「情報セキュリティ資格について考えてみる」

情報セキュリティ資格について考えてみる 【第12回】サイバーセキュリティ勉強会2025冬 in 塩尻 2025.2.1(土) © 2025 LAC Co., Ltd. ３.

プロフィール︓⻑⾕川 ⻑⼀ 株式会社ラック 新規事業開発部 主席研究員 （産学官連携担当） ■ソフトバンク、日本ユニシス（現・BIPLOGY）を経て、現職。情報セキュリティコン サルティング、情報セキュリティ監査業務等を経て、現在は主にセキュリティ教育、産 学官連携活動業務を担当。⻑野県警サイバー事案対策アドバイザー。 ■主な担当講師業務 □ISC2 CISSPレビュートレーニングセミナー認定主任講師(2006年〜) □東京電機大学 国際化サイバーセキュリティ学特別コース(CySec) 講師(2011年〜) □九州工業大学 情報工学府 非常勤講師(2021年〜) □国⽴⾼知⾼専 非常勤講師(2019年〜)、⼀関⾼専 非常勤講師(2024年〜) ■最近の主な活動 □ 経済産業省 産業サイバーセキュリティ研究会 WG2 委員(2024年度〜) □ IPA 情報処理安全確保⽀援⼠講習統括委員会委員（2017年度〜） □ 情報危機管理コンテスト 運営スタッフ（2017年度〜） ほか ■主な著書等 「IT現場のセキュリティ対策完全ガイド」（日経BP社）、「情報セキュリティ監査公式ガイドブッ ク」（日科技連出版、共著）、「情報セキュリティプロフェッショナル教科書」 (アスキーメディア ワークス、共著）、「ネットワークセキュリティ」（オーム社、共著）等。 URL︓http://www.lac.co.jp/ E-mail︓[email protected] http://www.facebook.com/choichi.hasegawa 2

私と情報セキュリティ資格

私と情報セキュリティ資格(1) 2000年以前 情報セキュリティ関係の資格は、ベンダー資格くらいしかなかった。 → ネットワーク関係含め、いくつか受験・取得した。（もはや、記 憶がかなり曖昧…） 他には、ISMS審査員くらいだった。 → こちらも、取得した。 この時期がもっとも資格を取ってたと思う。 4

＜参考＞ISMS審査員 https://www.jrca-jsa.or.jp/jrca/jrca_seido_b2/ 5

• https://www.jrca-jsa.or.jp/jrca/jrca_seido_b2/

私と情報セキュリティ資格(2) 2000〜2002年頃 社内の学習や活動だけでは、いろいろと限界を感じていた。 2001年、NPO日本ネットワークセキュリティ協会(JNSA)設⽴。教育部会の活 動に参加。経済産業省やIPAの情報セキュリティ人材育成の事業(「情報セキュリ ティスキルマップ」の作成等)に参加。 その延⻑で資格化された「SEA/J」の活動に参加し、資格を取得、2003年頃か ら、講師活動を開始する。 同じ2001年、IPA情報処理技術者試験において、「情報セキュリティアドミニス トレータ」資格が開始される。 →「テクニカルエンジニア(情報セキュリティ) 」→「情報セキュリティスペ シャリスト」→「情報処理安全確保⽀援⼠(RISS)」 ※ ちなみに、試験は受けていない。（書籍で勉強はした。1回は申込みした） 6

＜参考＞SEA/J(セキュリティ・エデュケーション・アライアンス・ジャパン) https://www.sea-j.net/ 7

• https://www.sea-j.net/

＜参考＞情報処理安全確保⽀援⼠(RISS) https://www.ipa.go.jp/jinzai/riss/index.html 8

• https://www.ipa.go.jp/jinzai/riss/index.html

私と情報セキュリティ資格(3) 2003〜2005年頃 経済産業省において、情報セキュリティ監査制度の設⽴が決まり、NPO日本セ キュリティ監査協会(JASA)が設⽴され、その活動に参加。公認情報セキュリティ 監査人資格(CAIS)制度に参画。資格を取得し、講師や委員活動を⾏った。 当時の所属会社の資格（外部及びグループ内）関係の委員活動なども⾏った。 そして、2005年。ある資格の 日本語でのトレーニングと試 験が開始された… https://www.ipsj.or.jp/citp.html 9

• https://www.ipsj.or.jp/citp.html

2005年、CISSP取得︓その経緯 □ 2005年7月、日本ユニシス(現・BIPROGY)在職時代 ある日、米国の役員に呼び出される。（藪からスティックに） 役員「ユー、CISSPって知ってる︖」 ミー「はい、知ってます」 役員「日本法人には、ハウメニーいるの︖」 ミー「0名です。1人もいません︕」 役員「0︖マジ?!」 ミー「はい。リアルマジです︕」 役員「ユー、CISSPとっちゃいなよ︕すぐに!!」 ミー「すぐですか︕」 役員「グローバル・セキュリティでトゥギャザーしようぜ!!」 ※ 注︓実際のやりとりを大幅に省略・脚⾊しています。 • 10

2005年、CISSP取得︓その後 □ 2005年9月、受験・合格。 ユー、もっとハード ワークしちゃいなよ︕ CISSPになったとの情報が社内のみならず、グルー プ会社やセキュリティクラスタを駆け巡る… 最大の変化︓給料は増えなかったが、仕事と責任 はかなり増えた。 （社内外の委員や講師の仕事など） そして、ノマドワーカーになった。(笑) 11

＜参考＞公認情報セキュリティ監査人(CAIS) https://www.jasa.jp/qualification/

• https://www.jasa.jp/qualification/

＜参考＞CISSP(Certified Information Systems Security Professional) https://japan.isc2.org/cissp_about.html 13

• https://japan.isc2.org/cissp_about.html

私と情報セキュリティ資格(4) 2006〜2010年頃 2006年からCISSPの認定講師活動を開始。（現在も継続中） 2008年、SEA/J講師活動を停止。 2009年、CAIS講師、委員会活動を停止。 ※ この頃より、CISSP以外の資格は更新せず、続々と失効。 （意図的に） 14

私と情報セキュリティ資格(5) 2011年頃〜現在 2011年から、東京電機大学未来科学部の非常勤講師。（現在も CySecコースの担当として、継続中） CompTIAのSMEsの活動を開始。（現在も継続中） 2017年から、IPAの情報処理安全確保⽀援⼠講習統括委員（他に、 講師認定、カリキュラム検討の委員を兼任）活動を開始。 「情報危機管理コンテスト」の運営、(東京電機大学以外の)大学・大 学院、⾼専の非常勤講師等の活動も開始。 （現在も継続中） 15

＜参考＞東京電機大学 CySec ※CISSPの講座もあり https://cysec.dendai.ac.jp/ 16

• https://cysec.dendai.ac.jp/

＜参考＞CompTIA Security＋ ※ 他にPentest＋、CySA+など https://www.comptia.jp/certif/core/comptia_security/ 17

• https://www.comptia.jp/certif/core/comptia_security/

その他の主な情報セキュリティ資格 ※日本で提供されているもの • SANS︓GIAC https://www.sans-japan.jp/ • EC-Council︓CEHなど https://www.eccouncil.org/ • ISACA︓CISA、CISMなど https://www.isaca.gr.jp/ 18

• https://www.sans-japan.jp/
• https://www.eccouncil.org/
• https://www.isaca.gr.jp/

情報セキュリティ資格の取得と活用

＜参考＞Security Certification Roadmap ※481のセキュリティ関連資格 https://pauljerimy.com/security-certification-roadmap/ 20

• https://pauljerimy.com/security-certification-roadmap/

＜参考＞主な情報セキュリティ資格マッピング https://www.jnsa.org/result/isepa/2016/2016-048.pdf 21

• https://www.jnsa.org/result/isepa/2016/2016-048.pdf

情報セキュリティ資格を分類してみると 大分類 中分類 資格の例 備 国家資格 業務独占 - 他分野︓医師、弁護⼠、税理⼠等 名称独占 情報処理安全確保⽀援⼠など 他分野︓技術⼠、保育⼠等 ベンダー系 MS、AWS、Ciscoなど 製品・ソリューションに依存 非ベンダー系 CISSP、CISA、など ベンダーニュートラル ⺠間資格 考 ・「資格」と言っても“Certification”であり、“Licence”ではない。 ・資格制度には、必ずその目的がある。（政策、ビジネスなど） ・資格取得の前提条件を問われることがある。（業務経験、前提知識や学位など） ・資格取得が業務要件になることがある。（業務アサイン、役職やグレードに反映など） 22

試験問題の分類と問われることと難易度 分 類 知 判 識 断 内 容 例 用語の意味 「次のうち、公開鍵暗号方式のアルゴリズム に分類されるものはどれか︖」 用語の内容 「インシデントレスポンスに関する説明のう ち、最も適切なものはどれか︖」 状況に応じた判断やプロセ ス 「このような状況（シナリオ説明） において、情報セキュリティ専門家として取 るべき⾏動はどれか︖」 易 難 ・⼀般に、上位資格ほど「状況に応じた判断やプロセス」を問われる。 ・つまり、上位資格では「暗記」が通用しない問題が多い。（または、配点が⾼い） 23

知識とスキルの継続・向上 ◆ 「情報処理安全確保⽀援⼠ 倫理綱領」では… 『５．自己研鑽 情報処理安全確保⽀援⼠は、専門家としての能⼒を必要とさ れる⽔準に維持し、かつ自らの知識・技能を⾼めなければならない』 ◆ 「ISC2 倫理規約」では… 『セキュリティ専門家としての知識を向上し、保護する。（中略）自分自⾝の スキルを向上し、常に最先端の知識を習得する 』 現在では、多くの資格で継続要件あり。 24

「NICE Framework(NIST SP800₋181)」 2024年3月に最新の改訂版がリリースされた。 ・2280のタスク、知識、スキル ・7つのワークロール(役割)のカテゴリー ・52のロール(役割) ・11のコンピテンシー領域 から、構成されている。 NICCS:教育訓練コース(約3300)のカタログ https://www.nist.gov/itl/applied-cybersecurity/nice/nice-framework-resource-center 25

• https://www.nist.gov/itl/applied-cybersecurity/nice/nice-framework-resource-center

NICCS(National Initiative for Cybersecurity Careers and Studies) https://niccs.cisa.gov/education-training/cybersecurity-certifications 26

• https://niccs.cisa.gov/education-training/cybersecurity-certifications

＜参考＞CISSPが英国の修⼠号基準に匹敵すると評価 https://japan.isc2.org/blog2020/cissp-comparable-to-uk-masters-degree-standard.html 27

• https://japan.isc2.org/blog2020/cissp-comparable-to-uk-masters-degree-standard.html

まとめ︓資格取得の目標・目的は何ですか︖ 皆さんの資格取得の目標・目的は何ですか︖（そもそも、必要︖） ・名刺に載せる肩書が欲しい ・収入アップ(するかも&奨励⾦目的) ・所属組織等で薦められた ・自己啓発 ・キャリア形成（業務上必須・就転職含む） ・根拠のない、不安感 ・不安もないけど、なんとなく… もちろん人によって違います。ご自⾝で決めてください。 28