情報処理安全確保支援士が果たせる役割を開発現場側から考える

はじめに

こんにちは、品質管理部の立古です。

突然ですが、 情報処理安全確保支援士 についてご存じですか？ www.ipa.go.jp

サイバーセキュリティ対策を推進する人材の 国家資格 です。
エムオーテックスのプロフェッショナルサービス部門には、情報処理安全確保支援士の資格を持つスタッフが多数在籍しております。 www.lanscope.jp

エムオーテックス内の資格取得スタッフは、その専門性を活かして主にお客様向けサービスをご提供しているわけですが、
実は、少数ながら開発部門にも資格取得者が在籍しており、主に社内向けのサイバーセキュリティ活動を推進しています。

そこで今回は、社内の、特に開発現場でのサイバーセキュリティ活動という視点から、情報処理安全確保支援士の役割を考察してみたいと思います。

情報処理安全確保支援士になるには

情報処理推進機構(IPA)が実施する 情報処理技術者試験 と同等の形式で試験が実施され、試験に合格することで登録可能となります。 www.ipa.go.jp

試験の具体的な内容はシラバスをご参考ください。 www.ipa.go.jp

サイバーセキュリティに関する資格と聞くと、高度なサイバー攻撃手法や、セキュリティ侵害の分析手法などがイメージされるかもしれません。
しかし、実際には普段の開発現場に生かせる知見も多数含まれています。

例えば、シラバスを確認すると以下のようなトピックがあります。

セキュリティ対策のシフトレフト、開発段階でのセキュリティ考慮が求められる時代に、
開発現場のメンバーがこのような知識を持っていることは、大きな価値を持ちそうですよね。

試験は 筆記試験 にて実施され、時流に依存しない知識を問う構成となっています。
一方で、セキュリティ業界は変化が激しく、常に新たなトレンドへの追従が求められる世界です。

そのため、試験合格はあくまで入口として、その後の業務経験や講習受講 もポイントになってきます。
実際、情報処理安全確保支援士には定期的な講習受講が義務付けられています。

講習の説明ページによれば、以下が目的として掲げられています。

まさに、新たなトレンドへの追随が講習によってカバーされており、
例えば最新の法令改正や政府の施策動向、国際情勢の変化などを体系的に学ぶことができます。

また、事例の一般公開がなかなか難しいセキュリティ業界において、
実践講習におけるグループディスカッションを通して多様な情報交換を行えることも、貴重な経験になると思います。

ここまでご説明した通り、情報処理安全確保支援士の資格取得をもってスキルが保障されるのではなく、資格取得者には講習などを通して常に最新情勢をキャッチアップする姿勢が求められます。
したがって、他の専門性も求められる開発エンジニアに対して、全員に資格取得させることは現実的ではないかもしれません。

そこで、情報処理安全確保支援士を開発現場におけるセキュリティの推進・アドバイス役として、少数から配置してみてはいかがでしょうか。
推進役として組織内へ広く知見をシェアする立場として活躍できれば、開発部門全体のセキュリティスキル向上に寄与するでしょう。

プロダクトのセキュリティ向上を推進する組織として PSIRT(Product Security Incident Response Team) を結成し、情報処理安全確保支援士を含むメンバーが対応しています。

セキュリティトラブルが生じた際の一次請け対応を行うとともに、普段の設計・開発において開発者がセキュリティで迷った際の相談を行える定例会を実施しています。

情報処理安全確保支援士は様々な事業の現場でセキュリティ推進役として役立つ可能性を秘めています。
サイバーセキュリティと直接関係の無い事業者であっても、ぜひご関心を持っていただければと思います。

ご覧いただきありがとうございました。