令和02年【春期】【秋期】情報処理安全確保支援士 合格教本
【情報処理安全確保支援士試験(SC)のおすすめ参考書・テキスト(独学勉強法/対策)】も確認する
はじめに
「情報処理安全確保支援士」は極めて有望な資格です。
日本が今後,経済の発展やプレゼンスの強化を狙うのであれば,国民全体のITリテラシの底上げや,ITに従事する人材の育成は避けて通れません。ITのインフラ化, 社会のITへの依存を考えると,IT教育の重要性は増すことはあっても,減ることはほぼ考えられません。高度な能力を持つ人材は引く手あまた,いくらいても足りない状況です。
IoTやAIなど,便利である反面,セキュリティ面で極めてセンシティブなシステムも激増します。その中核を担う情報処理安全確保支援士は,この分野での仕事を志す方は是非取得しておくべき資格です。キャリアパスを考えるときに,極めて大きなアドバンテージになるでしょう。
情報処理技術者関連資格では初めての名称独占資格,CCSFレベル4相当の高いプレミアム性があり,資格を取得した受験者は高い信頼と稀少価値を獲得できます。
そのプレミアム性に相応しい難しい試験ですが,臆する必要はありません。情報処理安全確保支援士のシラバスは,連綿と続いた情報セキュリティスペシャリスト試験 (廃止)などのセキュリティ系資格をベースにしており,その対策ノウハウや解答テクニックは長期間に渡って積み重ねられてきました。
本書を使って,安心して試験対策を進めてください。また,過去問演習はとても役に立ちます。本書特典のWebアプリや過去問の書籍にも目を通すと得点力が更に増します。
セキュリティの個別技術を問うというより,受験者のこの分野に対するポテンシャルや全体を俯瞰してセキュリティデザインを考える能力を見ることに主眼がおかれているため,実践的でないという批判もある試験ですが,高度なセキュリティ人材を多く育てていきたいという目標にはうまく合致した試験です。
注意しておきたいのは,情報処理安全確保支援士への登録です。登録や維持に高額の費用が必要なので,これを個人が負担し続けることはストレスになるでしょう。試験合格だけでも能力の証明になりますので,特に会社にお勤めの場合は,維持費補助などの制度をよく調べて登録するとよいでしょう。是非試験に合格して,キャリアパスを次のステージに移行させてください。
岡嶋裕史
目次
受験のてびき
第I部 知識のまとめ -午前Ⅰ,午後Ⅰ・II問題対策-
午前問題の出題
■ 第1章 脅威とサイバー攻撃の手法
1.1 情報セキュリティとは
1.1.1情報セキュリティのとらえ方
1.1.2 攻撃者だけがセキュリティの敵ではない
1.1.3情報セキュリティはコスト項目である
もっと掘り下げる 3つの監査
1.2リスク
1.2.1 情報資産と脅威
1.2.2 脆弱性の存在
1.2.3 物理的勝弱性
もっと掘り下げる 状況的犯罪予防
1.2.4 技術的脆弱性
1.2.5 人的脆弱性
1.2.6 リスクの顕在化
1.3脅威の種類
1.3.1 物理的音威
1.3.2 技術的脅威
1.3.3 人的脅威
1.4 攻撃者
1.4.1 攻撃者の目的
1.4.2 攻撃者の種類・動機
もっと掘り下げる 不正のトライアングル
1.5 情報収集と共有
1.5.1情報収集と共有をしなければならない背景
1.5.2 弱性情報を集めるデータベース
1.5.3脆弱性情報の標準化(CVSS, CWE)
1.5.4公開のタイミングとExploitコード
1.6 さまざまなサイバー攻撃の手法
1.6.1 サイバー攻撃の手法を理解しておく意義
1.6.2 主なサイバー攻撃の手法
1.7 不正アクセス
1.7.1 不正アクセス
1.7.2 不正アクセスの方法
1.8 バッファオーバフロー
1.8.1 バッファオーバフローとは
1.8.2 C言語とバッファオーバフロー
1.8.3 主なバッファオーバフロー攻撃
1.8.4 バッファオーバフローへの対策
1.9 パスワード奪取
1.9.1 ブルートフォースアタック
1.9.2 辞書攻撃
もっと掘り下げる レインボーテーブル攻撃
1.9.3 ログの消去
1.9.4 バックドアの作成
1.10 セッションハイジャック
1.10.1 セッションハイジャックとは
1.10.2 セッションフィクセーション
もっと掘り下げる ログ
1.11 盗聴
1.11.1 盗聴とは
1.11.2 スニファ
1.11.3 サイドチャネル攻撃
1.11.4 電波傍受
1.11.5 キーボードロギング
1.12 なりすまし
1.12.1 なりすましとは
1.12.2 ユーザIDやパスワードの偽装
1.12.3 IPスプーフィング
1.12.4 踏み台
1.13 DoS攻撃
1.13.1 サービス妨害とは
1.13.2 TCP SYN Flood
1.13.3 Connection Flood
1.13.4 UDP Flood
1.13.5 Ping Flood(ICMP Flood)
1.13.6 Ping of Death
1.13.7 DDoS攻撃
1.13.8 分散反射型 DoS攻撃
1.13.9 その他のDoS攻撃
1.13.10 サービス妨害の法的根拠
もっと掘り下げる ボット
1.14 Webシステムへの攻撃
1.14.1 Webビーコン
1.14.2 フィッシング
1.14.3 ファーミング
1.14.4 MITB(Man In The Browser)
1.15 スクリプト攻撃
1.15.1 クロスサイトスクリプティング
1.15.2 クロスサイトリクエストフォージェリ
1.15.3 SQLインジェクション
1.15.4 OSコマンドインジェクション
1.15.5 HTTPヘッダインジェクション
1.15.6 キャッシュサーバへの介入
1.16 DNSキャッシュポイズニング
1.16.1 DNSキャッシュポイズニングとは
1.16.2 DNS Changer
1.17標的型攻撃
1.17.1 標的型攻撃とは
もっと掘り下げる APT
1.18 その他の攻撃方法
1.18.1 ソーシャルエンジニアリング
1.18.2 ランサムウェア
1.18.3 スパムメール
1.18.4 ファイル名の偽装
1.18.5 スパイウェア
1.18.6 メール爆撃
1.18.7 ルートキット
1.19 マルウェア
1.19.1 マルウェアの分類
もっと掘り下げる ダークネット,サーフェスウェブ,ディープウェブ,ダークウェブ
1.19.2 マルウェアの感染経路①媒体感染
1.19.3 マルウェアの感染経路②ネットワーク
1.19.4 マクロウイルス
1.20 マルウェアへの対策
1.20.1 セキュリティ対策ソフト
1.20.2 セキュリティ対策ソフトの限界と対策
1.20.3 ネットワークからの窓断
1.20.4 感染後の対応
1.20.5 マルウェア対策の基準
理解度チェック・解答
■ 第2章 セキュリティ技術 対策と実装
2.1 ファイアウォール
2.1.1 ファイアウォールとは
2.1.2 レイヤ3フィルタリング(IPアドレス使用)
2.1.3 レイヤ4フィルタリング(+ポート番号, プロトコル種別)
もっと掘り下げる ポート攻撃
2.1.4 ルータとの違い
2.1.5 レイヤクフィルタリング
2.1.6 ルールベース作成の注意
2.1.7 パーソナルファイアウォール
2.1.8 コンテンツフィルタリング
2.2 シングルサインオン
2.2.1 プロキシサーバ
2.2.2 リバースプロキシとシングルサインオン
2.2.3 その他のシングルサインオン
2.3 WAF
2.3.1 WAF とは
2.4 DMZ
2.4.1 公開サーバをどこに設置するか
2.4.2 第3のゾーンを作る-DMZ
2.5 リモートアクセス
2.5.1 リモートアクセス技術
2.5.2 PPP
2.5.3 PPPの認証技術
2.6 VPN
2.6.1 VPNの基本構成
2.6.2 VPNの種類
2.6.3 VPNの2つのモード
2.6.4 VPNを実現するプロトコル
2.6.5 ネットワーク仮想化
2.7 IPsec
2.7.1 IPsecとは
2.7.2 SA
2.7.3 AHとESP
2.8 IDS
2.8.1 IDSとは
2.8.2 IDSのしくみ
2.9 IPS
2.9.1 IPSとは
2.9.2 IPSの配置
2.9.3 IPSとファイアウォールの関係
2.10 不正データの排除
2.10.1 サニタイジング
2.10.2 エスケープ処理
2.11 プレースホルダー
2.11.1 プレースホルダとは
2.12 信頼性の向上①RASIS
2.12.1 RASIS
2.13信頼性の向上②耐障害設計
2.13.1 耐障害設計の考え方
2.13.2 フォールトアボイダンス
2.13.3フォールトトレランス
2.13.4 耐障害設計の手法
2.13.5 性能管理
2.14 信頼性の向上③バックアップ
2.14.1 バックアップとは
2.14.2 バックアップ計画
2.14.3 バックアップ方法
2.14.4 バックアップ運用
2.15 信頼性の向上④その他のバックアップ技術
2.15.1 NAS
2.15.2 SAN
もっと掘り下げる データ爆発
2.16 ネットワーク管理技術
2.16.1 syslog
2.16.2 NTP
2.16.3 管理台帳の作成
2.16.4 SNMP
2.17 セキュア OS
2.17.1 Trusted OS
2.17.2 セキュア OS
2.18クラウドとモバイル
2.18.1 クラウド技術の弱性と対策
2.18.2 クラウドサービスの種類
2.18.3 モバイル機器の脆弱性と対策
2.19人的セキュリティ対策
2.19.1 アカウント管理
2.19.2 アクセス管理
2.19.3 IDの制限
理解度チェック・解答
■ 第3章 セキュリティ技術 -暗号と認証
3.1 セキュリティ技術の基本
3.1.1 セキュリティ技術とは
3.1.2 セキュリティ技術の種類
3.2 暗号①暗号化の考え方
3.2.1 盗聴リスクと暗号化
3.2.2 暗号の基本と種類
3.2.3 暗号を評価する団体
3.3 暗号②共通鍵暗号方式
3.3.1 共通鍵暗号方式
3.3.2 共通鍵暗号方式のしくみ
3.3.3 共通鍵暗号方式の実装技術
3.3.4 秘密鍵の管理
3.4 暗号③公開鍵暗号方式
3.4.1 公開鍵暗号方式
3.4.2 公開鍵暗号方式のしくみ
3.4.3 公開鍵暗号の実装技術
3.5 認証①認証システム
3.5.1 アクセスコントロールと認証システム
3.5.2 パスワード認証
3.6 認証②ワンタイムパスワード
3.6.1 ワンタイムパスワードとは
3.6.2 S/KEY
3.6.3 時刻同期方式
3.7 認証③パスワード運用の注意
3.7.1 パスワード認証の運用
3.7.2 パスワード作成上の要件
3.7.3 パスワード作成要件の矛盾
3.7.4 ユーザーID発行上の注意
3.7.5 クッキーによる認証
3.8 認証④認証の強化方法
3.8.1 バイオメトリクス認証
3.8.2 その他の認証強化方法
3.9 認証⑤ディジタル署名
3.9.1 ディジタル署名とは
3.9.2 ディジタル署名のしくみ
3.9.3 メッセージダイジェスト,ハッシュ値
3.9.4 ディジタル署名と公開館時号の使われ方
3.9.5 電子メールのエンコードと暗号化
3.10 認証⑥PKI(公開鍵基盤)
3.10.1 ディジタル署名の弱点
3.10.2 PKI
3.10.3 ディジタル証明書の失効
3.10.4 ディジタル証明書が証明できないもの
3.10.5 PKIで問われる関連技術
3.10.6 タイムスタンプ
3.11 認証⑦認証サーバの構成
3.11.1 認証サーバとは
3.11.2 RADIUS
3.11.3 Kerberos(ケルベロス)
3.12 認証⑧SSL/TLS
3.12.1 SSL
3.12.2 SSLの通信手順
3.13 認証⑨新しい認証方式
3.13.1 事物による認証
3.13.2 ICカードの認証プロセス
3.13.3 ICカードの問題点
3.13.4 多要素認証
3.13.5 RFID
3.13.3 ICカードの問題点
理解度チェック・解答
■ 第4章 セキュリティマネジメント
4.1情報セキュリティポリシー
4.1.1 情報セキュリティポリシとは
4.1.2 法律との違い
4.1.3 JIS Q 27000とISMS
4.1.4 情報セキュリティポリシの種類
4.1.5 他の社内文書等との整合性
4.1.6 情報セキュリティポリシを具体化する組織(CSIRT,SOC)
4.2 ISMSの運用
4.2.1 ISMS運用のポイント
4.3 ISMS 審査のプロセス
4.3.1 ISMS適合性評価制度の審査
4.3.2 ISMS審査の手順
4.4 セキュリティシステムの実装
4.4.1 セキュリティ製品の導入
4.4.2 ペネトレーションテスト(弱性検査)の実施
4.5 セキュリティシステムの運用
4.5.1 セキュリティパッチの適用
4.5.2 ログの収集
4.5.3ログの監査
4.6 サービスマネジメント
4.6.1 サービスマネジメントとは
4.6.2 サービスレベルアグリーメント(SLA)
4.6.3 JIS Q 20000
4.6.4 サービスデスク
4.6.5 ファシリティマネジメント
4.7 セキュリティ教育
4.7.1 ユーザへの教育
4.7.2 セキュリティ技術者・管理者への教育
4.7.3 セキュリティ教育の限界
4.8 リスクマネジメント
4.8.1 リスクとは
もっと掘り下げる 受容水準
4.8.2 JIS Q 31000シリーズ
4.9リスクアセスメント①取組み方法の策定
4.9.1 リスクアセスメントとは
4.9.2 取組み方法の種類
4.10 リスクアセスメント②リスク評価の実際
4.10.1 リスクの識別と分析
4.10.2 リスク評価
4.10.3 リスク評価の方法
4.10.4 リスクの受容水準
4.11 リスク対応
4.11.1 リスク対応の手段
4.11.2 リスク対応の選択
4.11.3 リスク対応のポイント
4.12 セキュリティインシデントへの対応
4.12.1 セキュリティインシデントの対応手順
4.12.2 初動処理
4.12.3 影響範囲の特定と要因の特定
4.12.4 システムの復旧と再発防止
4.12.5 ディジタルフォレンジックス
4.12.6 BCP
4.12.7 BCM
4.13 システム監査
4.13.1 システム監査とは
4.13.2 監査基準
4.13.3 監査の種類
4.13.4 監査人の選定
4.13.5 監査の流れ
4.13.6 監査活動のステップ
4.13.7 被監査者側が対応すべきこと
4.13.8 システム監査の今後
もっと掘り下げる 覚えておきたいその他の文書
理解度チェック・解答
■ 第5章 ソフトウェア開発技術とセキュリティ
5.1 システム開発のプロセス
5.1.1 システム開発の流れ
5.1.2 システム開発の基本的骨格
5.2 ソフトウェアのテスト
5.2.1 視点による分類
5.2.2 プロセスによる分類
5.2.3 結合テストの手法
5.2.4 テストデータの作り方
5.2.5 脆弱性チェックツール
5.3 システム開発技術
5.3.1 個々のプロセスの進め方
もっと掘り下げる ペアプログラミング
5.3.2 システム設計のアプローチ方法
5.3.3 開発を取り巻く環境
5.3.4 JIS X 25010 システム及びソフトウェア品質モデル
もっと掘り下げる 入出力データの管理
5.4セキュアプログラミング①C/C++
5.4.1 C言語はなぜ施弱か
5.4.2 C言語で安全なプログラムを書く方法
5.4.3 代表的なC/C++の脆弱性
5.5 セキュアプログラミング②Java
5.5.1 サンドボックスモデル
5.5.2 クラス
5.5.3 パーミッションの付与方法
5.6 セキュアプログラミング③ECMAScript
5.6.1 ECMAScript
5.6.2 ECMAScriptによるエスケープ処理
理解度チェック・解答
■ 第6章 ネットワーク
6.1 ネットワークの基礎
6.1.1 プロトコル
6.1.2 OSI 基本参照モデル
6.1.3 OSI基本参照モデルの詳細
6.1.4 パケット交換方式
6.1.5 コネクション型通信とコネクションレス型通信
6.2 TCP/IP
6.2.1 IPとTCP/IPプロトコルスイート
6.2.2 IPの特徴
6.2.3 IPヘッダ
6.2.4 IPバージョン6(IPv6)
6.2.5 TCP
6.2.6 UDP
6.2.7 トランスポート層のプロトコルとポート番号
6.3 IPアドレス
6.3.1 IPアドレス
6.3.2 ネットワークアドレスとホストアドレス
6.3.3 IPアドレスクラス
6.3.4 プライベートIPアドレス
6.3.5 MACアドレス
6.4 ポート番号
6.4.1 トランスポートの役割
6.4.2 ポート番号
6.4.3 ポート番号の使われ方
6.5 LAN間接続装置①物理層
6.5.1 リピーター
6.5.2 ハブ
6.5.3 LANの接続
6.6 LAN間接続装置②データリンク層
6.6.1ブリッジ
6.6.2 スイッチングハブ
6.7 LAN問接続装置③ネットワーク層
6.7.1 ルータ
6.7.2 L3スイッチー
6.7.3 VLAN
6.8 その他のネットワーク機器
6.8.1 loT
6.8.2 プロトコルアナライザ
6.8.3 LANその他の間接続機器
6.9 アドレス変換技術
6.9.1 NAT
6.9.2 IPマスカレード
6.9.3 NAT, IP マスカレードの注意点
6.9.4 UPnP
6.10 アプリケーション層のプロトコル①DNS
6.10.1 アプリケーション層の役割
6.10.2 DHCP
6.10.3 DNS
6.11 アプリケーション層のプロトコル②メールプロトコル
6.11.1 メールプロトコル
6.11.2 その他のメールプロトコル
6.11.3 セキュアなメールプロトコル
6.12アプリケーション層のプロトコル③HTTP その他
6.12.1 HTTP
6.12.2 HTTPS
6.12.3 FTP
6.12.4 Telnet
6.12.5 SSH
6.13 無線LAN
6.13.1 無線LAN
6.13.2 無線LANの規格
6.13.3 無線LAN のアクセス手順
6.13.4 WEP暗号
6.13.5 WPA/WPA2
6.13.6 IEEE 8021X認証の導入
理解度チェック・解答
■ 第7章 国際標準・法務
7.1 国際標準とISMS
7.1.1 ISO/IEC 15408
7.1.2 OECDプライバシーガイドライン
7.1.3 ISMS標準化の流れ
7.1.4 PCI DSS
7.2 国内のガイドライン
7.2.1 政府機関の情報セキュリティ対策のための統一基準
7.2.2 情報セキュリティ監査制度
7.2.3 情報システム安全対策基準
7.2.4 コンピュータウイルス対策基準
7.2.5 システム監査基準
7.2.6 コンピュータ不正アクセス対策基準
7.2.7プライバシーマーク制度
7.2.8 個人情報保護に関するコンプライアンス
7.2.9 SLCP-JCF2013
7.2.10 クラウドサービス利用のための情報セキュリティマネジメントガイドライン
7.2.11 サイバーセキュリティ経営ガイドライン
7.2.12 組織における内部不正ガイドライン
7.2.13 重要インフラのサイバーセキュリティを向上させるためのフレームワーク
7.3 法令
7.3.1 コンピュータ犯罪に対する法律
7.3.2 個人情報保護
7.3.3 知的財産保護
7.3.4 電子文書
7.3.5 サイバーセキュリティ基本法
7.3.6 プロバイダ責任制限法
7.3.7 派遣と請負
理解度チェック・解答
第Ⅱ部 長文問題演習 -午後Ⅰ・Ⅱ問題対策-
午後問題の出題
午後問題で知っておくべきネットワーク
■ 午後I 問題の対策
1 ソフトウェアの脆弱性対策
解答のポイント
2 標的型攻撃
解答のポイント
3 スマホアプリのセキュリティチェック
解答のポイント
4 パブリッククラウドサービス
解答のポイント
5 SSL/TLSを用いたサーバの設定と運用
解答のポイント
6 情報セキュリティ対策の強化
解答のポイント
■ 午後Ⅱ 問題の対策
1 セキュリティインシデントへの対応
解析のポイント
2 公開サーバの情報セキュリティ対策
解析のポイント
3 スマホを利用したリモートアクセス環境
解析のポイント
4 IoTシステムのセキュリティ対策
解析のポイント
索引
午前問題演習「DEKIDAS-Web」について
受験のてびき
■情報処理安全確保支援士試験とは
情報処理安全確保支援士試験とは,情報処理技術者試験とともに,経済産業省が主催する国家試験です。CCSFレベル4相当となる難易度の高い試験で,これに合格すれば,名実ともにセキュリティの専門家としてのキャリアを踏み出すことになります。
多肢選択式の午前試験と記述式の午後問題によって知識と実務経験がバランスよく試されます。実務経験は必須ではありませんが,あった方が得点しやすいでしょう。ベンダ側,ユーザ側両方の業務への理解が問われることも特徴です。近年の実業務では両者の相互理解が必須であることを考慮すれば当然の傾向といえます。
情報処理安全確保支援士試験の合格者に期待される業務と役割,技術水準はシラバスに示されていますが,2020年4月の試験で改訂がかかりました。情報セキュリティ全般を業務ドメインとする専門家であることはもちろんなのですが,その役割がやや マネジメント, コンサルティングよりにシフトしています。リスクアセスメントやインシデント発生時の証拠収集・分析への言及も増えました。過去問に当たるときに留意してください。
■試験実施日
情報処理安全確保支援士試験は,春・秋の年2回の実施となります。
試験実施日 4月第3日曜日/10月第3日曜日
受験申込み手続きや試験の注意事項等については,必ず情報処理技術者試験センターのホームページ等でご確認ください。
【試験センター】 https://www.jitec.ipa.go.jp/
■出題形式,試験区分
情報処理安全確保支援士試験は,午前Iと午前II,午後Iと午後IIの試験区分に分かれます。午前試験は,期待される技術水準に達しているかどうかの「知識」を問うことで受験者の能力を評価するもの,午後試験は,課題発見能力,抽象化能力,課題 解決能力などの「技能」を問うことで受験者の能力を評価するものとされています。
| 試験区分 | 午前Ⅰ | 午前Ⅱ | 午後Ⅰ | 午後Ⅱ |
| 出題形式 | 多肢選択式 (四肢択一) 高度試験共通問題 |
多肢選択式 (四肢択一) |
記述式 | 記述式 |
| 出題数と 必要解答数 |
30問出題/30問解答 | 25問出題/25問解答 | 3問出題/2問解答 | 2問出題/1問解答 |
■シラバス,人材像の変更など
2020年春試験よりシラバスが変更になります。主にセキュリティ系の強化やAI・IoT等の新技術の追加であり,午前の試験範囲は基本的には変わりませんが,午後はマネジメント寄りに強化されています。詳しくはp.578を参照してください。
また,情報処理安全確保支援士試験の対象者像のうち,「業務と役割」「期待する技術水準」は大きく変わりましたので,以下のURLより新しい「試験要項 Ver4.4」をご確認ください。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_hanni_skill.html
■合格基準点と多段階選抜方式
情報処理安全確保支援士試験の午前Ⅰ,午前II,午後Ⅰ,午後II試験には,それぞれ基準点が設けられています。基準点はそれぞれ,100点満点中の60%となっています。
また,各試験で基準点に達しない場合は,以下のとおり以降の試験の採点が行われずに不合格となります。
・午前I試験の得点が基準点に達しない場合,午前II・午後I・午後II試験の採点を行わずに不合格とする。
・午前II試験の得点が基準点に達しない場合,午後I・午後II試験の採点を行わずに不合格とする。
・午後I試験の得点が基準点に達しない場合,午後II試験の採点を行わずに不合格とする。
■午前I免除制度
情報処理技術者試験の高度試験と情報処理安全確保支援士試験に共通する知識を問う午前I試験では,以下の1~3の条件のいずれかを満たしていれば,その後2年間の受験が免除されます。
条件1:応用情報技術者試験に合格する
条件2:いずれかの高度試験または支援士試験に合格する
条件3:いずれかの高度試験または支援士試験の午前I試験で基準点以上の成績を得る
なお,高度試験とは,以下の8つの試験を指します。
・ITストラテジスト試験
・システムアーキテクト試験
・プロジェクトマネージャ試験
・ITサービスマネージャ試験
・システム監査技術者試験
・ネットワークスペシャリスト試験
・データベーススペシャリスト試験
・エンベデッドシステムスペシャリスト試験
■午前Ⅱ免除制度
2017年11月1日より情報処理安全確保支援士の午前II試験の免除制度がスタートしました。これはIPAより午前II免除の認定を受けた教育機関の学科の課程を修了した者は,課程修了2年以内に受験する午前II試験の免除が受けられるというものです。認定の対象となる教育機関は
1.大学院
2.大学(短期大学を除く)
3.専門学校(高度専門士の称号が付与されるものに限る)
で,認定の対象となる学科等は「情報セキュリティに関する知識を専門的に修得するための研究科,研究科の専攻,学部学科又はこれらに相当する課程」となります。詳しくは https://www.jitec.ipa.go.jp/1_81menjo/_index_sc_am2menjo.html
を参照してください。
■情報処理安全確保支援士の登録制度について,
情報処理安全確保支援士試験がこれまでの情報セキュリティスペシャリスト試験と大きく異なるのは,試験合格者が国家資格「情報処理安全確保支援士」の登録対象になることです。
情報処理安全確保支援士は登録制の名称独占資格で,2016年10月21日から制度が開始されました。登録事務は独立行政法人 情報処理推進機構(略称:IPA)が行います。資格の登録可能対象者を以下に参照します。
・情報処理安全確保支援士試験合格者
・情報処理安全確保支援士試験合格者と同等以上の能力を有する方
情報処理の促進に関する法律施行規則第一条の規定に基づき,以下に該当する方が対象となります。
・経済産業大臣が認定した方 (警察,自衛隊,内閣官房,情報処理安全確保支援士試験委員のうち,所定の要件を満たす方)
・経済産業大臣が情報処理安全確保支援士試験の全部を免除した方 (IPAの産業サイバーセキュリティセンターが行う中核人材育成プログラムを修了した方)
登録者には,氏名,生年月日等を記載した「情報処理安全確保支援士登録簿」が作成され,経済産業省に備えられます。「情報処理安全確保支援士登録簿」には公開必須事項として,「登録者の登録番号」「登録年月日」「情報処理安全確保支援士試験に合格した年月」「講習の修了年月日」があり,IPAのWebサイトにて公開されます。その他にも,「氏名」「生年月」「資格試験合格証書番号」「自宅住所」「勤務先名称」「勤務先住所」という項目がありますが,これらの情報公開は本人の任意です。
■登録申請に必要な書類
資格登録に必要な書類は以下の通りです(詳細は「登録の手引き」https://www. ipa.go.jp/files/000063891.pdf を参照ください)。
1. 登録申請書(PDFに入力して印刷し署名押印登録免許税の収入印紙(9,000円)・登録手数料(10,700円)の振込を証明する書類が必要)
2. 現状調査票(1.と同じPDFに入力して印刷)
3. 誓約書(PDFを印刷し,記入,署名押印)
4. 登記されていないことの証明書(法務局等で取得,原本を提出)
5. 身分証明書(本籍地の市区町村役所などで取得,原本を提出)
6. 情報処理安全確保支援士試験の合格証書のコピー又は合格証明書の原本
7. 戸籍の謄本若しくは抄本又は住民票の写し(市区町村役所等で取得,原本を提出)
8. 登録事項等公開届出書(PDFを印刷し,記入,署名押印)
9. 登録申請チェックリスト(PDFを印刷し,記入)
■登錄申請期間
資格の登録申請はIPAが随時受け付けています。登録簿への登録は,以下の年2回実施します。
・4月1日 【申請締切:1月31日(当日消印有効)】
・10月1日【申請締切:7月31日(当日消印有効)】
■資格を維持するための講習制度
また情報処理安全確保支援士は登録すれば完了,ではなく資格を維持するために講習の受講が義務付けられています。IPAがサイバーセキュリティに関する有料講習(知識・技能・倫理)を継続的に実施します。受講上の義務に違反した者は取消し又は資格名称の使用停止となることがあります。資格の有効期間は3年間で14万円の費用がかかります。以下に講習の詳細について参照します。
①オンライン講習:登録日を起点とし,年1回(6時間)受講
②集合講習:登録日を起点とし,3年目に1回(6時間)受講
③4年目以降は,①と②を3年サイクルで繰り返す
ただし,試験合格日から登録日までの期間が3年を超過している場合は,登録日を起点として1年以内に「オンライン講習」「集合講習」の受講が義務付けられ,2年目以降,①から③のサイクルに準じて受講する必要があります。
■情報処理安全確保支援士の通称名
経済産業省では,情報処理安全確保支援士が社会全体で活用され,企業などにおけるセキュリティ対策を進めるため,通称名を設けています。以下に,法律上の名称に加え,通称名を記します。
法律名:情報処理安全確保支援士
通称名:登録情報セキュリティスペシャリスト(登録セキスペ)
英語名:Registered Information Security Specialist (RISS)
■問合せ先
独立行政法人情報処理推進機構
IT人材育成センター国家資格・試験部
登録・講習グループ
TEL:03-5978-7561
受付時間:10:00~12:30, 13:30~17:00(土日・祝日,年末年始(12月29日~ 1月3日)は休業) MAIL:riss-grp@ipa.go.jp(添付ファイル不可)
