合講習について
集合講習の目的・タイムスケジュール
➢
情報セキュリティ対策を担う実践的な能力の習得・維持・向上をはかる
➢
オンライン講習で学習した知識が実践として使えることを確認する
シナリオに沿った演習に取り組むことで、情報セキュリティインシデント対応の検知・分析から再発防止までの一連の 流れの理解を深め、実業務への応用のための気づきを得る 情報セキュリティインシデントの原因に対し、情報セキュリティ技術の実践的な知識を使い、現実的な対策を検討する 情報セキュリティ関連業務に従事する者として、倫理・コンプライアンス的な責任を理解し、判断及び行動ができる ようにする 時間 講習内容 9:45~12:00 (途中休憩10分) オリエンテーションなど 事前チェック 理解度確認テスト 講義(インシデント対応手法、情報セキュリティにおける倫理) トピックス検討ワーク 12:00~13:00 昼食休憩 13:00~17:00 (ケーススタディ毎に休 ケーススタディ概要 ケーススタディ① インシデント対応4.登録セキスぺに義務付けられた講習について
集合講習講師
講師一覧(現在34名)
No 講師名(敬称略) 会社名 1 上野 宣 株式会社トライコーダ 2 江島 将和 独立行政法人情報処理推進機構 3 太田 利次 ジーブレイン株式会社 4 大財 健治 ジーブレイン株式会社 5 大竹 章裕 株式会社ラック 6 加賀谷 伸一郎 独立行政法人情報処理推進機構 7 小柴 宏記 ジーブレイン株式会社 8 小林 浩史 NECマネジメントパートナー株式会社 9 嶋倉 文裕 富士通関西中部ネットテック株式会社 10 白井 雄一郎 株式会社ラック 11 富田 一成 株式会社ラック 12 濱本 常義 株式会社エネルギア・コミュニケーションズ 13 平山 敏弘 アクセンチュア株式会社 14 淵上 真一 日本電気 株式会社 15 山田 英史 株式会社ディアイティ 16 樂満 俊幸 NECマネジメントパートナー株式会社■集合講習講師
本集合講習は、有識者による委員会にて認定された講師が担当
セキュリティ分野の第一線で活躍し、ファシリテーターとしても高い実績を持つ専門家
17 阿部 英嗣 株式会社大塚商会 18 永田 博司 NECフィールディング株式会社 19 星 智恵 ネットワンシステムズ株式会社 20 笠井 靖記 21 千葉 寛之 株式会社 日立製作所 22 木下 稔雅 学校法人電子学園 日本電子専門学校 23 久野 玲 NECソリューションイノベータ株式会社 24 内藤 剛 NECフィールディング株式会社 25 有馬 一也 株式会社インフォテック・サーブ 26 藤井 仁志 日本アイ・ビー・エム株式会社 27 奥田 剛 大阪大学 28 小原 哲也 トレンドマイクロ株式会社 29 横内 豊樹 株式会社エネルギア・コミュニケーションズ 30 阿部 敦子 NECソリューションイノベータ株式会社 31 佐藤 雅一 学校法人静岡理工科大学 静岡産業技術専門学校 32 星 代介 株式会社ラック4.登録セキスぺに義務付けられた講習について
集合講習講師(2)
IPAのホームページにて認定講師を紹介
https://www.ipa.go.jp/siensi/lecture/inst.html
■集合講習講師紹介(1/2)
4.登録セキスぺに義務付けられた講習について
集合講習講師(3)
4.登録セキスぺに義務付けられた講習について
身体障害者等の受講への合理的配慮について
IPAにおける障がい者対応の基本方針
障害者差別解消法
(※)の主旨に則り合理的配慮を
行うことを基本方針
として対応する。
(出典) 内閣府リーフレット「障害者差別解消法が制定されました」より http://www8.cao.go.jp/shougai/suishin/pdf/leaf_seitei.pdf (※) 障害を理由とする差別の解消の推進に関する法律 国連の「障害者の権利に関する条約」の締結に向けた国内法制度の 整備の一環として、全ての国民が、障害の有無によって分け隔てられる ことなく、相互に人格と個性を尊重し合いながら共生する社会の実現 に向け、障害を理由とする差別の解消を推進することを目的として、平 成25年6月、「障害を理由とする差別の解消の推進に関する法律」 (いわゆる「障害者差別解消法」)が制定され、平成28年4月1日 から施行されました。 (出典)内閣府HP http://www8.cao.go.jp/shougai/suishin/sabekai.html 対象者 オンライン講習の主な配慮事項 集合講習での主な配慮事項4.登録セキスぺに義務付けられた講習について
2017年度実績
2017年度の講習受講修了者数(2017年4月~2018年3月)
開催地域 東京(横浜含む) 大阪 名古屋 札幌 仙台 広島 高松 福岡 沖縄 総計 回数(回)91
13
7
2
2
2
2
3
1
123
受講者数(人)2,042
223
78
28
49
39
15
56
8
2,538
受講人数
オンライン講習
(A,C)
4,999
集合講習
2,538
2017年度の集合講習開催実績(2017年4月~2018年3月)
※開催曜日:平日および土曜日
<集合講習:グループ演習の様子>日本電気株式会社 サイバーセキュリティ 戦略本部 石井俊行本部長
「お客様の要望に合わせた確実なセキュリティ設計がますます重要に。
それができる社員となってもらうツールの一つとして、
情報処理安全確保支援士制度を活用しています。」
NECでは、「安心」「安全」な情報社会の実現に向けて、セキュリティ面で顧客にご安心いた だけるシステムやサービスの提供に注力しています。 最近、システム・サービスの提供において特に感じているのは、「お客様のニーズに合わせた セキュリティ対策」の重要性です。全てのお客様に高度なセキュリティ対策が必要なわけでは ありません。そのビジネスをしっかり理解し、必要で効果的なセキュリティ対策を
設計して、必要性を説き、安全なシステム・サービスを提供する
。それがこれからの セキュリティ技術者に求められることだと考えています。 このような技術者に求められるのは、「①セキュリティ分野の体系的な知識・スキル」
と「②レベルごとのセキュリティ対策について、効果とリスクを経営層に説明で
きるスキル」
です。①を習得する基盤として、情報処理安全確保支援士試験は最適
と感じており、NECグループでは、数百人規模で情報処理安全確保支援士を登録させていま す。弊社の情報処理安全確保支援士には、今後は②の役割を担っていって欲しいです。 今後、セキュリティ対策要員を自社で抱えられないお客様に対して、セキュリティ面のアドバ イスや、お客様の取引先への説明を代わって行うようなセキュリティ技術者が必要になってく(参考)活用企業インタビュー
日本電気株式会社様
NRIセキュアテクノロジーズ株式会社 事業推進部 与儀大輔担当部長(左) 人事部 西谷昌紀人事課長(右)
