個人的に情報セキュリティマネジメント試験に合格するメリットとは
――情報セキュリティマネジメント試験を通じて、企業が情報セキュリティ人材の育成を図る必要性や背景は分かりました。一方で、会社からの指示ではなく、個人として試験に合格するメリットには何がありますか?
谷澤氏:情報セキュリティマネジメント試験は何かのためというよりも、必要性をしっかり感じて、ITリテラシーの1つと考えて受験していただきたいと思っています。ただ、資格というのは、自分のモチベーションアップにつながるものであることも理解しています。その点でいえば、情報セキュリティは政府でいま一番課題になっているものですし、国の政策の1つとして立ち上がったこの試験に合格するということは、自分は国の政策と同じ動き、方向へ進んでいける人材だということをアピールできるし、周りもそういう人材を求めてると思うんですね。
――学生の就職で有利に働いたりしませんか? 「ITパスポート試験合格」をアピールする学生は一定数いると思いますが、情報セキュリティマネジメント試験は新規試験である上、企業で育成が後回しになっている情報セキュリティ人材の1人になれるわけですから、差別化点の1つにできるような気がします。
谷澤氏:もちろん、学生もこの試験の対象者と考えています。大学では今、情報セキュリティの学科や科目ができ始めています。長崎県立大学さんは専門学科を設立しました。また、九州大学は全学生にセキュリティの授業を受けさせているそうです。九州だけでなく、関東の大学も取り組みを始めているという話です。
山内氏:情報セキュリティマネジメント試験は、共通キャリア・スキルフレームワーク[3]のレベル2に位置づけられているので、(レベル1である)ITパスポート試験に比べれば、企業さんからそれなりの評価をいただけるかと思います。企業としても、上長が「部署に1人は合格者ということだから、君が合格して」と指示するのもよいですが、せっかく新人が入ってくるのなら、その人が持っているほうが一石二鳥ですよね。
注
[3]: 日本で今後必要とされるIT人材の人材像とその能力・役割で整理した、IT人材育成・評価のための枠組み。IPAが策定している。
谷澤氏:とはいえ、情報セキュリティはITリテラシーと同じように誰にも必要ですので、就職や業務とは関係なく、いろいろな方に合格していただきたいと思っています。
山内氏:ある業界さんや、情報漏洩の被害に遭われた全国展開している組織さんなどは「社員全員に取らせたい」とおっしゃっていますね。
谷澤氏:さらに補足させていただくと、IPAとしてはいろいろな方に受験してほしいと考えていますが、企業にとっては、やはりセキュリティは利益にならず、コストにしかなりませんので、「なぜ、取らないといけないの?」という考え方が皆さんにあると思うんです。しかし、情報セキュリティは国の施策にまでなっていますし、一人ひとりが持っておくというのと同時に、たとえば社員全員に取らせたいとか、管理職には全員に取らせておきたいとか、そういうふうに社会的にセキュリティに対する意識が変わっていけば、情報セキュリティマネジメント試験の価値はもっと鮮明に現れてくると思います。
――情報漏洩が発生したとき、組織の指示系統と緊急対策の指示系統が一致あるいは近いと、迅速な対応がしやすいですよね。その点でも、管理職が情報セキュリティマネジメント試験に合格しておく価値は高いように思います。
谷澤氏:何かが起きた後の対応というのはすごく重要で、それがきちんとできれば、影響の拡大を抑えることができるんですね。万が一のときには、CSIRTやセキュリティ推進部門といった全社的な組織に部署内の情報を渡すといった、組織的な対応を支える人材の育成も、この試験では当然含めています。
――ただ、情報セキュリティマネジメント試験はIT人材だけの試験だろうと、ユーザー企業や業務部門の人たちが受験せず、受験したのはIT企業の人ばかりになる、ということは考えられませんか?
谷澤氏:たしかに、情報処理技術者試験は主にIT技術者向けですので、そういった認識をお持ちの方は多いと思います。そこで、「ITパスポート試験、情報セキュリティマネジメント試験という、ユーザー側の試験もしっかりしてるんです」というところをもっとアピールし、認知度を広げようと思っています[4]。試験を活用していただける人は、日本中にもっと大勢いるはずですから。
経営層に情報セキュリティ人材の価値や必要性を理解してもらいたい
――企業の経営層に、情報セキュリティが経営課題であり経営リスクだという意識をどう高めてもらうかも懸案事項ですね。会社が必要性や価値を認知しないのでは、受験しようというモチベーションが社員側で高まらないでしょうから。経営層に向けたキャンペーンを張る予定などはありますか?
山内氏:キャンペーンという、大々的なものは難しいですね。ただ、いろんなネットワークを作って、経営者の方を個別訪問して説明するといった活動は行っています。また、JISA(一般社団法人 情報サービス産業協会)さんやJUAS(一般社団法人 日本情報システム・ユーザー協会)さん、商工会議所さんなどと連携し、会合の中で時間をいただいて説明をするとか、そうした機会を増やして周知を図ろうと思っています。また、中小企業庁が開く説明会で、経営者向けに情報セキュリティマネジメント試験について説明する予定です。
――企業だけでなく、海外から観光客が押し寄せる2020年の東京オリンピックに向けても、サイバーセキュリティを高めていく必要があるといった話も聞きます。
山内氏:そもそも人材不足である上に、オリンピックまでにそれなりの人数の情報セキュリティ人材を確保しなくてはいけません。官房長官の談話の中にも、2020年までに情報セキュリティ人材を3万人確保するという話が出てきました。また、高度試験である「情報セキュリティスペシャリスト」の合格者を対象に登録制度を設けることも検討されています[5]。こうした高度な情報セキュリティ人材の登録制度の新設や、今回の情報セキュリティマネジメント試験の創設など、政府も必要な施策を打っている最中です。
――もう、情報セキュリティ業務にも免許制を導入したらいいんじゃないかと思うんです、税理士などと同じように。そうしたら、情報セキュリティの資格を取ると人生を有利に進められると考える人が現れて、おのずと人材が増えるのではないかと。
山内氏:そういう意見は聞きます。先ほどの登録制度も、名称独占といった形で検討中のようです。
注
[5]: 経済産業省から今年1⽉に「情報処理安全確保⽀援⼠制度(案)」が公開されている。
