57
2019年1月 IPA IT人材育成センター 国家資格・試験部 登録・講習グループ 国家資格「情報処理安全確保支援士」制度について 国家資格「情報処理安全確保支援士」がわかる!制度説明会

国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

  • Upload
    others

  • View
    0

  • Download
    0

Embed Size (px)

Citation preview

Page 1: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

2019年1月

IPA IT人材育成センター

国家資格・試験部 登録・講習グループ

国家資格「情報処理安全確保支援士」制度について

国家資格「情報処理安全確保支援士」がわかる!制度説明会

Page 2: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 1

目次

1.情報処理安全確保支援士(登録セキスペ)とは

2.登録セキスペの業務範囲、期待される役割

3.制度活用のメリット

4.登録セキスペ登録状況について

5.登録セキスぺに義務付けられた講習について

Page 3: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 2

1.情報処理安全確保支援士(登録セキスペ)とは

Page 4: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019

1.情報処理安全確保支援士(登録セキスペ)とは制度創設の背景

試験制度見直し過程での国家資格創設の提言(*1)を受け

「情報処理の促進に関する法律」を改正し情報処理安全確保支援士制度が開始

このような人材確保に必要なものは・・・

・知識・スキルの評価 (だけでなく)

・知識・スキルの維持、最新化

・義務遵守のしくみ

・(試験で測りにくい)意識の醸成 など

社会のIT依存度が高まり、社会的脅威が拡大

サイバー攻撃の増加・高度化

「セキュリティ人材の質的・量的不足」

企業・組織でのサイバーセキュリティ対策を強い倫理感のもと推進できる人材の必要性

サイバーセキュリティ対策の重要性の高まり

3

(*1)セキュリティ人材の確保に関する研究会 中間報告 http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/pdf/006_s01_00.pdfセキュリティ人材の確保に関する研究会:経済産業省とIPAが事務局で2015年8月に開催された研究会。

Page 5: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019

情報処理の促進に関する法律施行令(政令)・施行規則(経済産業省令)

情報処理の促進に関する法律

(情報処理安全確保支援士の業務)第6条 情報処理安全確保支援士は、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うと

ともに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援することを業とする。

(登録事務の代行)第22条 経済産業大臣は、機構に、登録の実施に関する事務(第19条の規定による登録の取消し及び命令に関する

事務を除く。次条第1項及び第2項並びに第43条第2項において「登録事務」という。)を行わせることができる。

(受講義務)第26条 情報処理安全確保支援士は、経済産業省令で定めるところにより、

機構※の行うサイバーセキュリティに関する講習(第28条において単に「講習」という。)を受けなければならない。 ※独立行政法人情報処理推進機構

(業務の範囲)第43条 機構は、第32条の目的を達成するため、次の業務を行う。

六 サイバーセキュリティに関する講習を行うこと。

【情報処理の促進に関する法律】

1.情報処理安全確保支援士(登録セキスペ)とは制度創設の背景(2)

4

・平成28(2016)年 4月22日 改正情促法公布

・平成28(2016)年10月21日 改正情促法・政省令施行

Page 6: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019

2015 2016FY 2017FY 2018FY 2019FY

4 7 10 1 4 7 10 1 4 7 10 1 4 7

検討

法令

試験および申請登録

講習

5

1.情報処理安全確保支援士(登録セキスペ)とは制度創設の背景(3)全体スケジュール

▲8月 セキュリティ人材の確保に関する研究会 中間報告

▲4月産業構造審議会商務情報流通分科会情報経済小委員会試験ワーキンググループ 中間とりまとめ

▲4/22公布

【改正情促法】

【政省令整備】

▲10/21施行

講習(オンライン/集合)実施

▲春期

▲合格発表

▲秋期

▲合格発表

申請・登録 審査 審査 審査

受付 ~2018/8/19受付受付受付

▲登録 ▲登録 ▲登録審査10/24~ ▲登録

登録セキスぺ誕生

(以降、繰り返し)

▲春期

▲合格発表

▲秋期

▲合格発表

▲募集開始

▲春期

▲合格発表

▲案内開始

▲秋期

▲合格発表

▲春期

▲合格発表

申請・登録 審査 審査▲登録 ▲登録審査

受付 ~1/31受付~7/31受付受付

(以降、繰り返し)

審査 ▲登録

受付~7/31

▲登録

①登録セキスペ

試験

②経過措置(SC試験等)

Page 7: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 6

1.情報処理安全確保支援士(登録セキスペ)とは参考)経済産業省のニュースリリース ー産業構造審議会 試験ワークキング報告ー

http://www.meti.go.jp/press/2016/04/20160427006/20160427006-1.pdf

経済産業省ニュースリリース (2016年4月27日)「情報経済小委員会試験ワーキンググループの検討結果を取りまとめました」(http://www.meti.go.jp/press/2016/04/20160427006/20160427006.html)

Page 8: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 7

1.情報処理安全確保支援士(登録セキスペ)とは参考)経済産業省のニュースリリース -制度開始時-

http://www.meti.go.jp/press/2016/10/20161021002/20161021002-1.pdf

経済産業省ニュースリリース (2016年10月21日)「サイバーセキュリティ分野において初の国家資格となる「情報処理安全確保支援士」制度を開始しました」(http://www.meti.go.jp/press/2016/10/20161021002/20161021002.html)

Page 9: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 8

<制度開始前> <制度開始後>

情報処理安全確保支援士

(登録セキスペ)試験

➣ 情報処理技術者試験の情報セキュリティスペシャリスト試験を独立させ、別制度として情報処理安全確保支援士試験を新設

➣ 両試験の運営は一体的に実施

1.情報処理安全確保支援士(登録セキスペ)とは参考)情報処理技術者試験制度との関係

Page 10: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 9

1.情報処理安全確保支援士(登録セキスペ)とは対象者像、名称、ロゴマークについて

法律名 情報処理安全確保支援士

通称名 登録セキスペ(登録情報セキュリティスペシャリスト)

英語名RISS:アール アイ エス エス(Registered Information Security Specialist)

ロゴマーク

サイバーセキュリティに関する専門的な知識・技能を活用して、

企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、

また、サイバーセキュリティ対策の調査・分析・評価を行い、

その結果に基づき、必要な指導・助言を行う者。

説明

フレーム:盾(シールド)を意味し、様々な脅威から情報組織や社会を守る存在であること、深みのある青は誠実と冷静さを意味する。

地 球:国際社会とデジタル社会を現す。

羽 :ITによる人々の生活と拡がりと飛翔を意味する。

4つの星:技術水準 レベル4という重要性の高い資格として目指す存在となることをイメージ。

名称

対象者像

IPA 情報処理安全確保支援士試験ホームページより https://www.jitec.ipa.go.jp/1_11seido/sc.html

Page 11: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 10

1.情報処理安全確保支援士(登録セキスペ)とは制度の全体像

5

・オンライン講習を年1回受講するとともに、登録後、3年ごとに集合講習を受講。・やむを得ない事由の場合、期限延長措置あり。

※登録簿への登録、登録証の交付は、次のとおり年2回とする。4月1日 【申請締切日:1月31日(当日消印有効)】

10月1日 【申請締切日:7月31日(当日消印有効)】

3.活動・資格を維持する2.登録する1.登録資格を取得する

情報処理安全確保支援士となる資格を有する者

情報処理安全確保支援士

② 資格試験合格と同等以上の能力を有する方

登録申請

① 試験合格者(情報処理安全確保支援士試験)

・情報セキュリティスペシャリスト試験をベースに新設

・全部又は一部免除制度

- 情報処理技術者試験との連携による一部免除

- 国内外の類似資格合格者や大学等でセキュリ

ティを専門とする教育課程の修了者を一部免除

⇒告示(CoE:全部免除、大学・大学院・専

門学校(4年制):午前Ⅱ免除)

2017/9/29施行

・国が指定するポストであって、当該ポストでの

従事年数が一定期間を超える場合を想定。

⇒第一弾告示(警察・自衛隊)

2017/4/7施行

⇒第二弾告示(内閣官房、試験委員)

2017/9/29施行

登録簿への登録

・欠格事由に該当する場合は登録不可。・登録手数料(10,700円)及び登録免許税(9,000円)の納付が必要。

・登録簿記載事項に変更が生じた場合、届出及び変更手続が必要。手数料

(900円)

登録情報の公開

資格名称の独占使用

登録セキスペとしての義務遵守

必須項目(登録番号等)を除き、公開する項目は選択可能

登録セキスペ以外が名称を使用した場合は、30万円以下の罰金刑

(1)信用失墜行為の禁止

(2)秘密保持

(3)講習受講

・義務に違反した場合は、1年以下の懲役又は50万円以下の罰金刑が課される。

登録取消し

一定期間の名称使用停止

義務違反の場合

取消し後、2年間は

再登録不可

又は

人材の質の担保

人材の見える化

人材活用の安心感

Page 12: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 11

1.情報処理安全確保支援士(登録セキスペ)とは登録資格の獲得

1.登録資格を取得する

国家資格情報処理安全確保支援士(登録セキスペ)への

登録資格を有する

○ 支援士試験は、平成29年度春期(4月)から実施

○ 試験時間や出題形式、出題範囲、シラバスなどは、

情報処理技術者試験「情報セキュリティスペシャリスト試験」を踏襲

○ 受験手数料 :5,700円

○ 実施回数など:年2回(4月・10月)

情報処理技術者試験と同日・同一会場

情報処理安全確保支援士試験 概要

試験に合格

Page 13: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 12

1.情報処理安全確保支援士(登録セキスペ)とは登録申請手続き

2.登録する

登録に要する費用

① 登録免許税: 9,000円(収入印紙による納付)

② 登録手数料:10,700円(IPAが指定する銀行口座に振込み)

※収入印紙及び手数料を納付したことを証明する書類を登録申請書に貼付して提出。※別途、振込手数料、必要書類の取得に要する費用、郵送料等が必要。

申請者 IPA

●申請書類の準備

●登録免許税・登録手数料の納付

申請書類の提出(簡易書留による郵送)

受理・審査

●登録簿への登録

●登録証交付

●登録事項などの公開

申 請 書 類

① 登録申請書

② 戸籍謄本(抄本)又は住民票の写し

③ 試験合格証書(コピー)

④ 登記されていないことの証明書

⑤ 身分(身元)証明書

⑥ 欠格事由に該当しない旨の誓約書

⑦ 登録事項等公開届出書

※詳細は別途資料「登録方法について」にてご説明します。

Page 14: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 13

1.情報処理安全確保支援士(登録セキスペ)とは申請受付・審査・登録のサイクル

2.登録する

○ 登録申請は随時受付

○ 登録簿への登録は年2回

登録日: 4月1日 → 申請締切日:1月31日(当日消印有効)

登録日:10月1日 → 申請締切日:7月31日(当日消印有効)

2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10

登録申請④(8.1~1.31)

審査①(~9.30)

審査②(~3.31)

審査③(~9.30)

登録申請①(2.1~7.31)

登録申請③(2.1~7.31)

10/1登録①

登録申請②(8.1~1.31)

4/1登録②

10/1登録③▲

Page 15: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 14

1.情報処理安全確保支援士(登録セキスペ)とは支援士の欠格事由

1.登録資格を取得する

○ 以下のいずれかに該当する者は、支援士となることができない。(情報処理の促進に関する法律第8条)

① 成年被後見人又は被保佐人

② 禁錮以上の刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から起算して2年を経過しない者

③ この法律の規定その他情報処理に関する法律の規定であって政令で定めるもの(※)により、罰金の刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から起算して2年を経過しない者

④ 第19条第1項第2号又は第2項の規定により登録を取り消され、その取消しの日から起算して2年を経過しない者

※ 刑法(第168条の2及び第168条の3)不正アクセス行為の禁止等に関する法律(第11条~13条)

2.登録する

Page 16: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 15

1.情報処理安全確保支援士(登録セキスペ)とは登録証、資格名称・ロゴマーク利用

2.登録する

<登録証のイメージ>

IT人材育成センター国家資格・試験部

XXXX XX

Page 17: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 16

1.情報処理安全確保支援士(登録セキスペ)とは登録情報の公開

3.活動、資格を維持する

○ 支援士の見える化を行い、企業等がその人材を安心して活用できるようにするため、支援士の登録情報などをIPAのウェブサイトで公開

(1)公開情報

(2)任意公開情報 ※ 本人からの届出に基づき公開

① 登録番号② 登録年月日③ 支援士試験の合格年月④ 講習の修了年月日

① 氏名② 生年月③ 試験合格証書番号④ 自宅住所(都道府県のみ)⑤ 勤務先名称⑥ 勤務先住所(都道府県のみ)

2.登録する

Page 18: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 17

1.情報処理安全確保支援士(登録セキスペ)とは登録情報の公開(2)

情報処理安全確保支援士 検索サービス

3.活動、資格を維持する2.登録する

https://riss.ipa.go.jp/

情報処理安全確保支援士の情報を、勤務先名称や都道府県などで検索可能です。

Page 19: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 18

1.情報処理安全確保支援士(登録セキスペ)とは登録セキスペとしての義務遵守

信用失墜行為の禁止・秘密保持

・義務に違反した場合は、1年以下の懲役又は50万円以下の罰金刑が課される。

(信用失墜行為の禁止)

第24条 情報処理安全確保支援士は、情報処理安全確保支援士の信用を傷つけるような行為をしてはならない。

(秘密保持義務)

第25条 情報処理安全確保支援士は、正当な理由がなく、その業務に関して知り得た秘密を漏らし、又は盗用してはならない。情報処理安全確保支援士でなくなった後においても、同様とする。

(罰則)

第51条 第25条の規定に違反した者は、一年以下の懲役又は五十万円以下の罰金に処する。

【情報処理の促進に関する法律】

➣ 個人の法的責任について

• 他の国家資格(技術士、弁護士、税理士、他)も同様の守秘義務や罰則があり、本制度においても同様の法規定がある。『正当な理由がなく、その業務に関して知り得た秘密を漏らし、又は盗用してはならない』等

• 顧客との契約(守秘義務契約含む)に基づく会社業務として、会社のルールを遵守して業務遂行している限りにおいては、刑事罰に問われる事態になることは通常想定されない。

• ただし、会社業務ではない個人としての活動は個人の責任に帰することに注意

3.活動、資格を維持する

Page 20: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 19

1.情報処理安全確保支援士(登録セキスペ)とは講習の受講義務 ①

○ 経済産業省の認可を受けてIPAが実施するサイバーセキュリティに関する講習を、継続的に受講することにより資格を維持。

⇒ 講習未受講の場合は、資格名称の使用停止又は登録取消しとなることがある。

① 知識:攻撃手法及びその技術的対策、関連制度等の概要及び動向② 技能:脆弱性・脅威の分析、情報セキュリティ機能に関する企画・要件定義・開発・運用・保守、

情報セキュリティ管理支援、インシデント対応③ 倫理:登録セキスぺとして遵守すべき倫理

(2)実施形式及び時間

● オンライン講習(1回当たり6時間)と集合講習(1回当たり6時間)を組み合わせて実施。● 集合講習は、ケーススタディによるグループ演習が中心。

(1)科目及び範囲

(3)受講期限及び回数

● オンライン講習は毎年1回、集合講習は3年に1回を基本とする。● ただし、試験合格日から登録日までの期間が3年を超えている者は、登録日から1年以内に、

オンライン講習及び集合講習を受講。● やむを得ない事由(海外勤務、疾病・負傷、災害罹災など)による受講期限延長制度あり。

3.活動、資格を維持する

Page 21: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 20

1.情報処理安全確保支援士(登録セキスペ)とは講習の受講義務 ②

基本パターン試験合格日から登録日までの

期間が3年以内

① オンライン講習:登録日を起点として、年1回受講

② 集合講習 :登録日を起点として、3年目に1回受講

③ 4年目以降は、①と②の3年サイクルの繰り返し

○ 登録日を起点として、1年以内にオンライン講習と集合講習を受講

○ 2年目以降は、基本パターン(上記①~③)のサイクルと同様

(参考)試験合格日から登録日までの期間が3年を超えている場合

3.活動、資格を維持する

Page 22: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 21

1.情報処理安全確保支援士(登録セキスペ)とは資格維持に必要な費用について

1.受験

資格取得【初期費用】 申請・登録、資格維持【維持費用】

受験手数料5,700円

○ 資格取得~資格維持に必要な費用は以下のとおり。本制度においては、更新のための手続きや手数料、年会費等の費用は発生しない。

2.申請・登録

登録免許税: 9,000円登録手数料:10,700円

3.講習受講

講習受講料・オンライン講習 :20,000円・集合講習 :80,000円

1年目 2年目 3年目

オンライン講習

オンライン講習

オンライン講習

集合講習

オンライン講習20,000円

オンライン講習20,000円

オンライン講習:20,000円集合講習 :80,000円

受講基本パターンでの費用イメージ

(以降、3

年サイクルで繰り返し)

3年間で講習受講料の合計140,000円

● 申請・登録費用には、以下を含みます

①資格登録時に送付・登録証・講習受講計画

● 講習受講料の中には、以下を含みます

①当該年次の講習受講修了時・受講修了証・講習受講計画

・登録簿および登録者公開情報の更新

②年2回程度のメール配信受講状況確認、情報共有等

※1~3年目に受講を義務付けられている講習が明記される

※次年度からの3年間に受講を義務付けられている講習が明記される

合格

登録

3.活動、資格を維持する

Page 23: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 22

2.登録セキスペの業務範囲、期待される役割

Page 24: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 23

2.登録セキスペの業務範囲、期待される役割高度情報セキュリティ人材の位置づけ

セキュリティについて専門的なスキル・知識を保有すべき人材(レベル4以上)

セキュリティ・ITベンダ企業

ITのスキルレベル

トップガン人材 CISO

啓発対象

PCやスマホの利用者

トップレベル

ハイレベル

ミドルレベル

ユーザ企業

(セキュリティを専門としない)システムの設計/開発/運用等を行うエンジニア

(事業部門において)ITを活用した事業の企画・推進を実施。平時はセキュリティポリシーの運用を行い、トラブル時には部門長やセキュリティ技術者と連携し対応する人材

自社システムの開発、運用、実装を行うエンジニア

情報セキュリティマネジメント試験

対応するレベルの試験

セキュリティ企業等でユーザ企業のセキュリティ対策のサポート

を行うエンジニア

【ご参考】

高度情報セキュリティ人材 情報処理安全確保支援士試験(通称:登録セキスペ試験)

Page 25: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019

「情報処理の促進に関する法律」 第六条より

情報処理安全確保支援士は、

サイバーセキュリティに関する相談に応じ、

必要な情報の提供及び助言を行うとともに、

必要に応じ

その取組の実施の状況についての調査、分析及び評価を行い、

その結果に基づき指導及び助言を行うこと

その他事業者その他の電子計算機を利用する者の

サイバーセキュリティの確保を支援すること

を業とする。

24

2.登録セキスペの業務範囲、期待される役割法律上の定義

Page 26: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019

情報処理安全確保支援士とは

IT活用に伴うリスクに応じた具体的・効果的なセキュリティ対策を企画し、セキュリティ専門家のみならず、IT・セキュリティを専門としない人にも説明、連携して、安心・安全な環境の確保を支援する人

セキュリティは経営課題と言われるものの

事業リスクと技術を“繋ぐ”人材が不足

• 事業リスクとしてのセキュリティリスクを説明できない

• 正常時、事故発生時ともにセキュリティリスクに応じた対策の要否を説明できない、対策導入の協力を得られない

• 事業成長を法規制等に準拠しつつ、新たな技術を安全に利用できず、競争に乗り遅れる

登録セキスペがステークホルダーとの連携のハブとなり

経営とITが一体となったセキュリティの企画・推進

• 登録セキスペとは技術を安全に事業に活かすという新たな視点を持った専門家

• ユーザ企業、ITベンダー双方に配置することで、事業リスクの中の情報セキュリティリスクを経営層、事業部門にも平易に説明し、必要な支援、協力、連携を取り付ける

• セキュリティ事故発生時も必要な専門家と連携しながら、早期に回復できるよう、経営層、事業部門、情シス部門の橋渡しを推進

ユーザ企業情シス部門

ITベンダユーザ企業事業部門

ユーザ企業経営層

セキュリティは経営課題

技術? 経営? 丸投げされても・・・X

X X

ユーザ企業事業部門

ユーザ企業経営層

セキュリティは経営課題

理解と協力

登録セキスペユーザ企業情シス部門

ホワイトハッカー

ユーザ企業事業部門長

ユーザ企業CISO

システム設計・開発者

ユーザ企業情シス部門長

ITベンダー

ユーザ企業情シス運用者

ルールの遵守 専門性の提供 対策の実装

意思決定 支援 説明と推進 連携

ユーザ企業セキュリティ統括室

25

2.登録セキスペの業務範囲、期待される役割登録セキスペの期待される役割

Page 27: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 26

2.登録セキスペの業務範囲、期待される役割登録セキスペに想定される業務

登録セキスペに想定される業務

2.システム等の設計・開発設計段階までのセキュリティ対策、セキュアコーディングの推進、セキュリティテストの実施・評価 等

3.運用・保守ポリシー実践、脆弱性への対応品質管理、情報収集教育・啓発活動 等

4.緊急対応緊急時に備えた準備、インシデント対応の全体統制、インシデント処理・復旧

1.経営課題への対応セキュリティ対策策定・更改・実施指導組織・技術上のリスク評価上記のための監査・検査・調査・分析

支援

活躍○セキュアなものづくりにおける

技術者としての活躍○ユーザー企業へのコンサル、

研修等への対応

○自社セキュリティ対策の企画・立案

○システムの運用・保守、監視、調査等の実施

ITベンダ企業での期待・効果

○システムの運用・保守、監視、インシデントの調査分析等への対応

(自社人材として又は外部実施者との調整者として)

○自社セキュリティ対策の企画・立案○社内情報セキュリティ教育の実施○CISO、CIO(又は補佐)への

登用

ITユーザ企業・官公庁等での期待・効果 ○国家資格の取得により、最新の情報

セキュリティに関する知識・技能を有することの証し

○登録セキスペとして義務を果たしていることによる、資格保有者個人の信頼度の付加又は向上

○企業内におけるステイタスの獲得

○IPAによる登録状況の見える化(登録セキスペであることの表示・公表)

登録セキスペ保有者のメリット最新の知識・技能を有することの証明、

個人の信頼度向上⇒ 活躍の場の拡大

登録セキスペを活用する企業のメリット提供する機能やサービスの信頼性確保、企業の社会的信用度の向上

⇒ ビジネスチャンスの拡大

Page 28: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 27

2.登録セキスペの業務範囲、期待される役割登録セキスペに想定される業務(2)

登録セキスペの業務例(経営層の右腕として)

・CISOが策定するサイバーセキュリティ対応方針を、実践で活用できる確実なものとするよう支援する。

出典:経済産業省 サイバーセキュリティ経営ガイドライン(http://www.meti.go.jp/policy/netsecurity/mng_guide.html)

・緊急対応時の経営判断に必要となる情報を経営者やCISOに提供。そのために、普段から事業担当部門のリスク把握と対応計画策定を行っておく。

「サイバーセキュリティの確保は積極的な経営への「投資」であり、経営者の重要な責務の一つ」しかし、経営層が必ずしも技術やセキュリティに詳しいわけではなく、セキュリティ対策の現場担当者は経営層とのコミュニケーションに慣れていない

登録セキスペは、経営と現場をつなぐ「経営層の右腕」としての活躍が期待されている経営者が認識する必要のある「3原則」に基づき、経営者がCISO等に指示すべき「重要10項目」の概要

Page 29: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 28

2.登録セキスペの業務範囲、期待される役割参考)ITSS+のセキュリティ領域

▌ ITSS+(プラス):2017年4月7日公開

領域

C

S

I

R

T

C

S

I

R

T

C

S

I

R

T

レベル7

レベル6

レベル5

レベル4

レベル3

レベル2

レベル1

運用・保守 監査緊急対応設計・開発登録セキスペ

想定業務

経営

課題

セキュリティ領域

▌ 企業等でのセキュリティ対策の本格化を踏まえ、専門的なセキュリティ業務の役割の観点により、経営課題への対応から設計・開発、運用・保守、セキュリティ監査における13の専門分野を具体化

▌ これらの専門分野は、登録セキスペが想定する業務を包含しており、登録セキスペにとっては、ITSS+を用いて実務の場で具体的に自らの専門分野を明示することができる

Page 30: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 29

2.登録セキスペの業務範囲、期待される役割参考)ITSS+のセキュリティ領域(2)

●専門分野の説明専門分野 説明

情報リスクストラテジ

自組織または受託先における業務遂行の妨げとなる情報リスクを認識し、その影響を抑制するための、組織体制の整備や各種ルール整備等を含

む情報セキュリティ戦略やポリシーの策定等を推進する。自組織または受託先内の情報セキュリティ対策関連業務全体を俯瞰し、アウトソース

等を含むリソース配分の判断・決定を行う。

情報セキュリティデザイン「セキュリティバイデザイン」の観点から情報システムのセキュリティを担保するためのアーキテクチャやポリシーの設計を行うとともに、こ

れを実現するために必要な組織、ルール、プロセス等の整備・構築を支援する。

セキュア開発管理情報システムや製品に関するリスク対応の観点に基づき、機能安全を含む情報セキュリティの側面から、企画・開発・製造・保守などにわたる

情報セキュリティライフサイクルを統括し、対策の実施に関する責任をもつ。

脆弱性診断 ネットワーク、OS、ミドルウェア、アプリケーションがセキュアプログラミングされているかどうかの検査を行い、診断結果の評価を行う。

情報セキュリティ

アドミニストレーション

組織としての情報セキュリティ戦略やポリシーを具体的な計画や手順に落とし込むとともに、対策の立案や実施(指示・統括)、その見直し等

を通じて、自組織または受託先における情報セキュリティ対策の具体化や実施を統括する。また、利用者に対する情報セキュリティ啓発や教育

の計画を立案・推進する。

情報セキュリティ

アナリシス

情報セキュリティ対策の現状に関するアセスメントを実施し、あるべき姿とのギャップ分析をもとにリスクを評価した上で、自組織または受託

先の事業計画に合わせて導入すべきソリューションを検討する。導入されたソリューションの有効性を確認し、改善計画に反映する。

CSIRTキュレーション情報セキュリティインシデントへの対策検討を目的として、セキュリティイベント、脅威や脆弱性情報、攻撃者のプロファイル、国際情勢、メ

ディア動向等に関する情報を収集し、自組織または受託先に適用すべきかの選定を行う。

CSIRTリエゾン自組織外の関係機関、自組織内の法務、渉外、IT部門、広報、各事業部等との連絡窓口となり、情報セキュリティインシデントに係る情報連携

及び情報発信を行う。必要に応じてIT部門とCSIRTの間での調整の役割を担う。

CSIRTコマンド自組織で起きている情報セキュリティインシデントの全体統制を行うとともに、事象に対する対応における優先順位を決定する。重大なインシ

デントに関してはCISOや経営層との情報連携を行う。また、CISOや経営者が意思決定する際の支援を行う。

インシデントハンドリング

自組織または受託先におけるセキュリティインシデント発生直後の初動対応(被害拡大防止策の実施)や被害からの復旧に関する処理を行う。

セキュリティベンダーに処理を委託している場合には指示を出して連携する。情報セキュリティインシデントへの対応状況を管理し、CSIRTコ

マンドのタスクを担当する者へ報告する。

デジタルフォレンジクス悪意をもつ者による情報システムやネットワークにを対象とした活動の証拠保全を行うとともに、消されたデータを復元したり、痕跡を追跡し

たりするためのシステム的な鑑識、精密検査、解析、報告を行う。

情報セキュリティ

インベスティゲーション

情報セキュリティインシデントを対象として、外部からの犯罪、内部犯罪を捜査する。犯罪行為に関する動機の確認や証拠の確保、次に起こる

事象の推測などを詰めながら論理的に捜査対象の絞り込みを行う。

情報セキュリティ監査情報セキュリティに係るリスクのマネジメントが効果的に実施されるよう、リスクアセスメントに基づく適切な管理策の整備、運用状況につい

て、基準に従って検証又は評価し、もって保証を与えあるいは助言を行う。

Page 31: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 30

2.登録セキスペの業務範囲、期待される役割参考)ITSS+のセキュリティ領域(3)

▎登録セキスペとITSS+(プラス)との関係:ライフサイクル上での整理

■専門分野は、国家資格の”情報処理安全確保支援士(登録セキスペ)”が想定する業務を包含している。■情報処理安全確保支援士の資格保有者にとっては、実務の場で具体的に自らの専門分野を明示することができる。

Page 32: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 31

3.制度活用のメリット

Page 33: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019

3. 制度活用のメリット登録者本人のメリット、所属組織のメリット

登録セキスペ本人 ITベンダー ユーザ企業

スキルアップ

ビジネス

社会的評価

専門家同士の繋がり

関連資格取得の優遇

入札要件の充足 税制優遇

知識の最新化

就業機会の増加

セキュアな社会実現への貢献

経営者と一体となったセキュリティ対策の推進

セキュアに必要なシステム要求の提示

セキュアなシステムの設計・開発・運用

顧客視点のセキュリティ要求事項の理解

登録セキスペになることで得られるメリットは、登録セキスペ本人に留まらず、セキュアな社会実現への貢献にも繋がる。

32

Page 34: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 33

3. 制度活用のメリット税制優遇の要件

◇コネクテッド・インダストリーズ税制について:http://www.meti.go.jp/policy/it_policy/

data-katsuyo/iot-zeisei/iot-zeisei.html

2018年6月6日に施行された「コネクテッド・インダストリーズ税制(IoT税制)」において、税制優遇の条件の一つ「一定のサイバーセキュリティ対策が講じられている」ことを担保する役割を登録セキスペが担う。

②セキュリティ面必要なセキュリティ対策が講じられていることを、セキュリティの専門家(登録セキスペ等)が担保

Page 35: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 34

3. 制度活用のメリット入札要件の充足

内閣官房情報通信技術(IT)総合戦略室と総務省行政管理局の定める「政府情報システムの整備及び管理に関する標準ガイドライン」※において、調達の部分に情報処理安全確保支援士が掲載

→ 情報処理安全確保支援士の配備が入札要件となる案件が、今後増えていくことが予測される

P442.調達仕様書の作成等1) 調達仕様書の記載内容 設計・開発を行う担当者には、情報処理の促進に関する法律(昭和45年5月22日

法律第90号)第15条の規定に基づく情報処理安全確保支援士の登録を受けている者又は同等の資格を有する者を含むこと)。

P91・92別紙6-1 調達する作業内容ごとの人材に関する要求条件(参考) 「設計・開発」「運用」「保守」に、情報処理安全確保支援士が記載

参考)「政府情報システムの整備及び管理に関する標準ガイドライン実務手引書」URL: http://www.soumu.go.jp/main_content/000348295.pdf

※「政府情報システムの整備及び管理に関する標準ガイドライン」とは「デジタル・ガバメント推進標準ガイドライン(世界最先端IT国家創造宣言に基づき、サービス・業務改革並びにこれらに伴う政府情

報システムの整備及び管理について、その手続・手順に関する基本的な方針及び事項並びに政府内の各組織の役割等を定める体系的な政府共通ルール)」の内容解説書

中小企業庁運営の「官公需情報ポータルサイト(http://www.kkj.go.jp/s/)において、「情報処理安全確保支援士」が記載される入札情報は、184件(2018年12月27日時点)

Page 36: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 35

3. 制度活用のメリット参考)関連資格取得の優遇

情報処理安全確保支援士は、情報セキュリティ監査人の業務に携わるための資格取得の優遇制度があります。– 1日のトレーニングで「情報セキュリティ監査人補」の資格取得ができます(通常5日間)– 筆記試験が免除されます

詳細は以下をご覧ください:日本セキュリティ監査協会「高度情報セキュリティ資格特例制度」http://www.jasa.jp/qualification/info_secure_supporter.html

情報セキュリティ監査人補について

• 情報セキュリティ監査制度(経済産業省)に則り情報セキュリティ監査を行う専門家です。

• 情報セキュリティ監査人補は内部監査を行うことができます。

• 情報セキュリティ監査人補が実務経験に基づき、試験に合格した場合には、公認情報セキュリティ監査人として、外部監査を行うことができます。

Page 37: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 36

日本電気株式会社サイバーセキュリティ戦略本部石井俊行本部長

「お客様の要望に合わせた確実なセキュリティ設計がますます重要に。それができる社員となってもらうツールの一つとして、情報処理安全確保支援士制度を活用しています。」

NECでは、「安心」「安全」な情報社会の実現に向けて、セキュリティ面で顧客にご安心いただけるシステムやサービスの提供に注力しています。

最近、システム・サービスの提供において特に感じているのは、「お客様のニーズに合わせたセキュリティ対策」の重要性です。全てのお客様に高度なセキュリティ対策が必要なわけでは

ありません。そのビジネスをしっかり理解し、必要で効果的なセキュリティ対策を設計して、必要性を説き、安全なシステム・サービスを提供する。それがこれからの

セキュリティ技術者に求められることだと考えています。

このような技術者に求められるのは、「①セキュリティ分野の体系的な知識・スキル」と「②レベルごとのセキュリティ対策について、効果とリスクを経営層に説明できるスキル」です。①を習得する基盤として、情報処理安全確保支援士試験は最適と感じており、NECグループでは、数百人規模で情報処理安全確保支援士を登録させています。弊社の情報処理安全確保支援士には、今後は②の役割を担っていって欲しいです。

今後、セキュリティ対策要員を自社で抱えられないお客様に対して、セキュリティ面のアドバイスや、お客様の取引先への説明を代わって行うようなセキュリティ技術者が必要になってくると感じています。その際にも、国家資格である「情報処理安全確保支援士」を持っていることで、お客様に安心感や信頼感を持っていただけるのではないでしょうか。

3. 制度活用のメリット参考)活用企業インタビュー(日本電気株式会社様)

https://www.ipa.go.jp/siensi/data/interview.html#section2

Page 38: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 37

NRIセキュアテクノロジーズ株式会社事業推進部 与儀大輔担当部長(左)人事部 西谷昌紀人事課長(右)

「情報処理安全確保支援士は当たり前の資格と考えています。」

NRIセキュアテクノロジーズは、NRIグループにおける情報セキュリティ専門の中核企業で、お客様の情報セキュリティにおける課題解決をワンストップで支援するプロフェッショナル集団です。サイバー攻撃のリスクが増え続けるなか、我々は倫理観と専門性を兼ね備えた専門家の育成こそが重要と考え、人材育成に積極的に投資しています。

例として、セキュリティ分野のスキル習得目標として、CISSPやSANSのGIACなど、グローバルな高度セキュリティ資格の取得を推進しています。一方、日

本の国家資格である情報処理安全確保支援士についても「セキュリティ専門家にとって当たり前の資格」として、登録・講習費用は会社が負担してい

ます。結果、多くの社員が登録しており、これは、セキュリティサービスを提供する会社としての技術力の証明にもなると考えております。

現在、様々な企業において、情報システム部門(コーポレートIT)だけでなく事業部門が、課題解決やビジネス拡大のために次々と新しいITサービスを探し活用する「ビジネスIT」が広がりつつあります。そこでは、情報処理安全確保

支援士をはじめ、スピード感をもってセキュリティ対策を考えられる人材が数多く必要です。当社でも、さらに高度な専門性をもつ人材を育て、

社会の安全に寄与していきたいと考えています。

3. 制度活用のメリット参考)活用企業インタビュー(NRIセキュアテクノロジーズ株式会社様)

https://www.ipa.go.jp/siensi/data/interview.html#section3

Page 39: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 38

3. 制度活用のメリット参考)活用企業インタビュー(カブドットコム証券株式会社様)

カブドットコム証券株式会社常務執行役(CIO)阿部 吉伸様システムリスク管理室 伊藤 公樹様システムリスク管理室 中村 健太様(全員が情報処理安全確保支援士)

「情報処理安全確保支援士制度は、高度なリスクマネジメント実現の重要ポイントである、”業務執行部門とリスク管理部門の独立したディフェンスライン体制”を支えるツールの1つです。」

カブドットコム証券では「リスク管理追求型の次世代オンライン証券システムを創る」をコンセプトに、セ

キュリティを最重要視して業務を遂行しています。そのため、業務執行部門とリスク管理部門が独立したディフェンスライン体制をとり、業務遂行の中で、常にお客様の資産を脅かすリスクを可視化し、

管理しています。我々はITを前提とした金融ビジネスを展開しているため、情報セキュリティに関するリスクは最大のリスクと考え、経営陣も一体となってサイバーセキュリティ対策に取り組んでいます。

そのような体制下で働く人材に求められることは、新たな脆弱性情報の発生や新たなテクノロジーの導入など

の変化があった時に「当社のビジネスのどこに影響するのか?」と、ビジネスと技術の両方の知識をもって影響を測る力です。そのために、普段から経営層との会話の機会をもち、経営層の視点に触れてお

くことや、各部門間で役割分担を明確にしながら信頼できる関係を構築しておくことが重要と考えています。

そこで情報セキュリティにおける社員の共通言語や、共通の認識・理解・レベルを作るために、情報処理技術者試験・情報処理安全確保支援士(登録セキスペ)制度を活用しています。具体的に

は、全ての情報システム部門、リスク管理部門には登録セキスペを配置し、CSIRTメンバーは登録セキスペであることを基準として選定しています。その結果、金融関連企業の中ではトップレベルの登録セキスペの登録人数となっており、これは経営陣も一体となってサイバーセキュリティ対策に取り組んでいることを示すデータの1つです。

これからは、更に高度なサイバーセキュリティ対策を実現するために、見えないリスクも可視化して管理していく活動が求められています。それには、経営目標達成とのギャップを分析し「いつまでに何をする」を約束させる経営的な視点やスキルが必要と考えています。当社の登録セキスペにはこういった視点・スキルを身につけさせていきたいです。

社員の登録セキスペの登録に積極的なユーザ企業はまだ少ないようですが、それはビジネス遂行におけるITの位置づけが、まだ「文房具」という意識にとどまっているからではないでしょうか。当社ではITはビジネス遂行に欠かせないものであり、サイバー攻撃が大きなビジネスリスクと認識し情報処理安全確保支援士を登録

しています。ユーザ企業においてもビジネスに対する危機意識が高まれば、ITガバナンスに真剣に取り組まざるを得なくなるため、情報処理安全確保支援士のような人材はますます必要となってくると思います。 https://www.ipa.go.jp/siensi/data/interview.html#section1

Page 40: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 39

4.登録セキスペ登録状況について

Page 41: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 40

4.登録セキスペ登録状況について

登録者数(これまでの登録状況)

情報処理安全確保支援士の登録人数は17,360名

となりました(2018年10月1日時点)

https://www.ipa.go.jp/about/press/20181001.html

2017年4月登録 2017年10月登録 2018年4月登録 2018年10月登録

新規登録者数

4,172 2,822 2,206 8,214

2017年4月1日時点 2017年10月1日時点 2018年4月1日時点 2018年10月1日時点

ご参考)平成30年度秋期情報処理安全確保支援士試験合格者:2,818名

Page 42: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 41

4.登録セキスペ登録状況について登録者内訳(1) 性別・勤務先業種

勤務先の業種 人数 割合

情報処理・提供サービス業 6,269 50.80%

ソフトウェア業 2,186 17.71%

製造業 840 6.81%

運輸・通信業 751 6.09%

サービス業 422 3.42%

コンピュータ及び周辺機器製造又は販売業 388 3.14%

官公庁、公益団体 340 2.76%

金融・保険業、不動産業 277 2.24%

その他(学生など) 252 2.04%

建設業 172 1.39%

教育(学校・研究機関) 159 1.29%

卸売・小売業、飲食店 123 1.00%

電気・ガス・熱供給・水道業 76 0.62%

医療・福祉業 60 0.49%

調査業、広告業 20 0.16%

農業、林業、漁業、鉱業 3 0.02%プレスリリースURL:https://www.ipa.go.jp/about/press/20181001.html

17,360名(2018年10月1日時点)

Page 43: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 42

4.登録セキスペ登録状況について登録者内訳(2) 年代・地域別

登録日 平均年齢 10代 20代 30代 40代 50代 60代 70代

2018年10月1日 41.0歳4 1,322 6,258 7,180 2,380 213 3

0.0% 7.6% 36.0% 41.4% 13.7% 1.2% 0.0%

2018年4月1日 39.9歳2 264 813 813 292 20 2

0.1% 12.0% 36.9% 36.9% 13.2% 0.9% 0.1%

2017年10月1日 39.6歳3 293 1,135 1,056 320 15

0.1% 10.4% 40.2% 37.4% 11.3% 0.5%

2017年4月1日 40.5歳4 320 1,642 1,642 507 57

0.1% 7.7% 39.3% 39.3% 12.2% 1.4%

合計 13 2,199 9,848 10,691 3,499 305 5

登録日 北海道 東北 関東中部・東海

近畿 中国 四国九州・沖縄

海外

2018年10月1日228 425 12,215 1,525 1,899 351 172 545

1.3% 2.4% 70.4% 8.8% 10.9% 2.0% 1.0% 3.1%

2018年4月1日23 31 1,607 188 223 42 23 69

1.0% 1.4% 72.8% 8.5% 10.1% 1.9% 1.0% 3.1%

2017年10月1日44 89 2,015 248 281 40 31 74

1.6% 3.2% 71.4% 8.8% 10.0% 1.4% 1.1% 2.6%

2017年4月1日66 134 2,928 358 424 85 26 150 1

1.6% 3.2% 70.2% 8.6% 10.1% 2.0% 0.6% 3.6% 0.1%

合計 361 679 18,765 2,319 2,827 518 252 838 1

北海道

1%

東北

2%

関東

71%

中部・東海

9%

近畿

11%

中国

2%

四国

1%

九州・沖縄

3%

海外

0%

地域

10代

0%

20代

9%

30代

37%

40代

40%

50代

13%

60代

1%

70代

0%

年代

単位:人

単位:人

Page 44: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 43(2018年10月3日現在)

都道府県 人数 都道府県 人数

北海道 北海道 228

近畿

京都府 198

大阪府 980

東北

青森県 41

岩手県 74 滋賀県 75

宮城県 206 兵庫県 499

秋田県 33 奈良県 119

山形県 32 和歌山県 28

福島県 39

中国

鳥取県 26

関東

東京都 5,670 島根県 35

茨城県 271 岡山県 77

栃木県 66 広島県 177

群馬県 96 山口県 36

埼玉県 1,351

四国

徳島県 28

千葉県 1,478 香川県 70

神奈川県 3,283 愛媛県 56

中部東海

新潟県 78 高知県 18

富山県 93

九州沖縄

福岡県 309

石川県 122 佐賀県 25

福井県 46 長崎県 29

山梨県 27 大分県 35

長野県 134 熊本県 54

岐阜県 120 宮崎県 19

静岡県 171 鹿児島県 14

愛知県 675 沖縄県 60

合計 17,360三重県 59

0 1000 2000 3000 4000 5000 6000

北海道

青森県

岩手県

宮城県

秋田県

山形県

福島県

東京都

茨城県

栃木県

群馬県

埼玉県

千葉県

神奈川県

新潟県

富山県

石川県

福井県

山梨県

長野県

岐阜県

静岡県

愛知県

三重県

京都府

大阪府

滋賀県

兵庫県

奈良県

和歌山県

鳥取県

島根県

岡山県

広島県

山口県

徳島県

香川県

愛媛県

高知県

福岡県

佐賀県

長崎県

大分県

熊本県

宮崎県

鹿児島県

沖縄県

東京都

神奈川県

千葉県

埼玉県

愛知県

大阪府

(単位:人)

4.登録セキスペ登録状況について登録者内訳(3) 都道府県別

Page 45: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 44

4.登録セキスペ登録状況について登録者内訳(4) 担当業務・登録のきっかけ

担当セキュリティ関連業務 (N=12,345)

登録のきっかけ (N=12,345)

登録者の現状調査票※に基づく内訳(対象:2018年10月1日登録までの12,345名)※現状調査票登録申請書に添付しご提出いただくもの。2017年6月21日より運用を開始。

6,831

6,219

3,252

1,829

1,226

986

0 2,000 4,000 6,000 8,000

設計・開発(55%)

運用・保守(50%)

インシデント対応(26%)

セキュリティ関連業務に従事していない(15%)

セキュリティ監査(10%)

選択肢以外のセキュリティ関連業務(8%)

8,429

4,408

3,263

129

0 2,000 4,000 6,000 8,000 10,000

自己研鑚(68%)

会社または上司の指示(36%)

ビジネスチャンス獲得のため(26%)

その他(1%)

Page 46: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 45

5.登録セキスぺに義務付けられた講習について

Page 47: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 46

5.登録セキスぺに義務付けられた講習について講習の基本方針

※インストラクショナルデザイン(ID)とは、ADDIE(分析→設計→開発→実施→評価)と呼ばれるインストラクショナルデザインのプロセスに基づき、効果的・効率的に教育を行う科学的な手法。

○品質が高く、効果的かつ受講しやすい講習を提供

■効果を意識したカリキュラム設計→インストラクショナルデザインに基づく設計→実践にマッチしたケーススタディ中心による集合講習

→オンライン講習と集合講習の組合せによる反転学習

■教材・最新動向を反映し、かつ実践に即した内容→毎年、内容見直しを実施

・支援士として遵守すべき倫理の実施

■理解度の確認・確認テスト実施による理解度チェック

■登録セキスペ個人へのきめ細かい案内・「講習受講計画」の提示 ・メールによる受講フォロー

■居住地によらない受講機会の提供

・オンライン講習の提供

・主要8都市での集合講習開催よる受講機会の確保

■障がい者受講時の配慮

・「障害を理由とする差別の解消の推進に関する法律」に基づく合理的配慮の提供

カリキュラム教材

受講環境集合講習

講師

国家資格としての質の保証

■認定講師による講習実施(講師認定基準に基く講師認定)・セキュリティ分野の第一人者・ファシリテーションの実績豊富

Page 48: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 47

5.登録セキスぺに義務付けられた講習について「オンライン講習」と「集合講習」

◆集合講習

受講頻度 :3年に1回

受講日数・時間 :1日間(9:45~17:30)

開催場所 :全国主要8都市他(東京、大阪、名古屋、札幌、仙台、広島、高松、福岡、他)

開催時期 :1年間の受講期間中、随時開催

受講人数 :1回あたり 10~30名程度 (5~6名/グループ×5グループまで)

講師構成 :メイン講師、サブ講師の2名体制(他に、事務局立ち合い2~3名)

修了条件 :理解度確認テストを受験すること ・ 集合講習に100%参加すること ・ グループ演習に積極的に参加すること

受講費用 :80,000円(非課税) ※資格維持の費用を含む

◆オンライン講習(オンライン講習A、オンライン講習B、オンライン講習C)

受講頻度 :1年に1回

標準学習時間 :6時間

開催時期 :1年間の受講期間の間、受講したいタイミングで開始できます

学習期間 :申込後3ヶ月間(ただし、最大1年間内容の参照が可能です)

受講費用 :20,000円(非課税)※資格維持の費用を含む

受講基本パターンの例 A B C A B C A

(オンライン講習教材イメージ)

(オンライン講習Cの例) 知識(2時間):全7章 約110ページ技能(2時間):全9章 約110ページ倫理(2時間):全6章 約 60ページ

※標準学習時間1時間ごとに理解度を確認するテストがあります。(全問正解で合格となります。)

Page 49: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 48

5.登録セキスぺに義務付けられた講習について年次ごとの講習内容

※オンラインと集合を組み合わせた反転学習

◆コース名:オンライン講習C

Ⅰ.知識 2h • 情報セキュリティの最新動向「情報セキュリティ10大脅威」

• 情報セキュリティ関連の制度や規格等の動向

Ⅱ.技能 2h • インシデントハンドリング• セキュア設計、セキュア開発の概説

Ⅲ.倫理 2h • 倫理・コンプライアンスの概念• 「RFC1087 倫理とインターネット」及び

「情報処理学会 倫理綱領」概説理解度確認テスト

◆コース名:オンライン講習B

Ⅰ.知識 1h • 情報セキュリティの最新動向「情報セキュリティ10大脅威」

Ⅱ.技能 4h • 「セキュリティ設定共通化手順SCAP」概説• 脆弱性情報の読み方、扱い方• ユーザー教育と内部監査

Ⅲ.倫理 1h • 法令遵守・契約履行(個人情報保護法、不正競争防止法と営業秘密、知的財産権、SLA、不正アクセス禁止法等)

理解度確認テスト

◆コース名:オンライン講習A

Ⅰ.知識 1h • 情報セキュリティの最新動向「情報セキュリティ10大脅威」

Ⅱ.技能 3h • 情報セキュリティ早期警戒パートナーシップガイドライン• 「Japan Vulnerability Notes(JVN)」概説

Ⅲ.倫理 2h • 情報セキュリティ従事者としての倫理的責任と義務(守秘義務、誠実義務、注意義務等)

理解度確認テスト

◆コース名:集合講習

Ⅰ.知識 2h • 事前学習の理解度確認テスト• グループ演習のための知識の確認とワーク

Ⅱ.技能 3h • ケーススタディ①インシデント対応のグループ演習• ケーススタディ②予防策の検討のグループ演習

Ⅲ.倫理 1h • ケーススタディ③倫理的な判断・行動に関するグループ演習

基礎知識の復習と実践的な能力の習得・維持・向上

最新知識のインプット 技能の強化

登録セキスペの 知識・技能の維持・向上 及び 倫理観の醸成 のために毎年1回のオンライン講習と3年に1回の集合講習の受講が義務付けられています

※登録資格の取得から3年以上経過している方は、登録1年目に「3年目」の内容を受講します

Page 50: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 49

5.登録セキスぺに義務付けられた講習について集合講習について

目的 ➢情報セキュリティ対策を担う実践的な能力の習得・維持・向上をはかる

➢オンライン講習で学習した知識が実践として使えることを確認する

シナリオに沿った演習に取り組むことで、情報セキュリティインシデント対応の検知・分析から

再発防止までの一連の流れの理解を深め、実業務への応用のための気づきを得る

情報セキュリティインシデントの原因に対し、

情報セキュリティ技術の実践的な知識を使い、現実的な対策を検討する

情報セキュリティ関連業務に従事する者として、

倫理・コンプライアンス的な責任を理解し、判断及び行動ができるようにする

時間 講習内容

9:45~12:00(途中休憩10分)

オリエンテーションなど

事前チェック

理解度確認テスト

講義(インシデント対応手法、情報セキュリティにおける倫理)

トピックス検討ワーク

12:00~13:00 昼食休憩

13:00~17:00(ケーススタディ毎に

休憩10分)

ケーススタディ概要

ケーススタディ① インシデント対応

ケーススタディ② 予防策の検討

ケーススタディ③ 倫理的な判断・行動に関するケース

17:00~17:30まとめ・質疑応答

事後チェック・アンケート等

タイムスケジュール

Page 51: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 50

5.登録セキスぺに義務付けられた講習について集合講習講師

講師一覧(現在34名)

No 講師名(敬称略) 会社名

1 上野 宣 株式会社トライコーダ

2 江島 将和 独立行政法人情報処理推進機構

3 太田 利次 ジーブレイン株式会社

4 大財 健治 ジーブレイン株式会社

5 大竹 章裕 株式会社ラック

6 加賀谷 伸一郎 独立行政法人情報処理推進機構

7 小柴 宏記 ジーブレイン株式会社

8 小林 浩史 NECマネジメントパートナー株式会社

9 嶋倉 文裕 富士通関西中部ネットテック株式会社

10 白井 雄一郎 株式会社ラック

11 富田 一成 株式会社ラック

12 濱本 常義 株式会社エネルギア・コミュニケーションズ

13 平山 敏弘 アクセンチュア株式会社

14 淵上 真一 日本電気 株式会社

15 山田 英史 株式会社ディアイティ

16 樂満 俊幸 NECマネジメントパートナー株式会社

集合講習は、有識者による委員会にて認定された講師が担当

セキュリティ分野の第一線で活躍し、ファシリテーターとしても高い実績を持つ専門家

17 阿部 英嗣 株式会社大塚商会

18 永田 博司 NECフィールディング株式会社

19 星 智恵 ネットワンシステムズ株式会社

20 笠井 靖記

21 千葉 寛之 株式会社 日立製作所

22 木下 稔雅 学校法人電子学園 日本電子専門学校

23 久野 玲 NECソリューションイノベータ株式会社

24 内藤 剛 NECフィールディング株式会社

25 有馬 一也 株式会社インフォテック・サーブ

26 藤井 仁志 日本アイ・ビー・エム株式会社

27 奥田 剛 大阪大学

28 小原 哲也 トレンドマイクロ株式会社

29 横内 豊樹 株式会社エネルギア・コミュニケーションズ

30 阿部 敦子 NECソリューションイノベータ株式会社

31 佐藤 雅一 学校法人静岡理工科大学 静岡産業技術専門学校

32 星 代介 株式会社ラック

33 齋藤 聖悟 Ramupirika

34 橘 喜胤 丸紅OKIネットソリューションズ株式会社

IPAのホームページにて認定講師を紹介

https://www.ipa.go.jp/siensi/lecture/inst.html

Page 52: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 51

5.登録セキスぺに義務付けられた講習について集合講習開催実績

講習受講修了者数(2017年4月~2018年9月)

開催地域 東京(横浜含む) 大阪 名古屋 札幌 仙台 広島 高松 福岡 沖縄 総計

回数(回) 142 22 13 4 4 3 2 5 1 196

受講者数(人) 2,875 361 182 48 77 48 15 74 8 3,688

受講人数

オンライン講習(A,C)

8,739

集合講習 3,688

集合講習開催実績(2017年4月~2018年9月)

※開催曜日:平日および土曜日

<集合講習:グループ演習の様子>

Page 53: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 52

5.登録セキスぺに義務付けられた講習について集合講習の様子

詳細は配布の「IPA News Vol34 2018 5月号」より抜粋の特集チラシ をご覧くださいIPA ウェブページ: https://www.ipa.go.jp/about/ipa_news/index.html

Page 54: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 53

5.登録セキスぺに義務付けられた講習について身体障害者等の受講への合理的配慮について

IPAにおける障がい者対応の基本方針

障害者差別解消法(※)の主旨に則り合理的配慮を

行うことを基本方針として対応する。

(出典)内閣府リーフレット「障害者差別解消法が制定されました」よりhttp://www8.cao.go.jp/shougai/suishin/pdf/leaf_seitei.pdf

(※) 障害を理由とする差別の解消の推進に関する法律

国連の「障害者の権利に関する条約」の締結に向けた国内法制度の整備の一環として、全ての国民が、障害の有無によって分け隔てられることなく、相互に人格と個性を尊重し合いながら共生する社会の実現に向け、障害を理由とする差別の解消を推進することを目的として、平成25年6月、「障害を理由とする差別の解消の推進に関する法律」(いわゆる「障害者差別解消法」)が制定され、平成28年4月1日から施行されました。

(出典)内閣府HPhttp://www8.cao.go.jp/shougai/suishin/sabekai.html

視覚障がい者 オンライン講習にて読み上げソフトへの対応

聴覚障がい者 集合講習テキストの事前提供および当日の要約筆記者配置 等

肢体不自由者 バリアフリー設備のある会場での集合講習開催

※講習受講時の特別措置を必要とする場合は、登録申請書類の「現状調査票」にご記入ください。また、具体的な調整を行うため、必ず、講習の申し込み前に講習運営事業者へお申し出ください。

Page 55: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 54

関連URL

試験ワーキンググループ中間取りまとめ ~情報処理安全確保支援士制度~ 平成28年4月

産業構造審議会商務流通情報分科会 情報経済小委員会 試験ワーキンググループhttp://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/shiken_wg/pdf/report_01_01_00.pdf

サイバーセキュリティ分野において初の国家資格となる「情報処理安全確保支援士」制度を開始しましたhttp://www.meti.go.jp/press/2016/10/20161021002/20161021002.html

登録制の新国家資格“情報処理安全確保支援士”の登録可能対象者、申請手続き、資格維持の方法などを公表https://www.ipa.go.jp/about/press/20161024.html

セキュリティ人材の確保に関する研究会 中間報告 平成27年8月http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/pdf/006_s01_00.pdf

プレスリリース日:平成28年10月21日

プレスリリース日:平成28年10月24日

Page 56: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 55

まとめ

個人としても、組織としても、

ぜひ情報処理安全確保支援士制度をご活用ください

登録セキスペ サイバーセキュリティ分野初の登録制の国家資格として2016年10月に創設されました

サイバーセキュリティに関する専門的な知識・技能を活用して

企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、

また、サイバーセキュリティ対策の調査・分析・評価を行い、

その結果に基づき必要な指導・助言を行うことを想定しています。

17,000人を超える情報処理安全確保支援士が誕生しています。

制度を活用される企業・組織も増えつつあります。

★次回の登録日は2019年4月1日(月)です。

→ 2019年1月31日(木)消印有効

Page 57: 国家資格「情報処理安全確保支援士」制度について(Registered Information Security Specialist) ロゴマーク サイバーセキュリティに関する専門的な知識・技能を活用して、

All Rights Reserved, Copyright © IPA 2019 56

■情報処理安全確保支援士に関する詳細や手続きについて、IPAのホームページでご案内しています。

http://www.ipa.go.jp/siensi/index.html

ご清聴ありがとうございました。

■制度に関するお問い合わせは、以下にお願いいたします。

IPA IT人材育成センター 国家資格・試験部

登録・講習グループ

E-mail: [email protected]