IPAが新たな資格試験開始、セキュリティの世界における「火元責任者」育成を：ユーザー企業の現場担当者向けに

　情報処理推進機構（IPA）は2015年10月16日、国家試験「情報処理技術者試験」の新たな試験区分として「情報セキュリティマネジメント試験」を創設することを正式に発表した。2016年春期（4月）に第一回の試験を開始し、以降も春期と秋期の年二回実施する予定だ。

　情報セキュリティに関する試験としては既に「情報セキュリティスペシャリスト試験」があり、これまでに累計約3万人が合格している。情報セキュリティスペシャリスト試験が、セキュリティ技術者として安全な情報システムを構築する立場の人々の育成を目指しているのに対し、新区分は、ユーザー企業の現場で情報セキュリティを管理する人々の技術や知識の底上げを目指すものだ。

　より具体的には、企業の中でセキュリティ担当者としてルール策定や教育に当たったり、業務で個人情報の管理を担当したりする人材の育成を狙っている。何らかの事故が起こった際に各部門で初動対応に当たる担当者や、Webサイトやシステムの開発を外部委託する発注者もスコープの範囲だ。セキュリティインシデントが発生した際には組織内CSIRT（Computer Security Incident Response Team）と連携しながら被害の最小化に当たる「火元責任者」の役割を果たしたり、何らかのシステムを発注する際には適切なセキュリティ要件を盛り込み、時には専門用語を交えてやり取りできる人材というイメージだ。

　「総務や経理、あるいは営業といった現場の方にしっかりセキュリティについて理解してもらい、部門における対策を推進してもらえれば」とIPAの担当者は期待を寄せている。

　新区分創設の背景には、標的型攻撃や内部不正をはじめとするさまざまな脅威は「技術的対策だけでは防ぐことができず、人的対策やマネジメントも必要である」という考え方がある。最終的には「試験を通して、情報セキュリティ対策を継続的に改善していくマネジメントの重要性を企業の経営層にも理解してもらい、合格者の価値を認めていってもらえれば」という期待もあるという。

　IPAは2013年10月の時点で、「ITパスポート試験」をはじめとする情報処理技術者試験の出題構成を見直し、情報セキュリティに関する出題を強化していた。情報セキュリティマネジメント試験はITパスポート試験の上位に位置するもので、内部不正防止や標的型攻撃対策、あるいは情報セキュリティ関連法規など、最新の事例や動向を反映した問題を出題するという。試験時間は午前、午後ともに90分。午前中は四肢択一で50問、午後は穴埋め式で3問が出題される。午前、午後の試験ともに100点満点中60点以上で合格となる。