2001年春からの情報処理技術者試験制度の改定により,日本情報処理開発協会が定める試験区分に,情報セキュリティに関する項目が新たに設定された。これに伴い,今年の秋(10月の第3日曜日)から「情報セキュリティアドミニストレータ試験」が始まる。この新テスト施行に際し,今回のコラムでは,セキュリティ技術の認定制度を,海外と国内で比較してみたいと思う。
施行予定の「情報セキュリティアドミニストレータ試験」を含めると,情報セキュリティに関する主な資格は,国際的な資格と国内の資格を合わせて,全部で5種類存在する(表)。
| 資格名称 | 国際/国内 |
|---|---|
| CISSP(the Certified Information Systems Security Professional) | 国際資格 |
| SSCP(the Systems Security Certified Practitioner) | 国際資格 |
| GIAC-TC(Global Incident Analysis Center Training and Certification) | 国際資格 |
| CISA(Certified Information Systems Auditor)あるいは 公認情報システム監査人 | 国際資格(国内でも受験可) |
| 情報セキュリティアドミニストレータ | 国内資格 |
| 表●情報セキュリティに関する主な資格 | |
これらの資格について簡単に説明する。(1)CISSPと(2)SSCPは,米国の「International Information Systems Security Certifications Consortium(『(ISC)2』と略する)」が主催している資格試験で,CISSPがセキュリティ部署の指導者をターゲットにしており,SSCPはセキュリティ・ポリシーを実装できるネットワーク管理者とシステム管理者のスキル認定を目的としている。
(3)GIAC-TCは,SANS(System Administration, Networking, and Security)が主催する,情報セキュリティ技術全般のトレーニングと,資格認定プログラムの総称である。(4)CISAは,今回取り上げた試験の中で唯一,日本国内で受験が可能な国際資格である(日本では「公認情報システム監査人」と呼ばれる)。試験内容は,情報システムの監査およびセキュリティ分野に基づいた,7項目である。そして,(5)情報セキュリティアドミニストレータ試験は,セキュリティ・ポリシーの策定,実施,分析,見直しを行なう管理者を対象としており,出題分野は以下の8分野である。
- コンピュータ科学基礎
- コンピュータ・システム
- システムの開発と運用
- ネットワーク技術
- データベース技術
- セキュリティと標準化
- 情報化と経営
- 監査
いずれの資格試験も,もちろん,情報セキュリティのコア技術をカバーしているが,それだけではない。システムやネットワークの知識は不可欠である。さらに,難易度が高いCISSPなどでは,法律や倫理,物理的セキュリティといった内容も加わる。
今回取り上げた資格の中で,CISSPとCISAは10年近い歴史があり,これまでの認定者は世界中にそれぞれ約1万5000人および2万人存在している。その歴史と実績から,セキュリティ資格試験として,国際的に高い評価を得ている。
CISSPでは,技術の進歩を試験に反映させるため,250問ある問題の中の100~150問が,毎回新しい内容に置き換えられて出題される。CISAでは,1度資格を取っても,トレーニング・プログラムを定期的に受講しないと,資格の効力がなくなってしまう。そのため,資格取得後も,努力を怠ることができない。米国では,コンピュータ関連の資格だけではなく,言語や医療など他分野の認定機構の中にも,こういった再チェックを取得の条件に盛り込んでいるものがよく見られる。資格を“形がい化”させないためには,CISSPとCISAの試験で採用されている,「問題のアップデート」と「スキルの再チェック」が不可欠だと,筆者は考えている。
前者のアップデートに関しては,国内でも適切に行われていると思うが,後者の再チェックに関しては,まだ十分ではないだろう。その原因の1つとして,コストの問題が挙げられる。チェックを実施する方にも,チェックを受ける方にもコストがかかってしまう。また,チェックの方式に関しても,資格保持者の技能を正当に評価する方法を確立しないと,受験者離れを生み,試験の実施自体ができなくなる可能性がある。
欧米の,資格更新時のスキル・チェックには,様々な方法がある。筆者が知る限りでは,CISAのように,(1)スキル・トレーニング・プログラムを定期的に受講することで,スキルをチェックするもの,(2)資格の有効期限を設けて,再テストにより更新を行なうもの,(3)トラブル・シューティング等の実技試験によるチェック,という3種類の方法がメジャーである。こういったチェック機構を,“国産”の情報技術試験にも取り込み,「1度取得すればそれで終わり」というものではなく,時を経ても価値を保つことのできる,実務に直結した実践的な資格にしてもらいたい。米国同様,日本の情報処理業界でも,“形ばかりの資格”ではなく,“使える資格”が求められているのではないだろうか。
関連Webサイト
◆主催団体Webサイト
(ISC)2 (International Information Systems Security Certifications Consortium)
SANS Institute (System Administration, Networking, and Security)
情報システムコントロール協会(ISACA:Information Systems Audit and Control Association)
情報処理技術者センター(JITEC:Japan Information-Technology Engineers Examination Center)
◆資格試験Webサイト
CISSP, SSCP
http://www.isc2.org/examinations.html
http://www.cissps.com/
GIAC-TC
http://www.sans.org/giac.htm
http://www.sans.org/giactc.htm
公認情報システム監査人(CISA:Certified Information Systems Auditor)
http://www.isaca.gr.jp/cisa.htm#cisa1
http://shikaku.nikkei.co.jp/license/l_c001_019.html
情報セキュリティアドミニストレータ試験
http://www.jitec.jipdec.or.jp/1_11seido/h13/ss.html
http://www.jitec.jipdec.or.jp/1_00topic/topic_00120401.html
田中 健介(Tanaka Kensuke)
株式会社ラック 不正アクセス対策事業本部
kensuke@lac.co.jp
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。
