Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

JJUG CCC 2018 Spring 『情報処理安全確保支援士とエンジニア』

1,820 views

Published on

JJUG CCC 2018 Springで発表したスライドです。

Published in: Career
  • Be the first to comment

JJUG CCC 2018 Spring 『情報処理安全確保支援士とエンジニア』

  1. 1. 情報処理安全確保支援士と エンジニア 2018/5/26 JJUG CCC 2018 Spring 佐藤達志(JJUG幹事)
  2. 2. 目次 • 自己紹介 • 情報処理安全確保支援士とは • 情報処理安全確保支援士試験について • 登録方法 • オンライン講習、集合講習 • サイバーセキュリティと改正割販法 • 情報処理安全確保支援士のこれから
  3. 3. 自己紹介 • 名前:佐藤達志(JJUG幹事) • 所属:決済代行会社 • カード決済システム作ってます • 好きなもの • Elastic Stack,ハロプロ,乃木坂46,リラックマ • 情報処理技術者試験 • 2009年秋 基本情報技術者試験合格 • 2010年秋 応用情報技術者試験合格 • 2011年春 情報セキュリティスペシャリスト試験合格 • 現在は、DBスペシャリスト、システムアーキテクトに挑戦中
  4. 4. 情報処理安全確保支援士とは
  5. 5. 情報処理安全確保支援士とは まずはじめに 情報処理技術者試験について 受験はしていない 基本情報 応用情報 情報処理安全確保支援士(高度)
  6. 6. 情報処理安全確保支援士とは まずはじめに2 エンジニアに資格は必要か?
  7. 7. 情報処理安全確保支援士とは まずはじめに エンジニアに資格は必要か? • 資格だけでは駄目だが、資格は必要 • 資格・技術のどちらか、ではなく、両方やっていくのが良いと思う • 時間は有限。バランス大事。若い頃は技術先行でいい。 • 自分の専門分野と違う領域のことを知るのに丁度いい • 用語レベルくらいの理解でも違う 僕の意見
  8. 8. 情報処理安全確保支援士とは 資格の概要と試験 • サイバーセキュリティ分野の日本国の国家資格。 • IT業界における2つ目の士業『技術士(情報工学)』 • 有資格者は情報処理安全確保支援士の名称を使用して、政府機関や企業等におけ る情報セキュリティ確保支援を業とする。 • 政府機関、情報機関、研究機関等と連携し、組織的サイバー攻撃から日本の重要 産業を守る重要インフラ防護の役割が期待されている。 • 略称は登録セキスペ -Wikipediaより-
  9. 9. 情報処理安全確保支援士とは 増えない登録者数 • 政府は2020年までに、登録者数3万人を目標に掲げている ⇛2018年4月時点で約9200人が登録
  10. 10. 情報処理安全確保支援士とは 取得のメリット
  11. 11. 情報処理安全確保支援士とは 取得のメリット 現状、ありません (合格証書がもらえる) 会社として、社員が取得していると、 入札案件などで多少有利になります。
  12. 12. 情報処理安全確保支援士とは 取得のデメリット
  13. 13. 情報処理安全確保支援士とは 取得のデメリット 維持費3年で14万円 最悪、捕まる(罰金も) \(^o^)/
  14. 14. 情報処理安全確保支援士とは 取得してみて • 名刺に記載できるけど、まだしていないため、認知はされない。 • メリットもデメリットも特に感じないのが正直なところ • 情報処理安全確保支援士としての仕事が無いので、機密保持も無い。
  15. 15. 情報処理安全確保支援士試験について
  16. 16. 情報処理安全確保支援士試験について 情報処理技術者試験と情報処理安全確保支援士試験 前身は、情報セキュリティスペシャリスト試験 情報セキュリティスペシャリスト試験同様、試験制度上のレベル4 実施根拠の法律が異なるため、 枠組みも変わってますが、 実施主体はIPAで同一日、同一会 場で開かれるため、 実質的には 情報セキュリティスペシャリスト 試験と変わりありません。
  17. 17. 情報処理安全確保支援士試験について 試験の難易度 • 情報セキュリティスペシャリスト試験と同様。 • ITSSのレベル4 • 高度情報処理技術者試験と同じ • 暗号化技術やサイバー攻撃対策といった情報セキュリティの一般知 識に加えて、セキュアプログラミング、ネットワークといった要素 技術も問われる。 試験の水準は高く、情報セキュリティに関する資格試験では国内最 難関にあたり、実務経験者であっても合格するのは難しい試験とし て広く認知されている。 -Wikipediaより-
  18. 18. 情報処理安全確保支援士試験について • 高度情報処理技術者試験はその分野の最低限の知識 • ITSSレベル4はその分野におけるスタートライン • 責任者レベルの人であれば最低限知っていてほしい 知識が問われる • ITSSレベル5以上は実際の知識・実績が求められる
  19. 19. 情報処理安全確保支援士試験について 隠れた高難度試験 午前零試験 • 日曜の朝9時半開始の試験は人間にはきつすぎる 応募者数 受験者数 割合 平成29春 25,130 17,266 68.2% 平成29秋 23,425 16,218 69.2% • 30%強の人が、会場にたどり着くことすら出来ない • ハンター試験並みの高難度
  20. 20. 情報処理安全確保支援士試験について 午前零試験攻略法 • 情報処理技術者試験の申込みが開始されたら、すぐに応募する • 早いもの順で、近い会場が選択される傾向にある • 当日に申し込んだとき • 乗換なし電車で10分、徒歩5分の会場 • 締め切り前日に申し込んだとき • 乗換あり電車で1時間、徒歩15分の会場
  21. 21. 情報処理安全確保支援士試験について 午前零試験攻略法 • 情報処理技術者試験の申込みが開始されたら、すぐに応募する • 早いもの順で、近い会場が選択される傾向にある • 当日に申し込んだとき • 乗換なし電車で10分、徒歩5分の会場 • 締め切り前日に申し込んだとき • 乗換あり電車で1時間、徒歩15分の会場 早めの申込で午前零試験の難易度が大幅に変わる (保証はできませんが) まとめ
  22. 22. 情報処理安全確保支援士試験について 午前試験攻略法 • 過去問をひたすら解く • 午前Ⅰ試験は応用情報技術者試験の午前試験からの抜粋 • 午前Ⅱ試験は最低5割位は理解しておく • 応用情報技術者試験に合格・午前Ⅰ試験に合格する • 応用情報技術者試験合格後2年(試験回数4回分)は 午前1試験が免除される。 • 高度試験の午前Ⅰ試験に合格しても同様 • 開始が10時50分になるので、かなり楽になる
  23. 23. 情報処理安全確保支援士試験について 午後試験攻略法 • 過去問をひたすら解く • 午前と基本は同じ • セキュリティ事故など事例を読む • 時事問題的に出題される事がある • 仕組みや攻撃方法など理解しておくと○ • 模範解答を熟読 • 頻出漢字を書けるように練習しておく • 脆弱性、鍵、遮断、監視… • ひらがなだから駄目なわけでないが、 漢字も知っておくと回答文字数を調整できる
  24. 24. 登録方法
  25. 25. 登録方法 登録要件を満たすには • 情報安全確保支援士試験に合格する • 午前Ⅰ、午前Ⅱ、午後Ⅰ、午後Ⅱそれぞれの試験で60%以上得点する • 経過措置の活用 テクニカルエンジニア(情報セキュリティ)、 情報セキュリティスペシャリスト合格者は2018年8月19日まで登録可能 • 経産大臣に認められる • 警察とか自衛隊などでサイバーセキュリティ業務に従事している人が 対象
  26. 26. 登録方法 膨大な書類を書く • 登録申請書 • 登録免許税 • 登録手数料 • 現状調査票 • 誓約書 • 登記されてないことの証明書 • 身分証明書・身元証明書 • 支援士試験などの合格証書のコピー • 戸籍謄本・抄本、住民票の写し • 登録事項等公開届書 登録にかかる費用は約2万円 全部揃えるのに1~2週間はかかります
  27. 27. オンライン講習、集合講習
  28. 28. オンライン講習、集合講習 3年サイクルの講習 経過措置で登録し、合格から3年以上経過 している人はここから 『情報処理安全確保支援士(登録セキスペ)の受講する講習について』 https://www.ipa.go.jp/siensi/lecture/index.html • 情報処理安全確保支援士は資格の維持について、講習を定期的に受講すること が義務付けられている。
  29. 29. オンライン講習、集合講習 オンライン講習 • オンライン講習はA~Cがある。 • オンライン講習A • 最新知識のインプット • オンライン講習B • 技能の強化 • オンライン講習C • 基礎知識の復習と実践的能力の習得・維持・向上 • 講習費用は各2万円。 • 単元ごとに確認テストがあり、満点でないと次に進めない • 回答回数に制限はないので、徐々に覚えていけばいつかクリアできる。
  30. 30. オンライン講習、集合講習 オンライン講習の感想 • かかった時間は3時間程度 • 所要時間は6時間と記載あり • 中断しても、再開時は直前まで読んでいた箇所に戻るので便利 • 時間を刻んで隙間時間にやることも十分可能 • サイトのレスポンスが速く、 ページ送りで待たされることもなくストレスは少ない • UIはちょっと古め。
  31. 31. オンライン講習、集合講習 集合講習 『8万円は高いか安いか?セキュリティ国家資格の集合講習に潜入』 http://tech.nikkeibp.co.jp/atcl/nxt/column/18/00139/050700014/ • 日経に取材されて記事になってました • 事前にメール連絡がありました。
  32. 32. オンライン講習、集合講習 集合講習 • 3年に1回受講が必要な集合講習 • 東京は比較的、時期が選び放題なので楽。平日を選べば仕事抜けられる • 地方は月に1回とかで厳しい。 • オンラインで予約 • オンライン講習Cの受講証明書を印刷して持っていく • 午前は基礎の座学 • 午後は、チームごとに分かれてインシデント対応を机上で行う • チームごとに議論内容を発表し、レビューを受ける • 技術的要素はなく、PCも使わない • 全員専門知識はあるので、無駄な議論はなかった
  33. 33. オンライン講習、集合講習 集合講習の感想 • CSIRT的振る舞いには役に立つ • 技術的要素がないので、エンジニア的には暇 • 8万円は高い • 1日の講習で、特に何かあるわけでもないので、 どこにお金がかかっているのか…。 • 分野別に講習を選びたい • 得意分野を伸ばしたい。 • 特に攻撃方法とか。
  34. 34. オンライン講習、集合講習 講習全体の感想 • 定期的に知識をアップデートする仕組みはとても良い • クライアントも安心 • 試験の質は、これから。 • 費用はやはり高い • 個人で負担するには重い。14万円に対するメリットが打ち出せるか。 • 会社は積極的に費用負担してほしい。マイナスにはならない。
  35. 35. サイバーセキュリティと改正割販法
  36. 36. サイバーセキュリティと改正割販法 重要になるサイバーセキュリティ • セキュリティ対策を怠ると重大な事態に セキュリティ対策はコストではなく投資
  37. 37. サイバーセキュリティと改正割販法 セキュリティ犯罪の手口 • 単にクレジットカード情報流出と言っても手口は様々 • SQLインジェクション • バックドア • ゼロデイ攻撃(Struts2の脆弱性問題) • etc… • 流出を起こさないため、影響を小さくするためにも、情報処理安全確保支援士の 活躍範囲を広げる必要がある。 • 講習を受けた限りだと、インシデント発生後の対応しか求められていない。 • セキュリティ情報の収集、ログ設計 • 攻撃方法の把握、防御策の実装・検証の能力も必要 • 一人でなく、様々な役割の支援士が必要になる
  38. 38. サイバーセキュリティと改正割販法 改正割販法の施行 • クレジットカード情報を扱う事業者が対象 • 2018年6月1日施行 • クレジットカード情報は原則非保持 • ※ クレジットカード情報:カード番号、有効期限、セキュリティコード • ※ 非保持:通過、所有、処理をしない • クレジットカード情報を保持する場合はPCI DSS準拠
  39. 39. サイバーセキュリティと改正割販法 改正割販法の施行 • クレジットカード情報を扱う事業者が対象 • 2018年6月1日施行 • クレジットカード情報は原則非保持 • ※ クレジットカード情報:カード番号、有効期限、セキュリティコード • ※ 非保持:通過、所有、処理をしない • クレジットカード情報を保持する場合はPCI DSS準拠 情報処理安全確保支援士の出番があるかと思ってたが…
  40. 40. 情報処理安全確保支援士のこれから
  41. 41. 情報処理安全確保支援士のこれから 講習について • 講師ごとの特色などが出ると良い • 今はカリキュラムに沿って画一的な講習が求められている • 実装に詳しい人、監査に詳しい人、講師それぞれの得意分野を活かし、 講習を受ける側が選べると良い。 • 登録簿に支援士の得意分野、講習分野が記載されていると、ミスマッチ も起きにくい。 • 技術要素が薄い • チームで仮定のシステムにハッキングしかける講習とか楽しそう • 逆に脆弱性をなくすようにコーディングしたりとか • このままだと資格否定派の「資格しかない」人を量産するだけになる
  42. 42. 情報処理安全確保支援士のこれから 増やすには • 独占業務 • 監査や認証の業務を付与するなど • 必置義務 • 個人情報を扱う事業者や、システム開発会社に必置義務を課す。 • 必置義務による待遇改善は、ドラッグストアの薬剤師で証明済み。
  43. 43. 情報処理安全確保支援士のこれから 増やすには • 独占業務 • 監査や認証の業務を付与するなど • 必置義務 • 個人情報を扱う事業者や、システム開発会社に必置義務を課す。 • 必置義務による待遇改善は、ドラッグストアの薬剤師で証明済み。 もっと飴をくれ 要するに
  44. 44. 終わり

×