経営者の方情報セキュリティ専門家の育成

本文を印刷する

情報セキュリティ専門家の育成

IPA情報セキュリティスキルマップ

IPAスキルマップとは?

IPAスキルマップは、情報セキュリティにたずさわる人材に求められる技術・知識をまとめ、スキルを技術要素の集合として定義し、各要素についてそのレベルを捉えることによりスキルの定量化・可視化を行うものです。いわば、情報セキュリティに関するスキルを評価するものさしであり、企業・組織・教育機関などが、そのニーズにあわせて、カスタマイズして使うことができます。IPAスキルマップでは、情報セキュリティプロフェッショナルに求められる技術・知識を洗い出して、それを16の大項目に分類しています。

1. 情報セキュリティマネジメント 7. ウイルス
2. ネットワークインフラセキュリティ 8. セキュアプログラミング技法
3. アプリケーションセキュリティ Web 9. セキュリティ運用
電子メール 10. セキュリティプロトコル
DNS 11. 認証
4. OSセキュリティ Unix 12. PKI
Windows 13. 暗号
Trusted OS 14. 電子署名
5. ファイアウォール 15. 不正アクセス手法
6. 侵入検知システム 16. 法令・規格

16項目は、さらに中分類、小分類に分けられ、各分類で求められるスキルが概観できるようになっています。情報セキュリティ関連の各業務においては、全ての技術要素分野を必修とするものではありませんし、各技術要素分野について全ての項目を必修とするものでもありません。

大分類 中分類 小分類 備考
情報セキュリティマネジメント マネジメント技術 マネジメントプロセス
  • セキュリティの3大要素
  • セキュリティポリシーの3階層
  • PDCAサイクル
マネジメントシステムの確立 実施すべき項目(基本方針、リスクアセスメント等)
マネジメントシステムの導入・運用 実施すべき項目(対応計画、教育等)
マネジメントシステムの監視・見直し 実施すべき項目(有効性の見直し、内部監査等)
マネジメントシステムの維持・改善 実施すべき項目(改善策の実施等)
情報セキュリティのドキュメント体系 基本方針、対策基準、実施手順・規定類
リスク分析技術 リスクアセスメント手法
  • ベースラインアプローチ
  • 非形式的アプローチ
  • 詳細リスク分析
  • 組み合わせアプローチ
情報資産の調査・評価
  • 調査方法
  • 評価基準
脅威・脆弱性の調査
  • 脅威の分類・調査
  • 脆弱性の把握・評価
リスク評価
  • 定量的リスク評価
  • 定性的リスク評価
対策システムの検討・整理 対策検討

IPAスキルマップの用途

IPAスキルマップの使用場面として、以下のようなものが考えられます。

採用: 特に、中途採用しようとする際、職務要件書として使う。
人材育成: スキル獲得のゴールを設定し、必要な知識・技能と現在の差分をみるために使う。
能力評価: 現在のスキルレベルを評価する指標の一つとして活用する。
調達: コンサルタント、エンジニアを調達する際の調達要件書において活用する。
IPAスキルマップ使い方の例

例えば、不正アクセス対策システムのエンジニアを採用または育成する必要があるとします。その際、IPAスキルマップで、その業務に必要な技術要素分野が何であり、それぞれの技術分野についてどの程度のスキルが必要かを、下図のように、レーダチャートを使って示すことができます。スキルレベルは、1~3であらわします。
この場合、ファイアウォール、IDS、ネットワークインフラセキュリティに関するスキルはレベル3、不正アクセス手法のレベルは2.5、アプリケーションセキュリティ、OSセキュリティ、セキュリティ運用、ウイルス、セキュリティプロトコル、認証については、レベル2、情報セキュリティマネジメント、電子署名に関してはレベル1、暗号や法令・規格に関しては、レベル0.5のスキルが求められています。

業務名:不正アクセス対策システム導入

レベル レベルの内容
レベル0 知識がない、または、経験がない
レベル0のベースライン:IT関連の基礎技術や関連する業務知識は習得していることを前提。IT分野である程度の業務を経験した(2~3年程度)、初級技術者や担当者を想定。
レベル1 知識項目の概要を理解している水準。
業務を通じて、より詳細な技術的な内容を習得することができる。
レベル2 習得した知識項目を、業務において他の指導・援助を得つつ実践できる水準。
知識項目の技術的な内容について具体的に事例を示し説明することができる。
レベル3 知識を活用して、業務を自力で実践できる水準にある。
実務を通じた数多くの実践経験に基づくノウハウを持っている。

ユーザ企業などにおいては、別の分類項目を設けるなどのカスタマイズの要求が出てくることも考えられますし、利用者がそれぞれのニーズに応じて、カスタマイズが可能であるように考えて作られています。

ITスキル標準

ITスキル標準は、各種IT関連サービスの提供に必要とされる能力を明確化・体系化した指標であり、産学におけるITサービス・プロフェッショナルの教育・訓練等に有用な「ものさし」(共通枠組)を提供しようとするものです。ITスキル標準では、職種を「コンサルタント」や「プロジェクトマネジメント」、「ITスペシャリスト」など11に分類し、職種ごとに全部で35の専門分野を設けています。
また、達成度指標とスキル熟達度などの、多面的なレベル評価尺度を提供しています。

ITスキル標準