HOME»情報処理安全確保支援士掲示板»経済産業省の2月の登録セキスペの見直しに関する資料
投稿する
経済産業省の2月の登録セキスペの見直しに関する資料 [1846]
GinSanaさん(No.1)
★SC シルバーマイスター
※前回
経済産業省の11月の登録セキスペの見直しに関する資料 [1786]
https://www.sc-siken.com/bbs/1786.html
2025年02月07日に経済産業省 商務情報政策局サイバーセキュリティ課が
「第4回 ワーキンググループ2(サイバーセキュリティ人材の育成促進に向けた検討会)」
を出したのでちょっと読んでました。PDFで読めます。
→資料3 事務局説明資料
・・・・・・・・・・・・・・・・・・・・・・・・・・・・
今回はみなし受講くらいしかネタがないです。
P33
みなし受講の対象となる実務経験(法定の登録セキスペの業務)として求める要素
②法定の登録セキスペの業務って、法律で業務内容まで決まってたのですか?とか思いましたが、この先定義しないと話が進まないからなのでしょう、たぶん・・・。
P34
いまはリファレンスチェックみたいなのがそんなに流行りなのかというくらいにエンドーズメントに対する拘りが見られるのですが、法定業務として手間を押し付けてエンドーズメント(「実施した業務について、所属組織(独立系であれば顧客)からの証明」「役務提供された側(所属長や顧客)から実施業務の評価や推薦を提示」)をやってくれるようならいいんじゃないでしょうか、というところですね。セキュリティとかでいやだと言われたから出しようがないんですが、とかなるのが関の山、とならないことを願ってます。
経済産業省の11月の登録セキスペの見直しに関する資料 [1786]
https://www.sc-siken.com/bbs/1786.html
2025年02月07日に経済産業省 商務情報政策局サイバーセキュリティ課が
「第4回 ワーキンググループ2(サイバーセキュリティ人材の育成促進に向けた検討会)」
を出したのでちょっと読んでました。PDFで読めます。
→資料3 事務局説明資料
・・・・・・・・・・・・・・・・・・・・・・・・・・・・
今回はみなし受講くらいしかネタがないです。
P33
みなし受講の対象となる実務経験(法定の登録セキスペの業務)として求める要素
・支援士試験シラバスの小項目(ITスキル標準レベル4に相当するものとして記載)に該当すること
・支援士試験シラバスの小項目に該当するひとかたまりの業務
①義務講習(特定講習)として求める要素での6時間以上は、講習の受講時間に関し設定されたものであることを踏まえ、ひとかたまりの業務を実施したかを確認するそうなので、6時間潰すか6時間以上「ひとかたまりの業務」をこなすかでいったらそりゃあ6時間潰すほうがいいに決まっているのですが・・・。・支援士試験シラバスの小項目に該当するひとかたまりの業務
②法定の登録セキスペの業務って、法律で業務内容まで決まってたのですか?とか思いましたが、この先定義しないと話が進まないからなのでしょう、たぶん・・・。
P34
①シラバス小項目の該当性の判断
②業務実績を裏付ける証拠資料の提示
1. 対象業務の特定
⇔(具体例を提示する案に対し)例示通りに申請する者が現れる可能性がある
→領域ごとに具体例を示し、具体例通りの記載は認めないことを明示(cf:建築士の実務経歴証明書)
2. レベルの担保
所属長や顧客の署名入りとする
⇔書類審査で知識や技能の深度を見極めることは難しい
→業務内容をITスキル標準レベル4と紐づけ、具体例をもって明示(cf:技術士試験のように実務経歴証明書の提出を求め、口頭試験を行う方法も考えられるが、リソースと申請期間の問題で非現実的である)
3. 証明書
→申請書と申請内容を証明する書類を用意する(他資格でも必ずセットになっている)
→実施した業務については、所属組織(独立系であれば顧客)からの証明をもって信頼性を担保
4. 業務委託契約書
⇔申請者当人の担当領域が契約内容に織り込まれているケースは稀であり、証拠書類としての機能を果たさない
5. ログ(GitHub、業務システムの監査ログ、JIRAなど)
⇔証拠書類としての機能は果たしても、申請者当人が実行したかどうかは明確ではないため内容の評価は難しい
6. 成果物や報告書(セキュリティポリシー、監査報告、脆弱性診断など)
⇔機密性の高い情報が多いため対外的に情報を出せないか、仮に出せたとしてもマスキングが必要なため実現可能性が低い
7. 既存資格保有者によるエンドーズメント(承認)
⇔業務内容を正確に評価できる社内や取引先にスペシャリストがいるケースが全てではない
8. 役務提供された側(所属長や顧客)から実施業務の評価や推薦を提示してもらう
⇔申請者当人に見えない形で評価する必要があり、運用上実現可能性が低い
③第三者の確認
1. 認証機関の設置(経産省/IPA /支援士会/有識者/既存資格保有者によるエンドーズメント)
⇔現行の更新申請期限(更新の60日前)を前提とする場合、いずれの場合であっても、相当のコスト・時間がかかり、期限までの審査が間に合わないリスクが大きい
⇔また、申請者に対しても、早期の申請書提出を強いることになり、申請者の利便性を損なう可能性が高い
2. ランダムな精査(サンプリングチェック)
→申請事案の中からサンプル調査を行う
④虚偽申告に対するペナルティの導入
1. 罰則規定(資格取り消し、一定期間の業務停止、受験禁止などの措置)
→経済産業大臣の資格取消権(法第19条第2項)で対応可能
2. 申請者への宣誓書要求
→申請書に虚偽の記載がないことの宣誓同意文言の追加
②業務実績を裏付ける証拠資料の提示
1. 対象業務の特定
⇔(具体例を提示する案に対し)例示通りに申請する者が現れる可能性がある
→領域ごとに具体例を示し、具体例通りの記載は認めないことを明示(cf:建築士の実務経歴証明書)
2. レベルの担保
所属長や顧客の署名入りとする
⇔書類審査で知識や技能の深度を見極めることは難しい
→業務内容をITスキル標準レベル4と紐づけ、具体例をもって明示(cf:技術士試験のように実務経歴証明書の提出を求め、口頭試験を行う方法も考えられるが、リソースと申請期間の問題で非現実的である)
3. 証明書
→申請書と申請内容を証明する書類を用意する(他資格でも必ずセットになっている)
→実施した業務については、所属組織(独立系であれば顧客)からの証明をもって信頼性を担保
4. 業務委託契約書
⇔申請者当人の担当領域が契約内容に織り込まれているケースは稀であり、証拠書類としての機能を果たさない
5. ログ(GitHub、業務システムの監査ログ、JIRAなど)
⇔証拠書類としての機能は果たしても、申請者当人が実行したかどうかは明確ではないため内容の評価は難しい
6. 成果物や報告書(セキュリティポリシー、監査報告、脆弱性診断など)
⇔機密性の高い情報が多いため対外的に情報を出せないか、仮に出せたとしてもマスキングが必要なため実現可能性が低い
7. 既存資格保有者によるエンドーズメント(承認)
⇔業務内容を正確に評価できる社内や取引先にスペシャリストがいるケースが全てではない
8. 役務提供された側(所属長や顧客)から実施業務の評価や推薦を提示してもらう
⇔申請者当人に見えない形で評価する必要があり、運用上実現可能性が低い
③第三者の確認
1. 認証機関の設置(経産省/IPA /支援士会/有識者/既存資格保有者によるエンドーズメント)
⇔現行の更新申請期限(更新の60日前)を前提とする場合、いずれの場合であっても、相当のコスト・時間がかかり、期限までの審査が間に合わないリスクが大きい
⇔また、申請者に対しても、早期の申請書提出を強いることになり、申請者の利便性を損なう可能性が高い
2. ランダムな精査(サンプリングチェック)
→申請事案の中からサンプル調査を行う
④虚偽申告に対するペナルティの導入
1. 罰則規定(資格取り消し、一定期間の業務停止、受験禁止などの措置)
→経済産業大臣の資格取消権(法第19条第2項)で対応可能
2. 申請者への宣誓書要求
→申請書に虚偽の記載がないことの宣誓同意文言の追加
いまはリファレンスチェックみたいなのがそんなに流行りなのかというくらいにエンドーズメントに対する拘りが見られるのですが、法定業務として手間を押し付けてエンドーズメント(「実施した業務について、所属組織(独立系であれば顧客)からの証明」「役務提供された側(所属長や顧客)から実施業務の評価や推薦を提示」)をやってくれるようならいいんじゃないでしょうか、というところですね。セキュリティとかでいやだと言われたから出しようがないんですが、とかなるのが関の山、とならないことを願ってます。
2025.02.28 16:17
GinSanaさん(No.2)
★SC シルバーマイスター
なお、前回でよく出ていたアクティブリストはP24に参考例があります。個人事業主でもないのに今の人手不足で支援可能期間を大っぴらにかけるのか、とかまあ色々思いはしましたが、まあこんなのがほしいのか、という認識にはなりました。
2025.02.28 16:18
GinSanaさん(No.3)
★SC シルバーマイスター
※訂正
×:①義務講習(特定講習)として求める要素での6時間以上は、講習の受講時間に関し設定されたものであることを踏まえ、ひとかたまりの業務を実施したかを確認するそうなので、6時間潰すか6時間以上「ひとかたまりの業務」をこなすかでいったらそりゃあ6時間潰すほうがいいに決まっているのですが・・・。
よくよく考えたら、普段の仕事なので別に『6時間以上「ひとかたまりの業務」をこなす』ことで時間の使い方では影響しませんでした。「ひとかたまりの業務」の具体例が第5回あたりで出てくることを期待します。
×:①義務講習(特定講習)として求める要素での6時間以上は、講習の受講時間に関し設定されたものであることを踏まえ、ひとかたまりの業務を実施したかを確認するそうなので、6時間潰すか6時間以上「ひとかたまりの業務」をこなすかでいったらそりゃあ6時間潰すほうがいいに決まっているのですが・・・。
よくよく考えたら、普段の仕事なので別に『6時間以上「ひとかたまりの業務」をこなす』ことで時間の使い方では影響しませんでした。「ひとかたまりの業務」の具体例が第5回あたりで出てくることを期待します。
2025.02.28 16:22