SANS、セキュア・プログラミング試験を開始

日経ITproの記事「SANSとNRIセキュア，日本でセキュア・プログラミングの試験を開始」からです。

昨日から（7/1～2）開催されている「SANS Future Visions 2008 Tokyo」において発表されてました。（ちなみに、私も聴講してました）

セキュア・プログラミングのスキルを測る「GIAC Secure Software Programmer試験」（GSSP試験）を日本で開始すると発表した。（第1回目の試験は2008年12月13日の予定）

なお、試験内容は

・ソースコードの中からセキュアでない部分を探す。
・試験は100問、途中退出ありの6時間
・試験は言語別（現時点では）Java/Java Enterprise Edition，C言語（PHP、C#やVisual Basicなど.NET関連の試験も用意する予定）
・受験料は、5万7000円。

ということのようです。

セキュア・プログラミングは、いわばセキュリティ資格のいわば空白地帯だったので、この試験の提供は期待も想定される成果も大きいと思います。

＜関連記事＞
「セキュアなプログラミングが必要とSANS「ほかの誰のせいにもできない」Webアプリの脆弱性」～@IT

CompTIA Security+改訂

CompTIAのHP「CompTIA Security+改訂について」で、公開されています。

新しい出題範囲は、2008年10月から適用されます。
この改訂、実は私も関わっております。

●CompTIA Security出題範囲（日本語版）

＜CompTIA Security+ 認定試験分野 出題比率＞
第1章 システム セキュリティ 21％
第2章 ネットワーク インフラストラクチャ 20％
第3章 アクセス制御 17％
第4章 アセスメントと監査 15％
第5章 暗号技術 15％
第6章 組織面でのセキュリティ 12％

ちなみに、現在の出題範囲と比率は、以下の通り。

1. セキュリティの一般概念 30%
2. コミュニケーションセキュリティ 20%
3. インフラストラクチャセキュリティ 20%
4. 暗号技術の基本 15%
5. 業務・組織面でのセキュリティ 15%

日本のホルダー数(ISSAP/ISSEP/ISSMP/ISSJP/SSCP)

最新のデータ(2008年4月末)が、ここに出てました。

日本のCISSPのホルダー数は、以前の記事でも、ちらっと書きましたが、もうじき1000名の大台の980名。

さて、それ以外はというと、

・ISSAP：3
・ISSEP：1
・ISSMP：3
・ISSJP：43
・SSCP：1

ということでした。
ISSJP以外は、英語試験しか提供されてませんからね…

平成20年度春期情報処理技術者試験

IPAのHPで4/20の情報処理技術者試験「平成20年度春期試験　問題冊子・配点割合・解答例・採点講評」が公開されていますね。

ちなみに、私は受験しておりません、あしからず。
しかし、時間がある時に解いて、そっと採点してみたりする予定です。

さて、「テクニカルエンジニア（情報セキュリティ）」の問題は、以下の通り。

＜テクニカルエンジニア（情報セキュリティ）＞
・午前問題（解答）

・午後Ⅰ問題

・午後Ⅱ問題


午前中の問題で何問か「こういう問題って、「テクニカルエンジニア（情報セキュリティ）」で必要なのかなぁ？」というのがありました。
午後Ⅰでは、（いまどき、ということで？）ボット対策の問題なども出てますね。

それから、「テクニカルエンジニア（情報セキュリティ）」としては、3回目にして最後の試験になりました。
来年からは、出題傾向も変わるのでしょうか。人気も出るのでしょうか。

新資格「企業情報保護士」

「企業情報保護士」という資格ができたようですね。

内容を見ると、情報セキュリティプロフェッショナル向けというより、情報セキュリティ推進担当とか、経理や法務の方向けという感じです。(CIO、CISO向けというには、内容的に足りなさそうです)

「個人情報保護士」の時にも思ったのですが、「これがないと、この仕事はできない」という資格以外に「士」って、つけていいんでしょうか？
（弁護士、会計士、税理士、行政書士…）

情報処理技術者試験、平成20年度春期応募者数速報

IPAのHP「平成20年度春期試験の応募者数速報」からです。

テクニカルエンジニア（情報セキュリティ）試験（SV）
2008年応募者数：22,739
2007年応募者数：24,477
増減：-1,738

初級システムアドミニストレータ試験（AD）は、-14,658と、かなり減ってますね・・・
今回減っているのは、この初級システムアドミニストレータとテクニカルエンジニア（情報セキュリティ）だけです。

来年の制度改正がありその影響も多少あるでしょうが、それにしても人気ないですね、情報セキュリティ。

新資格「CGEIT」続報

以前の記事でも書いた、注目の新資格「CGEIT」の続報です。
3/18の説明会には参加できなかったのですが、ISACA CGEIT委員会の増田さん(「情報セキュリティコンサルタントのお気楽Blog」のオーナー)から資料を送っていただきました。(増田さん、ありがとうございます)

それによると、CGEITの認定基準とドメインは以下の通りのようです。

●CGEIT一般認定基準
・CGEIT試験を受験し合格（CISA/CISMと同様のスキームと想定）
　200問、4時間の試験
・ISACA職業倫理規則の遵守
・CGEIT継続教育方針(CPE)の順守
・5年以上にわたる組織のITガバナンス実務経験
　2年以上は、2つ以上のドメインの直接的な業務経験

●専門領域(ドメイン)
Domain 1 - IT Governance Framework（ITガバナンスの枠組）
Domain 2 - Strategic Alignment（戦略との整合）
Domain 3 - Value Delivery（価値の提供）
Domain 4 - Risk Management（リスク管理）
Domain 5 - Resource Management（リソース管理）
Domain 6 - Performance Measurement（成果の測定）

ところで、日本語試験は2009年12月開始が予定されているようです。（私が受験するかどうかは、検討中です。とりあえず、英語試験は無理です・・・）

また、説明会の資料は近日upされるようです。

＜ご参考＞
●CGEIT委員会～ISACA

●「CGEIT説明会　開催しました」～情報セキュリティコンサルタントのお気楽Blog

新資格「Certified in the Governance of Enterprise IT(CGEIT)」

「情報セキュリティコンサルタントのお気楽Blog」のオーナー、増田さん（いつも、お世話になっております…）から1月にうかがっていたのですが、いよいよISACAの新資格「CGEIT」が創設されます。

3/18(火)に説明会があるようですね。残念ながら、私は行けそうにありませんが…

以下、ISACAのCGEIT委員会の案内から…

　この度、Information Systems and Control Association(ISACA)では、CISAとCISMに続く新資格制度として、Certified in the Governance of Enterprise IT(CGEIT)を創設致しました。CGEITは、ITガバナンスに関する専門の知識、経験、見識を有する人材を評価、認定するものです。我が国においてもJ-SOX法への対応等で、経営の重要課題としてのIT統制、ITガバナンスに対する関心が高まっています。ISACA東京支部も、ITガバナンスの専門家の認定を行う、この新資格制度の意義と重要性を十分に認識し、日本国内での普及促進を図っていくことになりました。そこで、東京支部内にCGEIT委員会を発足させ、活動を開始いたしました。

失効しても大丈夫?

昨日帰宅したら、財団法人日本規格協会(JSA)のマネジメントシステム審査員評価登録センター(JRCA)から郵便が届いてました。
中には「JRCA NEWS」という冊子が入っていました。
「ISMS審査員資格は、とうに失効しているのに、もらっていいのかな」と思いながら中を読んでみると、「一旦資格が失効しても、移行の条件を満たすことにより、新規登録として資格を復活することができます」との記述がありました。

JRCAの規程「審査員資格の復活申請」を見ると、どうやら私も差分研修を受講すれば、復活できるようです。
「へぇ、復活できるの？」と、ちょっと驚くやら、疑問に思うやら…
もう2年も申請料・登録料とも払ってませんし、書類も何も出してません。
（ちなみに、今回も何もしません）

とっくに失効と思っていても、それから何度も「まだ維持できる」という通知をいただき、さらには「復活できる」という通知をいただきました。
つまり、私のISMS審査員資格は「仮死状態」ってことでしょうか。（CISSPやCISAなどでは、ありえないことでしょうね）
いつまで、この状態は続くのかな。う～ん…

「情報処理技術者試験 新試験制度」最終報告

12/25にIPAのサイトで最終報告が公開されています。（パブコメは、相当多かったようですね）

・「情報処理技術者試験　新試験制度の手引」－高度IT人材への道標－の公表について

最終報告書における中間報告書との主な変更点は、

(1)新試験と現行試験の対応関係について、試験制度改正後も現行試験の合格者が適切に評価されるよう対応関係を明確に整理しました。

(2)平成21年度春期から、すべての試験区分を新試験制度で実施することとしますが、現行試験区分のうち、初級システムアドミニストレータ試験については、十分な周知期間の設定の要望等を踏まえ、平成21年度春期試験まで継続実施することとしました。

(3)ITパスポート試験について、試験の公平性を確保しつつ、確実かつ安定的にCBT方式による試験を実施するためには入念な準備が必要であるため、試験開始当初はペーパ方式で実施した上で、平成23年度を目途に本格的なCBT方式の導入を目指すことにしました。

(4)「共通キャリア・スキルフレームワーク」について、情報処理技術者試験とITSS、ETSS、UISSの各スキル標準との整合性を図る観点から詳細な検討を進め、「産業構造審議会人材育成WG報告書」に示された表の大分類・中分類・小分類（知識項目）に対し所要の変更を行い、特に組込みシステムに関する知識項目を多く追加しました。その他、人材像や出題範囲などの所要の修正を行いました。

だそうです。

試験の名称も「エントリ試験」は「ITパスポート試験」になりましたし、情報セキュリティも「情報セキュリティスペシャリスト試験」に落ち着いたようですね。結局は「プロフェッショナル」は、試験の名称には付かなかったようです。ある意味で妥当だと思います。

セキュアド、22000名

昨日、IPA（JITEC）から情報処理試験・秋期の合格発表があったようですね。
そして、いままでの受験者・合格者の集計がでていました。（こちらです）

それによると、情報セキュリティアドミニストレータは、今回の合格者2807名を加えて、22178名になっていました。
皆様、ご存知の通り、この資格はなくなってしまうわけですが、この22178名はどうにかならないのか、とまた考えてしまいました。
資格を名乗ることはもちろんできますが、時間が経てば情報セキュリティアドミニストレータという名前も知識も陳腐化してしまいます。
新たな資格もできますが、何も策がないと今までと同じことを繰り返していくことになるでしょう。

やはり、維持更新制は必要と思います。
CPE取得が大変だ、ということになってくるのでしょうが、そうして知識やスキルの維持ができるのであれば、やはり必要です。
そして、CPE取得の機会は、ホルダーどおしのコミュニケーションの機会でもあります。
いろんなセミナーやイベントが増えれば、CPE取得が苦労ではなく、楽しみになるようになるのでは、と考えております。

「情報処理技術者試験新制度案」その5・一生ものの資格？！

「情報処理技術者って、一生ものですからね！」
いままで「情報処理技術者資格の最大のメリットって、何だと思います？」という質問をしたときに返ってきた回答です。
たぶん、これはTOP3に入りますね。（集計は、取ってないけど･･･）
※ 私が情報処理技術者資格ホルダーではないので、ホルダーにそのメリットを聞いてみたのです。

「じゃぁ、他の2つは何ですか」って？

私の経験と記憶からすると、
・国家資格（そう呼んでいいのか？という疑問が個人的にあるが）だから
・報奨金などの一時金があるから
ですね。

このシリーズのその3で書いた「取らなきゃ良かった」って方の中でも何人かの方が「一生ものだったはずなのに･･･」と、コメントされてました。

情報セキュリティ、情報通信分野（だけではないけど）のような、技術や環境変化の激しい分野で、このような考え方が定着してしまっていたということでもあるわけです。

技術の陳腐化が早いのなら、スキルの陳腐化も早いわけです。
ということで「維持更新制」は、やはり必要です。

「情報処理技術者試験新制度案」その4・スキルスタンダードを考える

今回の改正では、3つあったスキルスタンダード（ITSS、UTSS、ETSS）を1つにまとめるということになっています。
そこで、「ユーザー向け資格」（初級シスアド、上級シスアド、セキュアド）というものがなくなるということになっていうわけですね。

実際にSIやベンダーからユーザー企業へ移籍する方も多くなっていますので、これはこれでいい考え方なのかもしれません。

ただ、ここで気になるのが「スキルスタンダード」という考え方自体のこと。
キャリアが多様化しているのですから、スキルも多様化しているはずです。
この「スキルスタンダード」がベースライン的なもので、そのような多様化に対応しうるものであるならば、その意味はあると思います。
ですが、この「スキルスタンダード」は、そのあたりが考慮されているように見えません。
またスキルは段階的に示されていて、しかも上位のレベルは達成が困難といわざるを得ない内容（成熟度モデルなら「要求特質」といいますが）で、結果的にほとんどの人が中央（レベル3～4）に位置するものになってしまっています。
（ここをベースラインにすれば良いのかも…）

そうなると、結局は同じようなレベルの同じような人を育成するものにしかならない気がします。だったら段階的に示すのは、スキルではなくキャリアパス（モデル程度でしょうが）や人材像でよいのではないかと、個人的には考えております。

「情報処理技術者試験新制度案」その3・取らなきゃ良かった…

諸事情ありまして、このところ更新のペースが落ちています。
しばらくはこのペースになりますが、更新はしていきますので、何卒ご承知おきください。

さて、「情報処理技術者試験新制度案」の続きです。
今日は、その3ということで（私がパブコメにも書いた）「維持更新制」について（Part1、ってことになりそうです）です。

この話をしていると、時々出るコメントとして「（SUやSVを）取らなきゃ良かった」「取らなくて良かった」というのがあります。
つまり「なくなっちゃう資格なんですよね」ということです。「取ったばかりで、いきなり過去のものになるなんて…」と言っている方もいらしゃいました。
つまり、この制度は「下位互換」がありません。テクニカルエンジニア（情報セキュリティ）を取った人も、情報セキュリティ青d身に巣トレータを取った人も、情報セキュリティプロフェッショナル（仮称）資格が欲しければ、受験しなおしです。

これについては「維持更新制」も関係していますね。
「維持更新制」がないから問題になるのか、「維持更新制」がないからこんな制度改正ができるのか…
どちらにせよ、「維持更新制」がない限り、この問題と不安はいつまでもついていきます。

「取らなきゃ良かった」「取らなくて良かった」というコメントが方々ででるような制度は成功とはいえないはずです。
制度改正の目的に「受験者離れに歯止めをかける」というものがあると聞いていますが、逆効果を生みかねない（むしろ、そっちのほうが大きい？！）と思います。

続きは、また次回（以降）。

「情報処理技術者試験新制度案」その2・何のための人材像？

「情報処理技術者試験新制度案」の続きです。
今日は、その2ということで（私がパブコメにも書いた）「各府省庁（NISC、経済産業省、総務省など）が示している育成が必要とされる人材像との整合」についてです。

この報告書案で書かれているスキルや人材像が、日本国の政策や戦略と合っていないのです。
内閣官房情報セキュリティセンター（NISC）では「人材育成・資格制度体系化専門委員会報告書」で情報セキュリティに係る人材像を示していますし、経済産業省では「グローバル情報セキュリティ戦略」で、情報セキュリティ人材像をしめしています。
そして、内閣官房IT戦略本部の「IT新改革戦略」では、IT人材像を示しています。
さらに、総務省では「u-Japan政策」でICT人材像を示しています。

つまり、これらと「情報処理技術者試験新制度案」での人材像や要求されるスキルに乖離があるわけです。
政策や戦略を推進や実行できる人材（すべての人材がそうである必要はありませんが）が育たないような制度設計（少なくとも私にはそうとしか見えない）で、いったいこの先どうするのでしょうか。
そうなると、この制度でいくら人材を育成しても、ICT先進国にも情報セキュリティ先進国にもなれないことになります。
ICT先進国にも情報セキュリティ先進国にもなれない国は、将来も経済先進国であり続けられるとは思えません。

ですから「情報処理技術者試験制度を改革する」ことが、目標や目的であってはなりません。あるべき目標や目的はそれではないはずです。
この一番重要な課題が、置き去りにされています。

続きは、また次回（以降）。

「情報処理技術者試験新制度案」その1・パブコメはどこに？

「情報処理技術者試験新制度案」についての続きです。
たぶん、何度かに分けて私の意見を書くことになります。
今日は、その1ということで。

このブログの4/26の記事「情報処理技術者試験制度とITSSの改革、最終報告案」で、「産業構造審議会情報経済分科会情報サービス・ソフトウェア小人材育成ワーキンググループ報告書」に「課題の積み残しが多い」と書きました。

この時点では、「案」でパブコメを募集し、それを反映し7/20に報告書として公開されました。
私も某団体を通して上記の「課題の積み残し」も含めたコメントを入れたのですが、それはまったく反映されいないようです。（その理由も発表がないので、よくわからない）
というより、「案」から「報告書」への変更点（つまりパブコメの反映）はほとんど見当たらず。
（もちろん、コメント入れたのは、私だけではないはずです）

今回の「情報処理技術者試験新制度案」は、この報告書に忠実に作成されているわけですから、そういう意味では「いい出来」と言えましょう。
ですが、パブコメはほとんど反映していないのですから、少なくとも私が指摘していた「課題の積み残し」はそのままということ。
これは、持ち越したのか、解決する必要のない問題と受け取ったのか、それとも…

ちなみに「維持更新制の導入」とか「各府省庁（NISC、経済産業省、総務省など）が示している育成が必要とされる人材像との整合」などなんですが…

う～む、続きは次回。

情報処理技術者試験新制度案、合格証書に点数を表示？！

日経ITpro9/7の記事「「合格証書に点数を表示」、09年開始の情報処理技術者試験の案が公開」、「新試験の全面実施は2009年春から---情報処理試験改革でIPAが中間報告」からです。

まず情報処理技術者試験の新制度案が、ついにというかやっとというかIPAのサイトで公開されています。

中身はこれから詳しく見てみますので、後日もう一度ここでコメントを書くことにします。

その中で、新設される「エントリ試験」については、

エントリ試験の内容は大きく3つに分かれる。(1)経営戦略、システム戦略、法務などを対象にする「ストラテジ系」、(2)プロジェクトマネジメントや調達マネジメントなど「マネジメント系」、(3)ソフトウエアやハードウエア、データベースなど「テクノロジ系」である。これらを合わせて100問出題する。

　エントリ試験の合格証書には得点を記載する。合否を判定する国家試験としては珍しい。民間の英語検定試験のように企業が点数を評価する位置付けにする意図とみられる。また、3分野でバランス良く知識を得るようにする狙いから、「3分野それぞれで30点以下は不合格にするといった案を考えている」（澁谷センター長）という。

　広く試験を展開するといった狙いから、パソコンでテストを受けられるCBT（コンピュータ・ベースト・テスティング）の導入を予定している。08年秋に、紙によるテストを試験的に開始し、09年春にCBTを導入する見込みである。

という制度にするようです。
合格・不合格の評価水準の設定はさておき、点数を表示する意味が本当にあるのかというのが疑問です。

ここで引き合いに出している英語試験（TOEICとかのことですね）というのは、試験が1通りしかなく点数を出さないと知識レベル判定ができないから、そのような仕組みが必要なのですよね。
しかし、この試験制度の場合には、そもそもいくつかのレベル分けがあり、その中で知識レベルは評価できるはずです。またもっとも低いレベルのエントリー試験で、それを実施する意味がありません。もっとも高いところでするなら、まだ理解できますが…

う～ん…

CISA、CISMのIDカードとバッジ

このようなものがあることは、某CISAホルダーから聞いていて知っていたのですが・・・
実物の画像が、増田さんのブログ「情報セキュリティコンサルタントのお気楽Blog」の記事「登録証あれこれ」に出ておりました。

CISA、CISMのIDカードはプラスティック製で、1年ごと更新なのですね。
CISSPは、紙製で、3年ごと更新です。（ご存知なかった方、がっかりしないでください）

バッジは「CISA」「CISM」って、そのまんまなのですね。
わかりやすいですが、もうちょいデザイン性が欲しい気もします。

増田さんは記事で「正直言って着ける機会が少ない」と書かれています。
私はCISSPバッジをつける機会が、それなりに多いですね。
レビューセミナー、体験セミナー、CISSPフォーラムあたりで、ですね。

CISSPの認定証とIDカード、バッジの画像については、tksmsmyuさんのブログ「目指せ！SS」の記事「CISSP認定証」と「CISSPの襟章」をご覧ください。

運営機関によって、いろいろと違うということが（いままで以上に）わかりました。

情報処理技術者試験「ストラテジスト試験」、2008年秋開始

8/3の日経ITproの記事「CIO向け国家試験「ストラテジスト試験」が2008年秋にも」 からです。

まず、この試験は、

・経営とIT（情報技術）」について深い理解を持ち、企業などのCIO（最高情報責任者）やそのスタッフ、将来これらの職務を担う人向けの試験
・ストラテジスト試験は、基本戦略系、すなわち新たなビジネスモデルの創出や業務効率化、内部統制の強化などのビジネス戦略を担う人材向けの試験

という位置づけだそうで。

で、試験の範囲は

詳しい出題範囲は今後詰めるが、「データベース」「セキュリティー」などの技術的な知識から、「プロジェクトマネジメント」「調達マネジメント」といったプロジェクト運営に必要な知識、「組織論」「企業会計」「知的財産権」「サプライチェーン・マネジメント」などの経営知識までを幅広くカバーする予定

目の付け所は良いと思うのですが、果たして対象と想定している層が本当に受験者層なのか、（何度も書いてますが、今度こそ）維持更新制は導入するのか、の2点がとても気にかかります。（たぶん、ほとんどの企業のCIOは受験しないと思います。受験するとしても「スタッフ」のほうでしょうね）
そこをはずしてしまったら、せっかく始めても目的は果たせないわけですから・・・

「CISA試験ガイドブック&問題集」

週末に紀伊国屋書店で見つけました。
いつの間にか出ていたんですね。（7/20店頭らしい）

「CISA(公認情報システム監査人)試験ガイドブック&問題集」

●内容紹介
米国の情報システムコントロール協会(ISACA)が認定する国際資格を紹介する書籍です。日本版SOX法導入に伴い、情報系の内部監査人の能力を証明する試験として、当社既刊のCIA(公認内部監査人)とともに関心が高まっています。本書は、このCISA試験合格のメリット、勉強方法を紹介した後、項目(ドメイン)別の出題のポイント、例題を学習していく構成になっています。

「もしや」と、増田さん（ISACA理事）のブログを覗きに行ったら、やはり載ってました。（さすが・・・）

内容的には、170ページほどでCISAの各ドメインの要点が例題とともに書かれています。
これだけで学習し受験するにはつらいでしょう。
やはり「CISAレビューマニュアル」での学習が必要でしょうね。
そのうえで、この本でまとめかな、という感じです。

ちなみに私はこの書籍は手にとりましたが、購入していません。
今のところ、CISAの受験予定がないので。（受験することになったら、購入して学習します）

合格率100%の教育と資格？

つい最近のことですが、某NPOでのセキュリティ教育の調査で「NISM（ネットワーク情報セキュリティマネージャー）」の、以下のホームページを見ておりました。

・資格体系/カリキュラム

そこを見ると、資格体系と合格率が以下のように出ています。

●NISM資格体系と合格率
・ネットワークセキュリティ基礎：100%
・ネットワークセキュリティ実践：99.4%
・サーバセキュリティ実践：98.9%
・不正アクセス監視実践：100%
・セキュリティポリシー実践：97.8%
・セキュリティ監査実践：100%

このページによると、NISMとは、

ネットワーク情報セキュリティマネージャー（略称：NISM）は、ハッカーやサイバーテロの脅威に対処し、情報通信ネットワークの安全性・信頼性を確保するために、情報通信サービスを提供する事業者に配置する専門家を育成することを目的として創設されました。主催団体が実施する資格認定のための講習(認定講習)を受講し、一定のレベルに達すると、有資格者として認定されます。

ということなのですが、「合格率100%で『専門家』と呼んでいいの？」というのが疑問であり、気にかかりますね。
資格というのは「その人に必要な役割や能力があると求められれば認定、認証する」というもので、難易度とか合格率が重要なのではない、というのが私の持論です。（「難易度が高い、合格率が低い＝資格としての価値・有効性、ではない」ということ）
しかし「本当にこの教育で育成でき、認定、認証してよいのか」はどうなのでしょうか。

それからもう1点、この教育と資格が主催団体の会員に限定されていることも気にかかります。
そのようなあり方（クローズな方針）で、いいのでしょうか。

NISM推進協議会の方などと、一度伺ってみたい気がしています。

テクニカルエンジニア（情報セキュリティ）が1788名誕生

6/11にテクニカルエンジニア（情報セキュリティ）の合否が発表されていますね。(こちらです)

今年は、14,649名（申し込みは、24,477名）で、合格者は1,788名、合格率12.2%でした。
ちなみに昨年は、18,128名（申し込みは、29,403名）で、合格者は1,227名、合格率6.8%でした。
すなわち、累計で3,000名を超えた（3,015名）わけですね。

またまた、ちなみに情報セキュリティアドミニストレータは、累計で19,371名です。
ということは、情報処理技術者試験だけで、（重複がどれくらいあるかは不明ですが）延べおよそ22,400名の「情報セキュリティ技術者」を養成（正確には「認定」）したことになります。
でも、「情報セキュリティ技術者」は質・量ともに不足している、ってことです。

だいたい、延べおよそ22,400名の認定者は、情報セキュリティの「現場」で活躍できているのでしょうか。
だとすれば、情報処理技術者試験の認定資格だけでできているうでしょうか。
そのあたりの有効性も知りたいところです。

延べおよそ22,400名の「情報セキュリティ技術者」がいて、2つの資格体系が運営されていて、それでも、「情報セキュリティ技術者」は質・量ともに不足している。
その原因は何なんでしょうか？そして、その解決策は？
このあたりの検討なくして、IT人材（「ICT人材」とか、「情報セキュリティに係る人材」と言い換えたほうが良いかもしれません）の育成や活用は実現しませんね。

で、どうすんだろう？この制度の改革は？（こちらとこちらを、ご参照ください）

＜参考情報＞平成19年度春期試験までの統計情報

情報処理技術者試験制度とITSSの改革、最終報告案

日経ITproの記事「情報処理試験制度やITSSはこう変わる！人材育成WGの最終報告案まとまる」からです。

何度かこのブログでも取り上げた（こちらとこちら）、情報処理技術者試験制度とITSSの改革について最終報告案が出たようです。（5/21まで、パブコメ募集）

・「高度ＩＴ人材の育成をめざして（案）」に対する意見募集について

ここでは（1）情報処理技術者試験の意義・役割（官民の役割分担）、（2）試験制度改革のあり方、（3）ITSSと試験の整合性確保、（4）3つのスキル標準（ITSS、ETSS、UISS）の整合性確保、（5）産学官連携施策のあり方、という5項目について取り上げられています。

複数乱立だったスキル標準も一本化のようで。

現在の情報処理技術者試験の下のレベルとして「エントリー試験」というものを作ってCBT（コンピュータ試験）化する、など新たなアイディアが加わっています。現在の試験は「基礎試験」「ミドル試験」「高度試験」という呼び方になるようですね。

よく読むと課題の先送り・積み残しが多いような・・・
ちなみに「更新制」も先送りにされたようです。（かなり重要で緊急の課題だったはずですが）

これでいいのかぁ～？（相当いろんなコメントが寄せられるだろうなぁ）

情報処理技術者試験、情報セキュリティ人気なし？

IPAから「平成19年度春期情報処理技術者試験の受験状況（速報）について」がプレスリリースされています。

　IPA 情報処理技術者試験センターでは、経済産業省の国家試験である「情報処理技術者試験」の平成19年度春期試験を2007年4月15日（日）に実施しました。「平成19年度春期情報処理技術者試験」の受験者の総数は174,854人でした。
　前年同期に比べ、テクニカルエンジニア（情報セキュリティ）試験を除く全試験区分で受験率が上昇、全体の受験率も上昇しました（前年同期63.8%→65.8%）。
　入門的な試験の内、利用者側の初級システムアドミニストレータ試験の受験率は、71.5%と前年同期（70.3%）に引き続き70%以上を維持し、開発者側の基本情報技術者試験の受験率（前年同期66.9%→69.4%）は、2.5ポイント上昇し、約70%の水準となりました。
　テクニカルエンジニア（エンベデッド）試験は、応募者について増加の傾向（前年同期4,913→5,420）があり、受験率も大きく上昇（前年同期63.5%→68.2%、4.7ポイント上昇）しています。

ということで、テクニカルエンジニア（情報セキュリティ）は受験者は減るわ、受験率も下がるわ、で散々な感じです。
それでも、14.741名が受験しているわけですから、他のテクニカルエンジニア（データベース、システム管理など）と比較すると絶対数は多いんですね。
（詳細は、こちら）

ところで、このプレスリリースは何が言いたいのでしょう。
数字は事実として「受験率が上がったから、どうなの？」と、ツッコミたくなります。
このプレスリリース文だけ読むと、いいことの報告みたいに見えますが、IT技術者が不足しているのに、受験者数は24,000名以上も昨年から減っているのですから、この試験の本来の目的やIT人材育成の目標などから考えると、分析の方向や出すべきコメントが違うと思うのですが・・・

情報処理技術者試験でしたね・・・

今日（正確には、昨日4/15）は情報処理技術者試験でしたね。（私は今年も受験していませんが・・・）
ネットで記事検索をすると、この試験の受験者の方ばかり。

アイタックあたりでは、もう午後の解答例も即日で出てましたね。

受験された皆さん、お疲れ様でした。

受験者数は減っているとはいえ、まだこれだけ多くの方が受験しているんですから、皆さんのその努力に報いるためにも、情報処理技術者試験制度の改革は進めないといけないのですが・・・

その後、ほんとにどうなってんの？どうすんの？（特に「更新制」について）

※ この件は、こちらをご参照ください。
・このブログの記事：12/14「情報処理技術者試験改革のゆくえ」

・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ（第１回）
議事要旨　配布資料

・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ（第2回）
議事要旨　配布資料

・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ（第3回）
議事要旨　配布資料

・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ（第4回）
議事要旨　配布資料

・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ（第5回）
議事要旨　配布資料

・経済産業省「産業構造審議会情報経済分科会情報サービス・ソフトウェア小委員会人材育成ワーキンググループ（第6回）
議事要旨　配布資料

この話題については、またいづれ書きます。（例によって、「なるはや」で！）

公認情報セキュリティ監査人資格制度が改正

昨日、JASAのHPで「公認情報セキュリティ監査人（CAIS）資格制度が改正されます」
ということで、公開されています。

私もこの資格制度に（も、か・・・）、関わっております。

以下は、日本セキュリティ監査協会(JASA)からの案内です。

「情報セキュリティ」の実施状況を公正・公平に評価する「情報セキュリティ監査」の重要性が飛躍的に高まりつつあるという認識のもと、「公認情報セキュリティ監査人」の資質を向上させ、またより多くの方に当資格にチャレンジしていただくことを可能とするため、以下の制度改定を2007年４月に実施(施行は5月)行います。

(1) 情報セキュリティ監査人補(以下「監査人補」)の 「専門分野」要件の見直し

　これまで、監査人補の資格申請要件として、「情報技術分野で少なくとも４年以上」 等の条件を求めていました。
　しかしながら、「情報セキュリティ監査に関するOJTを経ながらさらに上位の資格を目指す」という監査人補の位置づけを再認識した結果、当要件を廃止することとなりました。

(2) 試験の見直し
：「小論文試験」の①「トレーニング修了試験」、②「監査経験確認試験」への再編

　  監査人補、公認情報セキュリティ監査人(以下「監査人」)、公認情報セキュリティ主監査人（以下「主任監査人」）、とも同一の「小論文試験」（制度に関する基礎知識と経験の両方を問う）の合格が要件とされていました。
　  今般、各資格の区分に応じて、要件とする試験を見直すこととしました。

①「トレーニング修了試験」
   情報セキュリティ監査制度の基本知識を問う試験です。
　（現在の小論文試験の【問１】を踏襲し、基礎知識を多角的に問う試験としました）。
　 当試験の合格が、監査人補、監査人、および主任監査人のいずれの資格申請に求める共通の要件となります。

②「監査経験確認試験」
　監査人、および主任監査人志望者の、「監査経験」を問うための試験（現在の小論文試験の【問2】に相当）です。
　当試験の合格をこれら2資格に申請する際の要件となります。

大きな改正点は、以下の2点です。

・監査人補の資格要件のうち、業務経験が不要となりました。
（従来は、情報通信分野で4年以上、情報セキュリティ分野で2年以上の業務経験が必要でした）

・小論文試験が、「トレーニング修了試験」「監査経験確認試験」の2つに分かれました。
従来は、監査人補でも小論文試験の受験が必要でしたが、新制度では「トレーニング修了試験」という記述式試験だけを受験すればよくなりました。
監査人及び主任監査人を受験したい人は、「監査経験確認試験」という従来の小論文試験も受けなければなりません。

エントリー条件が緩和され、受験の機会が拡大しました。今までこの資格の認定要件に合わなかった方も、この機会に検討してみてください。

情報処理技術者・平成19年度春期試験応募者数速報

IPAのHPで情報処理技術者試験の「平成19年度春期試験の応募者数速報」が、3/15に公開されました。

他の試験はさておき、情報セキュリティはどうかな、と見てみると・・・

●テクニカルエンジニア（情報セキュリティ）試験（SV）
　今回応募者（2007年）　24,476
　前回応募者（2006年）　29,403
　増減　-4,927

全体で、-24,669だそうです。

減少の理由は、推測ですが
・IT業界の不人気（参考記事は、こちら）
・情報処理技術者試験離れ
ではないでしょうか。

ということで、どうなってんだろう、情報処理技術者試験の改革は・・・（参考記事は、こちら）

締め切り、過ぎちゃった

締め切り、過ぎてしまいました。
といっても、現在執筆中の原稿のことではありません。
情報処理技術者試験のことです。（昨日2/20の20時が、申し込み締め切りでした）

まず「えっ、受ける気あったの？」と突っ込まれそうですが・・・
すいません、そんな気は全くありませんでした。

ということで、今年も「確信的な見送り（常習犯）」です。

受けない理由としては、「使い道がわかりません」ということです。
あるとすれば、講師になるということくらいでしょうか。

そういえば、昨年も同じようなこと書いていたなぁ。
（くわしくは、先代ブログの記事「情報処理技術者試験、見送り」を）

もし受けるとすれば、
テクニカルエンジニア（情報セキュリティ）

システム監査技術者
のどちらかでしょうけど。

そういえば、情報処理技術者試験制度見直しの件、どうなってんだろう？
（こちらは、このブログの12/13の記事「情報処理技術者試験改革のゆくえ」を・・・）