情報処理安全確保支援士登録・登録後の脇道

Mini ni IKE.

情報処理安全確保支援士(登録番号 027202 号)の池です。
この記事は pyspa Advent Calendar 2024 の12/3です。

adventar.org

昨日は id:hidesuke さんのISMS取得たいへんという話 - 名称未定ドキュメント"Que"という記事でした。
私はISMSを前々職でも、前職でも、なんなら、それで食べている専門家だと言っても過言ではないので「ねぇなんで私に相談くれないの?」「あれ、私のプレゼンス足りてない?まじでか?」ってこの記事書きながらジャストナウ思ってます。ISO/IEC 27001:2022朝(JIS Q 27001:2023)や情報セキュリティ管理基準を朝まだ語り合おうぜってくらい仕上がってるので、Have a good ISMS life!!

ひとまずISMSは一旦脇においておいて、...。
情報処理安全確保支援士の士業登録を4月に終え、8ヶ月経過しました。

第3回 ワーキンググループ2(サイバーセキュリティ人材の育成促進に向けた検討会)で情報処理安全確保支援士(登録セキスぺ)の制度について検討中だったりと動きがありますが、まだまだこれからという資格です。

今回は、そんな情報処理安全確保支援士の登録や登録後の脇道にそれたあれこれを伝えようと思います。

情報処理安全確保支援士

情報処理安全確保支援士、その試験は?

情報処理安全確保支援士は、「情報処理の促進に関する法律」に基づいた国家資格です。

制度の仕組みで語られることは、法令やIPAの資料を確認してください。
脇道にそれてないため割愛します。

制度
  1. 国家資格「情報処理安全確保支援士」制度の仕組みについて
試験
  1. 情報処理安全確保支援士試験 | 試験情報 | IPA 独立行政法人 情報処理推進機構
  2. 情報処理安全確保支援士(登録セキスペ)制度 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
法令
  1. 情報処理の促進に関する法律
  2. 情報処理の促進に関する法律施行令
  3. 情報処理の促進に関する法律施行規則

情報処理安全確保支援士になるには?

情報処理安全確保支援士試験に合格し、士業登録するというのが、大半なのではないでしょうか。
ここでは法第九条2項で試験を全部免除して登録できるケースが確認できただけでもいくつかあるので、紹介します。

(情報処理安全確保支援士試験)
第九条
経済産業大臣は、経済産業省令で定めるところにより、経済産業省令で定める資格を有する者に対し、支援士試験の全部又は一部を免除することができます。

情報処理の促進に関する法律

情報セキュリティスペシャリスト試験、旧テクニカルエンジニア(情報セキュリティ)に合格した者

これは経過措置による特例。

かつては旧情報セキュリティスペシャリスト試験、旧テクニカルエンジニア(情報セキュリティ)試験に合格したものは、 情報処理の促進に関する法律施行規則 の省令の施行日から2年間は経過措置として登録できた。

いまはすでに省令の施行日から2年以上経過してるので、このケースで登録することはできない。脇道な知識。

(情報処理安全確保支援士試験合格の特例)
第四条この省令による改正前の情報処理技術者試験規則(以下「旧規則」という。)の規定による情報セキュリティスペシャリスト試験又は情報処理技術者試験規則等の一部を改正する省令(平成十九年経済産業省令第七十九号)による改正前の情報処理技術者試験規則の規定によるテクニカルエンジニア(情報セキュリティ)試験に合格した者は、支援士試験に合格した者(ただし、この省令の施行の日から起算して二年を経過するまでの間に、法第十五条の登録を受ける場合に限る。)とみなす。

https://laws.e-gov.go.jp/law/428M60000400102/#428M60000400102-Sp-At_4

中核人材育成プログラムの修了から1年間以内の登録

IPAによる 中核人材育成プログラム 事業内容 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構 では、第8期の場合は、修了から1年間は、士業に登録できる。

(6) 受講状況報告、修了認定
出欠状況や週報などに基づき、派遣元企業への定期的なご報告を行います。
卒業プロジェクトを含む全課程を修了することにより、修了認定を得られるとともに、以下の特
典があります。
情報処理の促進に関する法律の規定に基づき、情報処理安全確保支援士試験
の全部免除(修了後 1 年以内の登録申請)
・産業サイバーセキュリティエキスパートの称号使用(商標登録番号 6158314 号)
・ICSCoE ロゴマークの使用(商標登録番号 6023942 号)

受講要領- 第 8 期中核人材育成プログラム(令和 6 年 7 月開講) -

なお、中核人材育成プログラムは500万円の費用と1年間の参加が必要です。

自衛隊の特定の部隊において実務経験が2年以あり所定の課程修了または資格を保持

情報処理安全確保支援士の認定の申請について(通達) の定めの通り、特定の部隊において、「サイバー攻撃等への対処並びにそのために必要な情報の収集、訓練、調査及び研究に関する事務に従事した期間」が通算して2年以上である場合にかつ、所定の課程修了または資格を保持している場合には、情報処理安全確保支援士に登録できます。

部隊は次のとおりです。

  1. 陸上自衛隊のサイバー防護隊
  2. 海上自衛隊保全監査隊
  3. 航空自衛隊のシステム監査隊
  4. 自衛隊サイバー防衛隊

所定の課程は次のとおりです。

  1. 情報セキュリティ大学院大学
    1. 情報セキュリティ研究科情報セキュリティ専攻博士前期課程
    2. 情報セキュリティ研究科情報セキュリティ専攻博士後期課程
  2. 奈良先端科学技術大学院大学
    1. 情報科学研究科情報科学専攻博士前期課程
    2. 情報科学研究科情報科学専攻博士後期課程
  3. 防衛大学校
    1. 理工学研究科前期課程(サイバーセキュリティ工学)
    2. 理工学研究科後期課程(情報知能メディア学(サイバーセキュリティに関する研究に限る。))

所定の資格は次のとおりです。

  1. 独立行政法人情報処理推進機構
    1. 情報セキュリティスペシャリスト
    2. テクニカルエンジニア(情報セキュリティ)
  2. (ISC)2(International Information Systems Security Certification Consortium:アイエスシー・スクエア)
    1. CISSP(Certified Information Systems Security Professional)
    2. SSCP(Systems Security Certified Practitioner)
  3. ISACA CISA(Certified InformationSystems Auditor)
    1. CISM(Certified Information Security Manager)
  4. SANS Institute
    1. SLC(GIAC Security Leadership Certification)
    2. GSNA(GIAC Systems and Network Auditor)
    3. GXPN(GIAC Exploit Researcher and Advanced Penetration Tester)
    4. GREM(GIAC Reverse Engineering Malware
    5. GCIA(GIAC Certified Intrusion Analyst)
    6. GCIH(GIAC Certified Incident Handler)
    7. GSEC(GIAC Security Essentials Certification)
  5. EC-Council
    1. CEH(Certified Ethical Hacker)

1 申請の対象者について
⑴ 告示第1条第2号に規定する防衛大臣が認める者は、陸上自衛隊のサイバ
ー防護隊、海上自衛隊保全監査隊、航空自衛隊のシステム監査隊又は自衛
サイバー防衛隊において、サイバー攻撃等への対処並びにそのために必要
な情報の収集、訓練、調査及び研究に関する事務に従事した期間が通算して
2年以上である者(ただし、申請日において当該事務に従事しなくなった日
の翌日から起算して3年を経過した者を除く。)であって、次のいずれかに該
当するものとする。
ア 別表第1に掲げる課程のいずれかを修了した者
イ 別表第2に掲げる資格のいずれかを取得した者
⑵ 前号の規定に該当するものは、告示第2条第1項の規定による申請を行う
ことができる。

[情報処理安全確保支援士の認定の申請について(通達) ]

登録後の話

士業になったら、何があるんだというのはよく
話題になります。ここでは脇道にそれたそのあたりを紹介します。

CITP(認定情報技術者)

CITPは情報処理学会が認定する認定資格です。
www.ipsj.or.jp

情報処理安全確保士や高度情報処理技術者試験などITSSレベル4以上の実務、実績をもとに認定する国際的認証に対応した資格になります。

情報処理安全確保士はITスペシャリスト(セキュリティ)認定の前提となります。

  • 国際標準のISO/IEC 24773(ソフトウェア技術者を対象とする資格制度に対する比較の枠組み)、ISO/IEC 17024(個人に対する資格制度を運営する組織体に対する一般要求事項)と整合性あり。
  • 情報処理国際連合(IFIP、International Federation for Information Processing。国連ユネスコの提案で組織された情報処理国際連合)の相互認証組織であるIP3の認定あり。

海上自衛隊技術海曹、航空自衛隊技術空曹

令和6年度 海上自衛隊技術海曹 採用要項 航空自衛隊技術空曹

海上自衛隊技術海曹

海上自衛隊技術海曹の応募資格を満たします。採用時に一等海曹に任用されます。

応募資格
海上自衛隊技術海曹
令和6年4月1日現在、20歳以上で、令和6年7月1日までに次表の資格・免許等のいずれかを有する者
資格・免許 等
気象予報士、ITストラテジスト、システムアーキテクト、プロジェクトマネージャ、ITサービスマネージャ、システム監査技術者、情報処理安全確保支援士、エンベデッドシステムスペシャリスト、ネットワークスペシャリストデータベーススペシャリスト、2級電気工事施工管理技士

令和6年度 海上自衛隊技術海曹 採用要項 航空自衛隊技術空曹
航空自衛隊技術空曹

航空自衛隊技術空曹の応募資格を満たします。採用時に一等空曹に任用されます。

航空自衛隊技術空曹
令和6年4月1日現在、20歳以上で、次表の資格・免許等のいずれかを有する者
CISSP 、情報処理安全確保支援士 、ネットワークスペシャリスト 、
データベーススペシャリスト 、エンベデッドシステムスペシャリスト 又は
システム監査技術者 、1等航空整備士、ロシア語能力検定1級 、中国語
検定1級 、韓国語能力検定5、6級

予備自衛官補 技能 システム防護(サイバー)

陸上自衛隊予備自衛官補の応募資格を技能区分「通信」種類「システム防護」として満たすことができるので、予備自衛官補の道が開けます。
予備自衛官補からの任官階級表をみたところ、予備三等陸尉の任用資格です。

他にも年齢などの制限があるのでご注意を。

予備自衛官補 技能 情報処理

陸上自衛隊予備自衛官補の応募資格を技能区分「情報処理」として満たすことができます。

予備自衛官補からの任官階級表をみたところ、予備一等陸曹の任用資格です。

余談ですが、それ以外にも高度情報や、応用情報技術者基本情報技術者も名を連ねています。

警視庁 任期付職員

これは最近話題になり、一瞬エントリーを考えました。

警視庁 任期付職員 の受験資格の一つに「情報処理安全確保支援士」があります。
他にも高度情報や技術士情報工学部門)、CISSPが名を連ねています。

受験資格等
(1) 受験資格(次の要件を全て満たす者)
学歴区分に応じた民間企業・官公庁等のサイバーセキュリティ対策部門、システム関連部門等における実務経験が【別表】に記載の年数以上あること。
チームリーダーとしておおむね3人以上を統括した経験があること。
情報処理に関する高度な知識及び技能を認定する国家試験等に合格し、又はこれに相当する資格(※)を有していること。
※情報処理に関する高度な知識及び技能を認定する国家試験等に合格し、又はこれに相当する資格とは、

ITストラテジスト
システムアーキテクト
・プロジェクトマネージャー
ネットワークスペシャリスト
データベーススペシャリスト
・システム監査技術者
・情報処理安全確保支援士
技術士情報工学部門)
CISSP
などを言う。

https://www.keishicho.metro.tokyo.lg.jp/saiyo/2024/recruit/info-term.html

さいごに

いかがでしたでしょうか?

皆さんにはあまりご縁がない脇道だったかもしれませんが、私はこのような脇道に挑んでいます。ご興味ある方は是非ご連絡ください。

機会があれば、pyspaで報告できればと思っています。

Asante sana! Kwaheri!

情報処理安全確保支援士に登録しました。

情報処理安全確保支援士 Security

本日付けで情報処理安全確保支援士(登録セキスペ)となりました。セキュリティに関する国家資格です。

登録番号は、第027202号 です。
下記IPA情報処理推進機構)のサイトで確認いただけます。

情報処理安全確保支援士 検索サービス:https://riss.ipa.go.jp/r?r=027202

情報セキュリティ、サイバーセキュリティ対策でお困りの際には、お声がけください。

タイミーに入社しました。

参考

エクサウィザーズを退職しました。

素敵なビジョンや業務、経営者・同僚達に恵まれていたものの、同僚*1の言葉を借りると私の「美学」に反したので、誠に遺憾ながら退職いたしました。

素敵なビジョン

「AIを用いた社会課題解決を通じて幸せな社会を実現する」というビジョンを持っている。

exawizards.com

素敵な業務

ざっくり分類すると、内部監査、業務改善、特定のプロダクト開発の3つに携わった。

内部監査

内部監査部門で内部監査業務に携わった。
見聞が広がるとともに、今まで培ったシステム開発や情報セキュティの知識・経験を活かすことができた。
大変やりがいがある業務であり、諸兄におかれましてもぜひ挑戦をおすすめしたい。

DeNAの諸先輩方がリスク管理コンプライアンス、内部統制、内部監査に関わっているのはキャリアパス描くうえでの参考になった。

DeNAの先輩お二方見かけたページ(採用ページだが...):www.wantedly.com

業務改善

全社特にコーポレート部門の改善活動をソフトウェアエンジニアの経験を活かして携わった。内部監査部門の立場で広くまた高い視座を持って挑めた。

範囲は多岐にわたる。

その中でも株主総会関連については、同僚たちの熱意が大変素晴らしく一緒にプロダクトを一歩進めることができたのが、思い出深い。

note.exawizards.com

特定のプロダクト開発

内部監査部門を兼務しつつ、あるプロダクトの開発に関わった。

思い返せば、エンジニアとして参画したが、むしろプロマネ?はたまたサービスマネージャ?....開発側幹部に対する参謀のような働きをした。

例えば次の業務を行った。

  1. コーディング、設計
  2. CICD設定・改善(例えばテストフレームワークの導入、設定)
  3. SRE(例えばSRE活動を行っていく上での現状分析と重点項目の明確化、改善案の立案)
  4. システムモニタリングツール導入
  5. プロセス改善、ITサービスマネージメント観点での現状分析と改善など
  6. プロダクト進める上でのリスク管理
  7. プロダクトのセキュリティ対応の企画、検討

...など。

システム開発に関わって17年程。その中でも、1・2を争う心残りなプロダクトとなった。

素敵な経営者・同僚達

エクサウィザーズという社名の通り、エクサ=1000^6(言い換えれば、あまた)のウィザード=魔術師(言い換えればプロフェッショナル)がいました。

ワクワク感があり、時にハラハラさせられる宴会に最適な前社長の石山さん、聡明であり内外環境の変化に敏感でチャーミングな現社長の春田さんと経営者には恵まれていたと思う。私がこうやって書き出すくらいだから。

同僚達も大変優秀な信頼できる方々がいた。

とはいえ、なんとも、冒頭の一文に通じるところである。

参考

*1:このひと https://twitter.com/Yoritaka21

プライバシーマーク認証、ISO/IEC 27701認証、JIS Q 15001認証

備忘録 規格

理解する必要があったので備忘録として。

一般財団法人日本品質保証機構概要 | ISO/IEC 27701(プライバシー情報) | ISO認証 | 日本品質保証機構(JQA)が詳しい。

プライバシーマーク認証

JIS Q 15001に準拠したの認証。
一般社団法人日本情報経済社会推進協会が運営を行う。

プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針

JIS Q 15001認証

JIS Q 15001。
審査は、ISO/IEC 27001などの他のマネジメントシステムと組み合わせ審査または、JIS Q 15001単独審査。

ISO/IEC 27701認証

ISO/IEC 27701。規格にGDPRとのマッピングの附属書あり。
ISO/IEC 27001およびISO/IEC 27002のアドオン・拡張。

トークンバケットアルゴリズム

備忘録

APIのスロットリングで使われるトークアルゴリズムをよく忘れるので書き出しておく。

AWSAPI Gatewayで採用されている。†1

トークンバケット - Wikipedia

https://ja.wikipedia.org/wiki/%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3%E3%83%90%E3%82%B1%E3%83%83%E3%83%88

APIの利用を制限する場合例えば、OWASP API SecurityのAPI 4 API4:2023 Unrestricted Resource Consumption - OWASP API Security Top 10APIバックエンドで自力で防ぐには、実装することになる。...ネットワーク上位で対応するのがよいだろう。

†1: API リクエストを調整してスループットを向上させる - Amazon API Gateway

学習候補

学ぼうと思っている(すでに学び始めている)領域を書き出す。ほんとうに学ぶかはわからんが書き出したからには学ぶだろう。たぶん。

サイバーセキュリティ、情報セキュリティ

Google サイバーセキュリティ プロフェッショナル認定証

7日間無料ないしは¥7,281 /月で受けれるなんて、最高では...?

www.coursera.org

マルウェア解析

よさげな記事を見かけた。参考にするのがよいだろう。
the-art-of-nerd.hatenablog.com

脆弱性

GitHubのSecure Code Gameがよさそう。

github.com
www.publickey1.jp

デジタルフォレンジックと法

先日はてブで話題になったTogetterででてくる裁判官が関わった書籍がおもしろそうだったので、買った。

話題になったTogetter: 証拠品のバイナリデータを確認してデータが「整いすぎている」ため改ざんを暴いた裁判官が強すぎる。「中学高校レベルの知識なので法律家の一般教養の範囲」→!? - Togetter

法律実務のためのデジタル・フォレンジックとサイバーセキュリティ

法律実務のためのデジタル・フォレンジックとサイバーセキュリティ

Amazon

RubyRuby on Rails

パーフェクトRuby

あらためて読む。キャースガサーン。

改訂2版 パーフェクトRuby

改訂2版 パーフェクトRuby

Amazon

パーフェクトRuby on Rails

昨日届き流し読みした。あとは、必要になったら細かく読んだり、手を動かしてみる。
キャースガサーン。

パーフェクト Ruby on Rails 【増補改訂版】 (Perfect series)

パーフェクト Ruby on Rails 【増補改訂版】 (Perfect series)

Amazon

IPA 高度試験

ITストラテジスト試験

2024年度版 ALL IN ONE パーフェクトマスター ITストラテジスト 情報処理技術者試験

2024年度版 ALL IN ONE パーフェクトマスター ITストラテジスト 情報処理技術者試験

Amazon
ITストラテジスト 合格論文の書き方・事例集 第6版 合格論文シリーズ

ITストラテジスト 合格論文の書き方・事例集 第6版 合格論文シリーズ

Amazon

システム監査技術者試験

ALL IN ONE パーフェクトマスター システム監査技術者 2023年度 [2023年度版 秋10月試験対応 インプットは図表でスイスイ!アウトプットは合格メソッドでスラスラ!](TAC出版) (情報処理技術者試験)

ALL IN ONE パーフェクトマスター システム監査技術者 2023年度 [2023年度版 秋10月試験対応 インプットは図表でスイスイ!アウトプットは合格メソッドでスラスラ!](TAC出版) (情報処理技術者試験)

Amazon

n月刊ラムダノート Vol.4, No.1(2024)

n月刊ラムダノート Vol.4, No.1(2024)www.lambdanote.com

ストリーム処理(Apache beam)、Ruby・Swift開発者によるWebAssembly、PicoRuby。

経営

経営入門

放送大学で二講座申し込んだ。教科書はすでに届いておりぱらぱらめくって中身を確認した。

  1. 経営学入門
  2. 経営情報学入門

IT経営

ITコーディネータ

IT経営推進プロセスガイドラインVer.3.1(新PGL)

IT経営推進プロセスガイドラインVer.3.1(新PGL)

Amazon
ITコーディネータ実践力ガイドライン Ver.2.1

ITコーディネータ実践力ガイドライン Ver.2.1

Amazon
ITコーディネータ実務ガイドVer.2.0

ITコーディネータ実務ガイドVer.2.0

Amazon