企業でのセキュリティ資格の意味合いは？：Security&Trust ウォッチ（18）

[貴内晴文，＠IT] PC用表示

LINE

Hatena

　政府はセキュリティ教育に関して、ネットワークの利用を含めて初等教育からの導入を進めようとしている。しかし現在の現場で活躍する人材を育成するための方策は打ち出しているのだろうか。本当のところセキュリティにかかわる人材を育成する場の創出に努力しているのだろうか。

情報セキュリティアドミニストレータの現状は？

　さて、情報セキュリティに携わる皆さんには自明のことだが、この情報立国日本において、情報セキュリティに関する公的資格というものはいくつ存在するかご存じだろうか？正解は1つだけ、「情報セキュリティアドミニストレータ（以下セキュアド）」だけなのだ。ではそのセキュアドに合格するとどんな仕事ができる資格が得られるだろう？私の感触からいえば、正解は、何もできるようにはならないのだ。私もこの資格試験にトライして、運よく合格した際、ネットワークセキュリティ技術部門に属しているにもかかわらず、当時の上司への報告のやりとりは、

私　「セキュアドに合格しました」

上司　「そんなことはいいから客先へ提案に行ってこい」

で終わりだった……。要は試験に合格しただけであって、資格として扱われていないというのが実感だった。大手の転職情報サイトで資格要件として「情報セキュリティアドミニストレータ」で検索したが、結果は0件。もうちょっと高級にCISA（公認情報システム監査人）なんてどうだろう、結果1件。どういうことだろうか。

　では社会的に必要とされているIT人材とはどんな資格を有する人なのだろうか。皆さんも感じられているとおり主としてベンダ系の資格が非常に強いといえる。特にシスコシステムズ関連のCCNAなどの資格は引っ張りダコだ。しかしこれは「特定の製品の仕様と扱いの習熟度を認定する資格」であって、情報セキュリティという分野から見れば極めて狭いフィールドを評価するものだ。

　なぜ、唯一の情報セキュリティの公的資格を所有していても、評価されないのだろうか。私が問題と感じている点は、IT関連の資格制度と業務との関連性についてだ。特にセキュアドは、「情報システム利用側」の資格と位置付けられており、事実上、いわゆるセキュリティエンジニアの資格とはなっていないということと、前述のように何かの資格要件とされていることもほとんど見掛けない。

　うがった見方をすれば、企業・団体のシステム管理者にとっての試験と位置付けられているために、「セキュアドを取得したなら、今日からセキュリティは全部お前に任せた！」というスタンスの言葉が掛けられて、余計に管理者の負担が増えてしまうのではないだろうか。ただそれだけの資格であれば、だれも受験しないだろうし、だれも必要としないだろう。

情報セキュリティ関連資格に求めるもの

　ちょっと愚痴っぽくなってしまったが、いまこそセキュリティ技術者のスタンダードとなるべき資格を立ち上げるべきではないだろうか。それはセキュアドに代わるものでもよいし、新たな公的資格でもよいのではないか。

　セキュリティ業務に携わる多くの人が目指す国家資格に変わらない限り、セキュアドのこれ以上の普及はあり得ないだろう。仕事の内容は非常に高度で激務なのに、情報処理技術者試験では底辺の扱いというのもなしにしたい。そんな資格では取りたくなくなるだろう。

　例えばセキュリティ関連の業務を行っているSE、例えば毎日ファイアウォールのルールの設計や、現場での調整作業をしているエンジニアが「セキュアドに合格するか」というと必ずしもそうではない。これは意外に思われないか。セキュリティで生計を立てているプロフェッショナルがだ。ある中堅IT企業で取材したときにこのような職種の従業員が約100名受験して受かったのが9名というのを聞いたことがあった。合格者が10％以下ということだが、なぜだろう？！

　答えはセキュアドのスキル標準で記載のある、「国際標準」「関連法規」「セキュリティポリシー策定」などの「非技術系」の項目にありそうだ。ベンダなどでは、サーバの要塞化など日常業務のためのパラメータのチューニングは収益になり、「構築」などといって作業工数に計上できるため、SE個人の実績になり評価につながる。一方で「関連法規」だけではまったく収益にならない。収益にならないことに執心しているほどベンダのSEは暇じゃない（涙）ので、「そんなことは知らないし、知る必要もない」となる。上司も「そんなこと知っていて売り上げが増えるのか」という。

　もう1つセキュリティ関連業務のSEが合格しない理由がある。それは試験を見下しているからだ。JITEC（日本情報処理開発協会）の描くキャリアパスの中ではセキュアドの扱いはソフトウェア開発技術者に並ぶ底辺に位置する。シスコシステムズなどのベンダ系資格を持っているのに、いまさらそんな簡単な試験を受ける必要がないという感覚を持ってしまう。実は私自身もそうだった。すでにマイクロソフトとシスコシステムズなどの資格を持っていたため、情報処理技術者試験自体を「学生でも受けられる試験なんて……」とそう考えていた。そうやってばかにしてかかるものだから、関連法規や国際標準などの科目の準備などはまるでせず、午後の記述式の問題でみんなそろって落ちてしまうわけだ。

　反対に試験で計ることが難しいが本来必要とされるのが、システムを俯瞰（ふかん）的に眺めて、どのように運用すべきか、人の運用にはどのように留意すべきか、情報セキュリティリスクにどのように対処するか、などの設問がある。これには製品技術的知識だけでは到底解答を出せるものではない、実践経験が必要なものである。

真のセキュリティ技術者育成の資格とは

　このような現状を踏まえると、JITECが考える必要な人材像と、社会が必要としている人材像が非常に大きく乖離（かいり）している部分が浮き出てくる。セキュリティは製品やソリューションの技術であるという雰囲気が大勢を占める現状の市場のニーズと、セキュリティは普遍的技術から法規にわたる全体管理であるとするJITECの考え方、この2者はほとんどの部分で接点がないように見える。

　ここで問題となるのは、JITECの描く人物像か、社会の求める人物像か、どちらが資格としてふさわしいかということだ。この答えをJITECを含めて公的機関で検討していただきたいものだ。JITECの試験が「子どもじみている」というならば、産業界はJITECに提言すべきだし、どのようなスキルを求めているのかを明確にすべきだろう。また受験できる年齢制限については、SEの人材不足の理由から撤廃することは考えないことが望ましいだろう。こうして、社会的に求められる人材を国家試験によって認定する制度を構築しなければ、セキュリティ技術者の育成というものは、教育も含めて「絵に描いたもち」になってしまう。

　ちょっと出来の悪い私がセキュアドに合格できたこと、それにはそれなりに業務時間外での大変な勉強が必要だったわけだが、そういった条件を越えて合格した人はちゃんとした待遇になっているのだろうか。私自身はどうだったかと思い返すと、ちっとも待遇は変わらなかった、というよりも会社業績の低下で現実には1年前より給料は減ってしまった。このようなことが起きないようにセキュリティに関する技術力と資格のポジションを向上するためには、業界全体としてのセキュリティに対する資格報酬などを提言したりすることも必要なのかもしない。しかしいまの不景気のご時世では、「仕事があるだけありがたいと思え。セキュアドで給料増えるなんて夢見てんなよ」、そう天の声がいっているような気もするが……。

　セキュリティ関連の業務にかかわる皆さんのご意見はいかがだろう。私が思うところでは、セキュアドは3年ほどで大ブレークするものと予想する。ISMS認証もやがてISO化されるという話をちらほら聞くようになった昨今、将来的には、ISO9000や14000シリーズなどのように、ISMS認証取得がISOビジネスとして再度ブレークする可能性が非常に大きいといえるだろう。セキュリティの各種ガイドラインやマネジメント層の関与について言及するセキュアドは、公然とその能力を誇示できる時期が来ることだろう。たかがセキュアド、されどセキュアド。皆さん今年の秋の準備は万全だろうか？

Profile

貴内晴文（きうちはるふみ）フリーライター

1972年生まれ、神奈川県出身。某企業のシステム管理部で基幹システムに従事。その後、情報セキュリティ関係の業務を行う。現在はフリーでコンサルタントやライターとして、情報セキュリティや暗号技術の情報収集を行っている。

「SecurityTrust ウォッチ」バックナンバー

企業でのセキュリティ資格の意味合いは？：Security&Trust ウォッチ（18）

情報セキュリティアドミニストレータの現状は？

情報セキュリティ関連資格に求めるもの

真のセキュリティ技術者育成の資格とは

Profile

Security & Trust 記事ランキング