会場の受験者層は意外でした
――ところで、試験会場に行き、試験を受けてみて感じたことは何かありますか?
橋本:会場を見回したら、ほぼ男性だったっていう。私が試験を受けた教室には70~80人いたのですが、女性って私ともう1人しかおらず、「えっ、こんなに女性がいないんだ」と。あと、年齢層が意外に上だなって感じました。
それに、この試験を受ける層はもっとエンジニアっぽくない人が多いんじゃないかなと思ってたんですが、会場で受けている人はエンジニアっぽい人しかいませんでした。
佐々木:そうですよね、みんな中堅のおじさんという感じ。女性もいましたが、どう見ても事務職じゃなくてプログラマでした。
橋本:試験問題については、午後試験を受けた時に「あれ? 結構解答できるんだけど……?」と心配になりました。もともとこの難易度の試験なのか、それとも、初回だからあえて難易度を下げたのかどっちなんだろうと。
その前の午前問題ではかなり時間を残して解き終えてしまい、かえって不安になって何度も見直していたんです。それがあったので、「設問文がとても長い」と感じた午後試験には、ひねった問題が結構入っているのかなって、疑って読んでいました。こんな簡単に解答が出たけれど、ほんとにこれで正しいの? 実はこっちの解答ではないか? と読み返したりとかして。ある意味、設問文の長さで面食らったっていう感じでした。
佐々木:そういう問題だったね、全部ね。
――会場にいる受験者のようすや、問題の感触としてそう感じた方が多いとすれば、合格率が88%に達したのもうなずけます。
一般の情報リテラシーとして考えていいと思う
――現場レベルでの情報セキュリティマネジメント試験の価値について、どう思いますか?
佐々木:弊社では、セキュリティ管理者を各現場に必ず1人は置くことになっています。顧客企業に常駐してソフトウェアを開発する場合も同様です。納品前の開発中のソフトウェアは当社の資産ですから、情報資産として守らなきゃいけない。そのため、常駐している開発者が情報セキュリティ責任者の役割も負います。
そうした開発者向けに、情報セキュリティマネジメント試験はちょうどいいと思ってるんですよね。会社っていうのはどういうリスクを負っていて、どういう責任があるんだということは、開発者であっても理解したほうがいい。試験問題の質がどうかは別として、狙っているところとして、情報セキュリティマネジメント試験はいいんじゃないかと思うんですよね。
また、マイナンバーが施行されたこともあり、社員の個人情報などを扱っている総務部などの人もやっぱり受けるべきだと思います。会社や何らかの組織に務めている人は情報セキュリティマネジメント試験を受けたほうがいい。極端なことをいうと、これからは、この試験で問われるレベルのことは誰もが知っていていいのではないかと。
――一般的な情報リテラシーとしても、情報セキュリティマネジメント試験レベルの知識はあったほうがいいだろうと。
橋本:ただし、午前試験は営業部や非IT系の人が受けるにはいい問題だと思う一方、午後試験は内容が情報セキュリティ管理の実務に即しているので、実務に携わらない人には若干ハードルが高いかなと思ったのは事実です。「こういうことやってるよ」って知るくらいならいいんですが、今回の試験に関しては「こういう情報セキュリティ上の問題が発生しました。業務も遂行している者としてどうしますか」っていう質問でした。いわゆる営業の方とかが答えるには難しいんじゃないかなあ。ただ、本当に営業と情報セキュリティを兼務するという人には、ちょうどいいかもしれません。
――普段から情報セキュリティに関する活動を続けている人くらいでないと、合格は難しいかもしれないですね。
橋本:私も今は、いわゆるIT開発等というIT専門ではない会社に勤めていて、全員がここまでのスキルを得るのは現実的に難しいんじゃないかと思っています。ただ、先ほど佐々木さんがおっしゃったように、情報セキュリティマネジメント試験に合格できるほどITリテラシーが高ければ、情報漏えいといった問題はかなり減るんじゃないでしょうか。
――リテラシーが全体的に高まることはよいのですが、午後試験に関しては難易度が高すぎると、エンジニア以外の人が情報セキュリティ自体を他人事だと思ってしまうかもしれませんね。
佐々木:これからの会社って、おそらくITも業務もない気がするんですよ、情報セキュリティへの取り組みが甘いと、お客さんから信用を得られなくなってしまうと思うんです。そういう意味では、確かに午後試験の問題は実務の経験がないと厳しいかなとは思ったんですけども、そういうところに向かっていくのはいいんじゃないでしょうか。
ところで、試験のレベルに比して「情報セキュリティマネジメント」っていう名前は立派すぎやしませんか? 情報セキュリティのマネージャとしてのスキルを認定する試験ではないわけですから。「情報セキュリティパスポート」や「情報セキュリティアンバサダー」くらいがバランスの取れた名前かもしれません(笑)
――最後に、合格されたお二人から、情報セキュリティマネジメント試験に対して何かリクエストはありますか?
佐々木:情報セキュリティマネジメント試験のことを、もっと広くPRしたほうがいいんじゃないかな。情報セキュリティスペシャリスト試験とどう違うのかも、エンジニア以外の人には分からないですよね。
また、何らかの業務に携わる人にはみんな受験してほしいというか、この試験のレベルのリテラシーは持ってほしいなと思います。そういう点も含めて、もっとPR活動をIPAさんにはお願いしたい。明らかに不足しています。
橋本:私、情報セキュリティマネジメント試験の合格証書が届いたとき、経済産業大臣の名前と印が押されているのを見て、国家試験に合格したんだよって周りに自慢したくなったんです。「見てくださいこれ、こんなの来ちゃったー」って。でも、実際には「何それ?」って言われましたから。国家試験なのにと心の中で思ったっていうのが実情です。
――そこはIPAに頑張っていただきたいですね。本日は貴重なお話をありがとうございました。
