見えてきた情報処理安全確保支援士の制度概要！

先日の法改正（4/19ブログ参照）に基づいて、経済産業省より情報処理安全確保支援士（以下、支援士）の制度検討状況の中間取りまとめが公表されました。
［情報処理安全確保支援士制度の具体的設計等の検討結果］
セキュリティリスクや高度化するサイバー攻撃への対策を確かなものとするために急務となっている人材の課題のひとつである、サイバーセキュリティに従事する者の「実践的な能力を適時適切に評価できる試験制度の充実」を図ることを目的に制度設計されたものです。

今回発表された制度検討の取りまとめには、支援士となるための資格を有し、登録を行い、資格を維持するために必要なことが記載されています。
支援士となって活躍したい方、企業等で支援士を活用して情報セキュリティ対策をさらによくしたい方、それぞれどのような制度なのかをお知りになりたいと思いますので、3段階のフェーズに絞って解説してみました。

フェーズ1：支援士となる資格を取得する

まずは第1段階としての支援士となる資格を有する者になるまでの段階です。
このたびの支援士創設に当たり、現行の情報セキュリティスペシャリスト試験を基にした情報処理安全確保支援士試験が新設されます。支援士登録希望者は、この試験に合格する必要があるのです。
しかし、これまでに同等以上の資格を取得あるいは知識を保有していると認められる者については、支援士制度の開始から一定の期間（2年程度）を経過措置として支援士資格試験を免除するとされています。
例えば情報処理技術者試験で実施した情報セキュリティスペシャリスト試験等の合格者です。これらの者は、合格から一定以上の期間（例えば3年間）を経過している場合は登録後、速やかな講習受講が義務付けられているものの、最新の知識・技能の習得を図ることで支援士として登録され活動することができるようになります。
他にも、詳細な条件提示はこれからですが、既に高度な情報セキュリティ関連の実務に従事している者や、その他の情報セキュリティに関する試験・資格に合格した者、大学等の教育機関で情報セキュリティに関する課程を修了した者なども資格試験の全部あるいは一部を免除することとされています。

フェーズ2：支援士として登録を行う

続いて資格を有する者が登録を行うまでの段階です。
IPAでは支援士の登録簿を整備して、支援士の活用を促進と情報セキュリティ対策の強化を図るために、ホームページにおける登録事項の公開が行われます。
企業等が当該の支援士が資格を有しているかどうかを確認する際に必要となる、登録番号や登録年月日、資格試験合格年月などについて、公開を必須とするほか、任意で勤務先名称、得意分野・保有スキルなどを登録・公開できます。任意ではありますが、支援士として企業等から指名してもらうためにはこれらの自己PRは有効な情報となります。

フェーズ3：支援士となった者が資格を維持する

最後に情報処理安全確保支援士となった者が資格を維持する段階です。
情報セキュリティに関する技術は日進月歩で変化しているため、支援士には継続的な知識・技能の維持等を図るための講習の受講が義務化されます。登録してから3年間で決められた講習の受講が必要となりますが、この義務に違反した者、つまりは決められた講習を受けていないものは、登録の取消しまたは名称の使用停止となり、支援士としての活動はできなくなります。
実際に受講すべき講習としては、毎年6時間相当のオンライン講習（トータル18時間相当）、3年目に6時間の集合研修を受講する義務があります。
細かな受講項目や受講方法などは、これから詳細が検討され開示されていくと思いますので、改めてご紹介します。

その他、支援士の役割の明確化やキャリアパス、コミュニティの構築による相互研鑽といった課題はまだまだありますが、新たに支援士制度を作っただけではなく、社会全体でどのように活用し、企業等における情報セキュリティ対策を進めていくべきか、検討を深め行動に移していくことが肝要です。そして、官公庁や大企業だけではなく、中小企業も含めてのあらゆるステークホルダーが参加して、自発的に積極的な取り組みを続け、支援士をキーパーソンにして相互に働きかけていくことが重要となるでしょう。