「情報処理安全確保支援士」に対し大手ベンダーは消極的 48
ストーリー by hylom
海のものとも山のものともつかぬ 部門より
海のものとも山のものともつかぬ 部門より
あるAnonymous Coward 曰く、
先日登録受け付けが開始された新資格「情報処理安全確保支援士」だが、これに対し大手ベンダーは消極的な姿勢を見せている。日経SYSTEMSの調査によると、大手ベンダーはこの資格への対応としてまだ「検討中」や「様子見」というところが多いようだ。
野村総合研究所やラックは登録料、講習料を会社が負担する方向で検討しているようだが、いっぽうで情報処理安全確保支援士でないと従事できない業務というものはないため、ビジネス面でのメリットが分からないという声が出ている。また、「登録することにより、情報を漏えいした場合に本人に刑事罰が科せられる」というデメリットについて懸念している企業もある。この資格に対する業界的な評価も現時点では微妙という背景があるようだ。
一度登録すると一生背負うリスク (スコア:5, 興味深い)
情報処理安全確保支援士に登録すると、秘密保持義務が一生付きます。
期限が切れて支援士でなくなった後も付きまとうわけです。
業務上知りえた秘密を漏らしたり、盗用したりすると禁固刑もありえる刑事罰を喰らう可能性があります。
それなら義務を破らなければいいじゃないって思うかも知れませんけれど、業務で関わった会社や職場から訴えられたらヤバいです。
顧客や職場、あるいは同僚と生涯にわたって良好な人間関係が保てるのなら良いですが、何かで揉めたときに意趣返し的に訴えられる恐れがあります。
登録したが最後、自分の心臓や脳みそを顧客や同僚、上司に握られているようなもの。
もともと知っていた知識や情報でも、相手が秘密であったと主張すれば自分では使えなくなります。
会社を辞めて転職や独立したときに、もともとの職場から刑事告訴を受ける可能性が高いでしょう。
支援士である間に携わった業務の知識は全て捨てる、そういう覚悟をもって登録しましょうってことですね。
Re:一度登録すると一生背負うリスク (スコア:5, 興味深い)
ソースはWikipediaですが、守秘義務 [wikipedia.org]によると:
それで、医師、弁護士などの場合、「6月以下の懲役又は10万円以下の罰金」で、国家公務員・地方公務員が「最高1年の懲役又は最高50万円の罰金」、この情報処理安全確保支援士も公務員並み。免許でもないのに、なんで医者や弁護士より高いんだろう。こんな責任を負わされるのはたまらない。
Re: (スコア:0)
ハイリスク ノーリターンってことですね
# ノータリーン
Re: (スコア:0)
士農公商犬IT ですな。
Re: (スコア:0)
何言ってんの、免許だよ、これ。
無責任に「セキュリティが~」って語らせないための資格。故に義務も負う。
ただ義務の見返りの便益が一切ないってだけ。
それと守秘義務なんて情報処理安全確保支援士云々以前に何らかの機密に触れる職種なら発生する代物。
その手の契約は資格と関係がなく珍しくもない。
要するに、これは問題が起きた時に責任を負わせる贄を作ろうって話。
本気で情報保全なんて考えているとは思えない。役人の自己保全なら考えているでしょうけれど。
なので、そのうち公的な案件なんかは必須になるでしょう。
しかし、リスクを検討してどうこう出来るのが「情報処理安全確保支援士」が持つ能力ってんだから、
例えハイリターンだとしても、利益に眩んで申請しちゃいけないんじゃないかな。
申請した段階で「情報処理安全確保支援士」名乗る資格なんてない気がする。
一応申請対象者だけど申請する気にはなれない。
Re:一度登録すると一生背負うリスク (スコア:1)
「情報処理安全確保支援士」に登録していなくてもその可能性はありますよ。
ただし「秘密であったと主張」して相手に使わせなくするためには、事前にきちんと秘密保持契約を締結して禁止事項としておくか、不正競争防止法 [e-gov.go.jp]第2条第6項で定められている秘密管理性、有用性、非公知性という所謂「三要件」を満たした上で、相手が不正競争行為や営業秘密侵害行為を行っていることを証明する必要があります。
これはかなり高いハードルですが、逆にここまで主張されるような状況だと、「もともと知っていた」という漠然とした反論ではダメで、その情報を知る前に自分で独自に生み出した、あるいはその相手以外から入手していた、などの証拠を示さないと勝ち目はないと思います。
「情報処理安全確保支援士」に登録するメリットが薄いということ自体にはまったく異論ありませんが。
Re: (スコア:0)
その懸念もあるから申し込み少ないんでしょ。
脅しのネタを相手に作ってあげるようなもん。
公共案件の要件になったら (スコア:0)
誰も入札しないんじゃないかな
情報漏洩があったら全部そいつのせいにしようって魂胆だろ
Re: (スコア:0)
Gmailを使った奴が悪い
>>いいえ。Gmailを使える状態にした「情報処理安全確保支援士」が悪い
年金情報がセキュリティのルールを守ってない職員のせいで流出した
>>「情報処理安全確保支援士」が悪い
忘れ物をして機密情報を紛失した
>>「情報処理安全確保支援士」が悪い
議員がLINEを使っていたために防衛機密が他国に漏洩した
>>「情報処理安全確保支援士」が悪い
元請:「手配師に頼んでホームレスに情報処理安全確保支援士を取らせておけ」
医師や弁護士のように (スコア:1)
高収入が得られるとか、正当業務行為であれば傷害罪が免責される医師のように不正アクセス罪が一定の条件で免責されるとかあるならまだしも、ほとんどデメリットしかない罰ゲームのような資格を誰が取りたがるというのか
大手ベンダーはもっとメリットを強調すべき (スコア:0)
「うちでは資格保有者が○人いるので天下り役人の為に毎年○○万円お布施をしております」
これで役所がらみの仕事が取りやすくなるなら安いモンでしょ?
まして情報漏えいがあった場合に有資格者のクビを切った上で「会社も被害者なんです」と言い訳まで出来る。
# ところで一般的に情報セキュリティスペシャリスト試験ってセスペと略すの?
# タレコみのIT proの記事の脇にある「注目の書籍」の「絶対わかるセスペ」を
# 「絶対わかるセフレ」と空目しちまうのは俺だけなのかなあ?
Re:大手ベンダーはもっとメリットを強調すべき (スコア:1)
アルファベット二文字で略称をつけている模様。
https://www.jitec.ipa.go.jp/1_11seido/seido_gaiyo.html [ipa.go.jp]
そっちはまぁいいとして、
「情報処理安全確保支援士」の略称は「セキスペ」だって。
http://www.meti.go.jp/press/2016/10/20161021002/20161021002.html [meti.go.jp]
カッコ悪いね。
Re: (スコア:0)
経済産業省曰く
法律名:情報処理安全確保支援士
通称名:登録情報セキュリティスペシャリスト(登録セキスペ)
英語名:RegisteredInformationSecuritySpecialist(RISS)
http://www.meti.go.jp/press/2016/10/20161021002/20161021002.html [meti.go.jp]
Re:大手ベンダーはもっとメリットを強調すべき (スコア:5, おもしろおかしい)
キャメルケースが気持ち悪い。それなんて変数名? それとも、経産省には、英語の単語は空白で区切るという常識がないのか?
Re: (スコア:0)
コピペみすかと思ったらまじで空白無かったwww
あー経産省か。
英単語をキチンと書いて自分の懐が暖まるならやるよ。
Re: (スコア:0)
セッ〇ススペシャリストと思った層からの応募が多発すると
自己PRがカオスになりそう
Re: (スコア:0)
Re: (スコア:0)
逆なんじゃない?
建設関係とかの発注は資格でガチガチですよ。
経済産業省も国土交通省みたいな資格エコシステムで甘い汁吸いたくて、
支援士なんて資格制度作ったんだと思ってた。
Re: (スコア:0)
それ、資格持っている(業務命令で持たされた)社員にとってはまったくメリットないよね。
見直し不可避 (スコア:0)
元々この分野に興味ある人は既に有資格者で現状たった400人しか移行しておらず、今後この資格が人気出るかっていったらとてもそうとは言えない状況下で新規の受験者も期待できず、どう考えても3万人なんて夢物語。
ということで間違いなく値下げなり業務独占なり制度の見直しが来るでしょう。その時になってから登録すれば十分かと。
# 現登録者は新々資格に無試験で移行可、みたいになんか得点つくかもしれんけど。
Re:見直し不可避 (スコア:2, すばらしい洞察)
400人のほとんどがIPA関係者という説があります。
Re:見直し不可避 (スコア:1)
出題者は必ず全員申請登録するようにと定めてしまっていいんじゃないでしょうか?
// これがせんじうくわいし
Re:見直し不可避 (スコア:1)
官民あわせてって言うなら、PマークとかISMSとかの認証に、従業員の規模に応じて資格保有者が居ることを条件付ければいいんだよな
従業員100名以下なら1人でOKとか、1000人超えたら10人ぐらいは必要だよね、とか
Re:見直し不可避 (スコア:1)
官でも企業でもない労働組合みたいな組織も規模に応じて資格保有者を必須の条件
とするとさらに複雑怪奇なルールになって彩りを感じる。
// かけもちは可か不可かとかいろいろネタが生まれるはず。
Re:見直し不可避 (スコア:1)
> 官でも企業でもない労働組合みたいな組織も規模に応じて資格保有者を必須の条件
従業員ベースでみるなら、通常労働組合の従業員(労働組合自体に雇用されている人)は多くない(労組専従は通常企業でいうところの取締役クラスなので、ここでは労組の事務員なんかが従業員にあたる)
Re:見直し不可避 (スコア:1)
「情報処理安全確保支援士」にかかるコストを勘案して企業別組合に安住する
よりも産業別組合に統合した方がまし、という合意が取れるほどインパクトが
あるとおもしろいかも。
// 一国の労働者諸君、団結したまえ!
先ず隗より始めよ (スコア:0)
「隗」とは、中国の戦国時代の人物、郭隗のこと。
どうすれば賢者を招くこと(=新資格「情報処理安全確保支援士」が広く受け入れられる)ができるかと燕の昭王に問われたときに郭隗が、「まず私のような凡人を優遇すること(=新資格「情報処理安全確保支援士」所持者を官庁のシステム担当者の要件に定める)から始めて下さい。そうすれば優秀な人材が集まってくるでしょう」と言ったという、『戦国策・燕』にある故事に基づく。
Re:先ず隗より始めよ (スコア:1)
その故事を使うなら、
「まず「情報セキュリティマネジメント」試験合格者を厚遇で雇いなさい。
そうすればそれよりも上級の「情報セキュリティスペシャリスト」が増え、さらに支援士登録も増えるであろう。」
じゃないのかな。
日本は優秀な人材を低待遇で使い捨てるから人材が流出するうえに、後人が育たないんだよね。
Re:先ず隗より始めよ (スコア:2, 興味深い)
日本の場合、給与などの待遇ってのもあるけど、セキュリティ専門家の裁量が低すぎることが多い。
リスクの高い脆弱性を見つけても予算を理由に対策を先延ばしされるとか、セキュリティ対策の費用を「売上げの数字に直結しないから」と切り捨てる経営者とか。
所詮は雇われの社員ではそれに異を唱えられる権力はなく、しかしセキュリティの専門家という肩書きだけが強化された場合、何かあったら責任を被せられるのは火を見るより明らかだ。
(以前つとめてた会社で情シスやってたが、現状の問題点・リスクと改善のためのコストの要求を再三、上記のような事情で潰された挙げ句、いざセキュリティ事故が起こったら情シスに詰め腹切らそうとされた事案とか経験してきたし、今の同僚も似たような理由で転職してきてたりするから笑えねえ)
というか逆説的だが、上記のような事情を鑑みると、支援士なんざにホイホイ登録して自己の責任だけ重くするような馬鹿に、リスクマネージメントも要求されるセキュリティ云々が勤まるわけがないっていうのが現実じゃねーの。だからむしろ、今、情報支援士に登録して、それを売りにしようとしてるような奴は結構な割合で地雷が混ざってるんじゃねーかとも思う(会社に命令されたとか、きちんと権限を与えられてるとかのケースもあるから「全員がそうだ」などとは断じて言うまいが)
その原因ってところまで追及すると、Yahoo!BBにはじまり、富士ゼロックス、ソニー(SCE)等の「大手企業による数十・数百万件規模の大規模な個人情報漏洩事案」が、日本国内では数百円の金券とかで有耶無耶にされ、経営に致命的なダメージを与えてないってのもあるかもしれない(まあベネッセに関しては風評面でかなりダメージを受けて苦しくなってるようだが)
総じて、特に経営者に、そしてそれ以外の国民に対しても「セキュリティは無料じゃねえ、安全は金で買うものだ」って常識がもうちょっと浸透しない限り、資格だけなら兎も角、公的な登録までして何かするような支援士に未来なんてねーよ、と。
Re:先ず隗より始めよ (スコア:1)
なるほど。
支援士をとった人はリスクマネージメントが出来てないので、支援士たり得ないと。禅問答みたいですね。
これから社畜士と呼ぶということでどうでしょうか?
Re:先ず隗より始めよ (スコア:3, おもしろおかしい)
「公認スケープゴート」でいいんじゃね?
取らないほうがメリット多いとか (スコア:3, おもしろおかしい)
やっぱりサイバーノーガード戦法が最強なんだなあ。
Re: (スコア:0)
問題点や改善の提案をしても、ほぼスルーされてる状態なので、
偉い人が本気になるように、セキュリティ事故でも起こんないかなーと思いつつも、何も起きない。
やはり偉い人の判断は正しい!
Re: (スコア:0)
九条は憲法前文にあるように、外国が日本を守ってくれるのが前提だったから。ノーガードとはちょっと違うと思う。
Re:取らないほうがメリット多いとか (スコア:1)
「まだ」起きてないだけなんじゃないの?
ハインリッヒの法則なんてのもあるし、事故の原因になることは起きてそうだ。
Re: (スコア:0)
「サイバーノーガード戦法」と武力放棄精神は、武力(IT)による問題防止(および解決)でなく、第三者(国:民事法および刑事法)に問題防止(および解決)を任せる、という類似点があります。
Re: (スコア:0)
問題点や改善の提案をしても、ほぼスルーされてる状態なので、
偉い人が本気になるように、セキュリティ事故でも起こんないかなーと思いつつも、何も起きない。
やはり偉い人の判断は正しい!
それって、情報セキュリティ管理委員会(だっけ?)みたいなのの議事録に残させれば
経営幹部は責任逃れできないんじゃないんだっけ?
ま〜、現実には・・・・だろうけど。
Re: (スコア:0)
今日の朝日新聞一面すら「国連保護下も安全でない」だ。
「逆コース」だな。
Re: (スコア:0)
重大な事故が起きていても,気づいていないだけかもしれないし
Re: (スコア:0)
Yahoo!BBにはじまり、富士ゼロックス、ソニー(SCE)等の「大手企業による数十・数百万件規模の大規模な個人情報漏洩事案」が、日本国内では数百円の金券とかで有耶無耶にされ、経営に致命的なダメージを与えてないってのもあるかもしれない(まあベネッセに関しては風評面でかなりダメージを受けて苦しくなってるようだが)
先月、某レンタルサーバ事業者から「個人情報+クレジットカード番号漏洩してました、(*ノω・*)テヘ」ってメールが来たけど、数百円の金券すらなかったぞ。
Re: (スコア:0)
400人で東京以外で講習できるのか?
400人ぐらいなら税金で講習しようz
講習料金商法 (スコア:0)
ぶっちゃけて言えば講習料金商法でしょ。
合格後も定期的に入金が見込めて美味しいっていう。
アホらしくて付き合ってらんない。
Re:講習料金商法 (スコア:1)
話のタネに取っておこうかと思ったが、
講習料、高すぎなのでパス。
責任云々という話もあるが、今の立場だと関係なさそう。
一回くらい、名乗ってみたかったのですが、、、。
Re: (スコア:0)
日本以外の国で、似たような資格やそれに類する免許等はあるんでしょうか?
日本独自のもので有れば、いい加減ヤメナイカ?って思うのですけどね。
# 資格馬鹿は要らない
Re:講習料金商法 (スコア:1)
国家がではなく企業が
であればノベル、マイクロソフト、シスコ、S.A.P.
などいろいろいらっしゃると思いますが国が一枚噛んでいるのはあるのかなあ?
コやネの分野でなければあるかもしれませんね。
字面だとデスマーチ防止支援士にも見える (スコア:0)
「情報処理安全確保支援士」
・稼動の高いエンジニアに休暇をとらせる
・VDT作業は一定時間ごとに強制的に休憩を入れる
・発注元が事後に無茶な仕様変更をしようとすると怒ってくれる
・バグだ仕様だの口喧嘩の仲裁
・そうじのおばちゃんがコンセント抜かないように見張る
字面からするとこういうのだよね
厚労省がしっかりしてないから経産省で労働安全を見守る資格を作ったんだ
きっとそうだよね
IT業の持衰? (スコア:0)
情報技術の世界には、土方も居れば人柱の大役を果たすお方がいるのですね。
日本書紀を読むと、
昔の日本では、大型船を航行するとき、「持衰(じさい)」といって、
航海の無事をお祈りする特別な役目を持った人が乗り込んでいたそうです。
その役目の人は、髪もひげも伸び放題、蚤虱を駆除することを禁じられ、服は垢まみれ。
航行中に嵐に巻き込まれたら、その責任を取って殺して海に投げ込まれていたそうです。
ただ、その船が無事に目的とする港に着いたらば報奨が得られたそうですから、
IT関連における、まるで持衰のようなこの資格保有者とは比べ物にならない待遇差がありますね。
ヤマトタケルノミコトのお話にも出てくる乙橘姫もこういう役目を負っていたのかなとはおもいますが。