情報処理安全確保支援士になった

サムネはリスです。RISS(Registered Information Security Specialist)です。

なりました。

情報処理安全確保支援士検索サービス

IPAのサイトにも載ってます。

今年の4月に実施された試験を受験、2ヶ月後の6月に合格発表、そこから登録受付期間を経て今日10月1日無事に情報処理安全確保支援士になりました。長い。長いので以下支援士と書きます。

(補足: 試験に合格した段階では支援士になる権利だけを持っている状態なので、登録申請をしないと支援士を名乗ることはできません。支援士でないものが支援士を名乗ると逮捕されてしまうため気をつけましょう。)

取ったよ〜とドヤ顔して終わってもいいのですが、せっかくなので受験した所感とかを書き記しておこうと思います。

前述の通りすでに受験から半年経っているので色々記憶は朧げなのですが…

---

前提として私の普段の業務はセキュリティ分野を専門としているわけではなく、Webアプリケーションのサーバーサイドやフロントエンドの実装をしていることが多いです。

この資格の対象者は以下のようにIPAのサイトに記されています。

サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者

https://www.jitec.ipa.go.jp/1_11seido/sc.html より引用

この内容を読むと、どちらかといえば自分のようなエンジニアをターゲットとしているというよりは、アーキテクト的な人だったりセキュリティの専門家として活動している人がターゲットになっているように思えます。

しかし、セキュリティの専門家として仕事をしているわけではないという前提のもと考えても、今回資格勉強をした意味があったのではないかと思っています。

文章は苦手なのですが、なぜそう思うのかを少し書いてみようと思います。

IT系の資格というと、AWSやGCPなどのクラウドベンダがやっている認定試験など、より実務に近く、すぐに仕事へ活かしやすいように思えるものもたくさん存在しています。

また、Web系の企業ではIPAがやっているような情報処理系の資格の保有に関しては、採用の際にプラスに作用することはあまりないように感じます。もちろんマイナスってことはないと思いますが…。（補足：自分は今の勤務先含めエンジニア採用に関わったことはないため、求職者として感じた印象でしゃべっています。実際は多少プラスに働く場面もあるのかも。）

それ故に、特にWeb系の人間にはクラウドベンダがやっているような資格試験の方が人気なように感じます。

自分は残念ながらそちらの資格は一つも保有していないので、どちらを優先して受けるべきとは言い難いのですが、支援士試験に関してはセキュリティ領域に関して、基礎的なところから最新の傾向までをうまく抑えた試験内容になっており、一般のWebアプリケーション開発者も知っておくべき知識をしっかりと抑えられる試験であると思います。

（むしろ試験内容がWebに偏りすぎていて、試験当日のTwitterではWeb系ではないITエンジニアの方の阿鼻叫喚を目にするほどでした）

例えば、自分が受験した今年の春期試験の午後問題では、SAMLを用いた認証・認可フローに関する知識を必要とする問題や、実際に脆弱性があるアプリケーションの例が提示され、改修方法について答える問題などが出題されました。

これらの話題は、自分のような一般開発者も必ず知っておくべき内容を含んでいると思いますし、内容が古くて実務に役に立たないということもないと思います。

また、これ以外にも、脆弱性のある機器からネットワークに侵入されたケースなどが示され、原因特定・改修を行うための方針を示す問題などが出題されることも多く、こういった問題を解くためにはネットワークに関する理解やプロトコルに関する理解、主要な攻撃手法に関する知識など広い範囲の知識を要求されるため、自分の知識の薄い領域を再認識することができました。

ここまで書いてきたように、セキュリティ分野は総合格闘技的な側面があるので、独学で学ぼうと思ってもどこから手をつけたらいいのやらとなりがちだと思います。そのとっかかりとして勉強するには程よい難易度であり、程よいカバー度合いだと、無事取得した今となっては感じています。

そんなこんなで、試験勉強はそこそこ大変でしたが、取得した今となっては大変満足しています。

ちなみに、支援士試験に合格し、支援士となるためには登録料や免許税などで受験費用とは別に2万円前後の費用がかかる上、取得後は資格を更新するための講習費用でさらにお金がかかるそうです。
なので、単純にセキュリティの勉強をしたいだけであれば、支援士試験だけ受けて登録しないという方法でも良いと思います。

支援士になったからといって何かが変わるということはないのですが、これからも研鑽を続けて、安全なアプリケーションを作る手助けができるようになっていけたら良いなと思っています。

おしまい