日本企業における情報セキュリティ国際資格CISSP取得の現状

内閣官房情報セキュリティセンターが4月22日発表した「セキュア・ジャパン2008(案)」では、横断的な重要政策として「情報セキュリティ人材の育成確保」が挙げられている。これは、企業におけるセキュリティ対策のフェーズが、これまでの「導入」フェーズから、「運用・管理」のフェーズに移りつつあることが理由のひとつだ。経験豊富な情報セキュリティ専門家の、現場における必要性は高まるばかりだ。

SJ2008案では「情報セキュリティに関する資格制度の体系化を推進する」と明記されており、国家資格の情報セキュリティアドミニストレータ等、スキルを客観的に定義する資格の需要が高まっている。

こうした資格の中でも、情報セキュリティ資格のグローバルスタンダードと言われる「CISSP(Certified Information Systems Security Professional)」が注目されており、NTTコミュニケーションズ社、hp社など大手IT企業が、積極的に社員への資格取得を進めている。日本企業におけるCISSP認定資格取得状況や課題について、CISSPの普及・啓発活動に尽力する、株式会社ラックの与儀大輔氏に聞く。

セキュア・ジャパン2008 (案)
http://www.nisc.go.jp/conference/seisaku/dai17/pdf/17siryou0502.pdf

─

−日本でのCISSP認定資格保持者は何名いるのですか？

CISSPは、世界で5万7,000名が保有する国際資格です。日本では2004年にスタートし、4年目の2008年4月末現在、国内CISSP認定資格保持者は980名です。

−日本企業でCISSP認定資格の取得が進んでいる理由は何でしょう？

全世界で約6万名の認定資格保持者を持ち、国際的な標準として認められている一方で、内閣官房が発表した「人材育成・資格制度体系化専門委員会報告書(2007年1月23日)」等でも「主な情報セキュリティ資格」として認められたことで、認知度が上がったことが理由だと思います。また、官公庁の入札などで、CISSPの有資格者がRFPの条件となるケースも出始めています。

人材育成・資格制度体系化専門委員会報告書
http://www.nisc.go.jp/conference/seisaku/training/common/pdf/training_report_final.pdf

−どんな企業がCISSP認定資格取得に積極的なのですか？

SIerやコンサルティング会社をはじめ、金融、通信、メーカ、また政府関係機関など、あらゆる企業や団体の方がCISSP認定資格を取得しています。企業として戦略的に、社員にCISSP認定資格を取得させる例も増えています。

日本国内で最も資格者が多いのは、NTTコミュニケーションズさんの約250名です。次いでhpさんの約80名と続きます。

●CISSP資格者数ランキング
順位と企業名(略記)
1 …… NTTコミュニケーションズ
2 …… hp
3 …… LAC
4 …… UNISYS
5 …… CSK
6 …… CTC
7 …… KDDI
8 …… Microsoft
9 …… Oracle
10 …… NTTデータ
【表作成：(ISC)2日本事務局】

−なぜCISSP取得に積極的なのでしょう？

企業や団体ごとに目的は様々です。例えばベンダー企業であれば、CISSPを社内に多数確保することが、顧客へのサービス向上、自社の差別化につながると考える企業もあります。ユーザ企業は、企業におけるセキュリティ全体を俯瞰できる人材を育成することが狙いでしょう。

また採用の際に、グローバルで認知されているCISSP認定資格を、その人の客観的な評価基準として活用しているケースもあります。

個人では、CISSPとして認定されることで、自分の知識や経験を客観的に証明でき、情報セキュリティのプロフェッショナルとして信頼を得られ、自分のキャリアを差別化することができます。

−CISSP資格者の企業での役割について教えて下さい

個々のテクノロジーの詳細を理解することではなく、運用・業務効率・コストの観点から、システム全体を設計・デザインし、構築・運用・管理できるようになることが、CISSP認定資格取得の条件です。

国内有数の大手通販会社でISを担当している、あるCISSP資格者は、

・社内の照査システムのワークフロー化
・システム構築
・セキュリティポリシー策定
・セキュリティベンダへの要件仕様書の作成と検収
・コスト管理

などの業務を担当しています。CISSPを取得して変わったこととして、セキュリティベンダの提案に言いなりにならない判断基準が身についたこと、必要なセキュリティ対策の重要性を役員や社内外のオーディターに対して自信を持って明快に説明できる拠りどころを得たこと、などを挙げています。

−資格を取ると給与面で待遇が変わったりするのでしょうか？

通常CISSPは、約55万円の受講費用の「CISSP10ドメインレビューセミナー」を5日間受講後に試験を受け取得します。LACでは、このセミナーをまったく受講せずに、ぶっつけで試験を受けて合格した社員に対し、30万円の報奨金を出す制度があります。一方、一般的な給与での待遇等ですが、外資系の企業以外では、まだこれからだと思います。

−現在のCISSP認定資格保持者は980名、1,000名目前ですね

CISSPを運営する米NPOの日本支部「(ISC)2 Japan（アイエスシースクエアジャパン）」は、セキュア・ジャパン等の政府方針とも呼応し、3年以内に日本国内での認定資格保持者3,000名を目標にしており、今年7月,8月、561,750円(試験費用別途68,250円)の受講料を、399,000円に割引するキャンペーンを実施します。内容は、(ISC)2 Japan公式サイトや、5月16日開催の専門家向けセミナー「第4回ラックセキュリティアカデミー」でくわしく発表される予定です。

【取材・執筆：SCAN】

【関連リンク】
第4回ラックセキュリティアカデミー
「SQLインジェクションによる改ざん事件の舞台裏
〜アナリストの解説とCISSP模擬体験コース」
http://www.lac.co.jp/news/seminar_training/seminar/20080516.html
※終了後講師との情報交換会実施