今回はちょっと趣向を変えて、リアル参加したセキュリティ講習の様子とその感想をお伝えします。

 

参加したのは国立研究開発法人情報通信研究機構 (以下、NICT) ナショナルサイバートレーニングセンターが実施する "RPCI" (Response Practice for Cyber Incidents) です。

 

 

• 特定講習とは
• なぜ RPCI を選んだのか
• 申し込み～当日まで
• 演習当日
• 全体としての感想
• 支援士制度に関する個人的意見
  • 支援士の多様性を反映できていない
  • コストがかかりすぎる

 

特定講習とは

RPCI (リプシィと読みます) は情報処理安全確保支援士が受講する講習のうち、経済産業大臣が定める「特定講習」の一つです。

 

https://rpci.nict.go.jp/

 

やや制度が複雑なのでまず特定講習とは何かを軽く説明しておきます。

 

IT 系唯一の名乗れる国家資格 (応用情報技術者やネットワークスペシャリストのような「情報処理技術者試験」は厳密には国家資格ではなく検定試験に近いものだとされています) である「情報処理安全確保支援士」 (以下、支援士) は 2017年の制度開始以来、知識や技術の維持・向上を主な目的として次の 2種類の講習を受講することが義務付けられてきました。

1. 年 1回の「オンライン講習」(20,000円/回)
2. 3年 1サイクルとして、3年目に受講する「集合講習」 (80,000円/回)

これらをクリアしたうえで所定の手続きを行うことにより、そのサイクルを越えて支援士としての認定を継続することができます。

 

計算するとすぐわかりますが、1サイクル 3年で合計 14万円の講習費がかかることになります。

今でもよく聞く、というか一人歩きしている感のある「支援士は 3年で 14万」という話はここから来ています。

 

しかし、この制度には、やたらとお金がかかるという点以外にもいくつか問題がありました。

• 全員一律の内容である。結果として最大公約数的な内容にならざるを得ず、職域・職位・知識レベルとも多様な支援士に対応できない
• 集合講習は全国の主要都市でしか開催されておらず、それらの都市から離れた地域の支援士は受講のために遠出や宿泊が必要
• 集合講習は 3年目にしか受講できないので、たまたま海外赴任などでその年に都合をつけられないと継続の機会を失ってしまう

これらを問題視して……かどうかはわかりませんが*1、2020年 5月施行の「情報処理の促進に関する法律」改正により、次のように変更されました*2。

• 集合講習は 3年目に限らず、3年間のどの時点でも受講可能に
• 集合講習として従来通り IPA が企画する「実践講習」のほか、民間事業者が実施する講習のうち経済産業大臣が定めた「特定講習」を選択可能に

一言でいうと従来は「3年目に同じ内容の講習を受けるしかなかった」ところ、「いつでも受講でき、しかも講習の選択肢が増えた」ことになります。

 

特定講習の選定は毎年度行うようですが、2021年度 (第一回) は次の文書に示される 23 の講習が選定されました。

 

情報処理安全確保支援士特定講習一覧 (PDF)

https://www.meti.go.jp/press/2020/03/20210331004/20210331004-1.pdf

 

現在は集合講習としてこの特定講習が選べるため、「3年で 14万円」は必須ではなくなっています。

(ただし特定講習のほとんどは 80,000円より高額なので、負担額自体が従来制度下を下回るケースはあまりないと思われます。とはいえ所属組織によっては「支援士継続のためだけにはお金を出しにくいが、他の講習で技能を身につけるついでなら負担してもいい」という場合もなくはないでしょうから、支援士個人の負担が減る可能性はゼロではありません。)

 

今回私が参加した "RPCI" は上文書の表中 23番目「実践サイバー演習」にあたり、唯一公的機関が実施する講習です。

 

なぜ RPCI を選んだのか

私は 2019年 10月登録なので現在 2年目、順当にいけば来年 10月更新の予定です。

情促法改正前なら集合講習を受講すべき時期でもありません。

 

にもかかわらずこの時期に RPCI を選んだのは個人的事情によります。

• ある事情により 1年ほど休みを取りにくい状態になった*3結果、平日に実施される講習が受講できなくなった。その状態が解消される時期から更新期限まではほとんど時間がなく、それから受講の算段を立てられるか不透明
• IPA が実施する実践講習は新型コロナウイルスの流行を受けてオンライン化されているが、個人的にリモートグループ討議をうまくやれる気がしなかったしやりたくなかった
• 特定講習のほとんどが平日実施、しかも多くは何十万円もするのでさすがに個人で負担するのはちょっと苦しい

という状況で八方塞がり、こりゃ更新できないかもしれないぞ……と諦めかけていたところで RPCI 募集開始を知りました。

 

RPCI は私にとって都合のいい性質をいくつも備えていました。

• 集合での開催なので苦手なリモートグループワークと関わらずに済む。場所は東京限定だが私は問題なし
• 土曜日を選べるため、無理に休みを取る必要がない
• 比較的値段が安い。といっても 88,000円するが、IPA の実践講習を受けても 80,000円かかることを考えれば、比べてそう高額というわけでもない
• 私の本業は SOC/CSIRT のアナリストなので、RPCI のシナリオをそのまま役立てやすい
• 当日申し出れば (ISC)2 の CPE になる (申請自体 NICT が代わりにやってくれるそうです)
• 昨年公開されていた CYDER (官公庁等向けの実践的サイバー防御演習) の教材を見て興味を持っていた

以上の理由からこの機会を逃すわけにはいかないと思い直ちに申し込みました。

 

申し込み～当日まで

スケジュールや申し込みの方法については公式サイトを参照してください。

https://rpci.nict.go.jp/schedule/index.html

 

2021/08/29 現在第 9回までの日程が出ていますが、今のところ週 2回程度の開催で、そのうち 1回は土曜日に割り当てられているようです。

私が受講したのは第 2回 (2021/8/28) です。

 

申し込みには ID の登録が必要となります。

 

申し込み自体は支援士以外の方も可能だそうです。

ただ支援士の方が優先されるため、それ以外の方は空席通知の受信設定をして、「開催日より2週間前の時点で空席があった場合」に事務局からの連絡に基づいて申し込むことになるようです。

 

申し込み後、振り込み先情報がメールで届くので 88,000円をそこに振り込みます。

 

振り込みが確認されれば「受講のご案内」が届くので、これを印刷して当日持参しましょう。

 

また、「事前オンライン学習」の案内が届きます。

私の場合は受講の 3週間ほど前でした。

 

事前オンライン学習はブラウザ上で、送られてきた ID・パスワードでログインして実施します。

私が使っている Firefox は対応ブラウザではなかったのですが、特に不具合なく受講できました。

(対応ブラウザは IE 11 と Chrome です。個人的には、IE は動作確認していてももう記載しない方がいいんじゃないかと思わなくもないですが)

 

ボリュームがあって、まじめに全部やるとそれなりの時間がかかります。

必ず実施するように指示がある章 (多くは演習そのものやそこで使うツールの話なので、実際熟読しておくに越したことのない内容です) 以外は最初の「ナレッジチェック」の結果を参考に理解が不十分なところを中心に見ておけばとりあえずそこまで困らないと思います。

(もっともナレッジチェック自体 66問あり、そんなにパパッと終わるものでもないんですが)

 

事前オンライン学習演習のインターフェースは演習で使うものと基本的に同じなので操作に慣れておくといいでしょう。

といってもそんなに難しいものではないですけどね。

 

演習当日

会場は大手町の KDDI ビル 16階にあるナショナルサイバートレーニングセンターです。

https://rpci.nict.go.jp/access.html

 

駅からも近いですし建物も大きいので、「東京に来るのは初めて！」みたいな方以外はそんなに問題なく現地までたどり着けるでしょう。

 

演習を行う部屋は食事禁止なので昼食を持ち込んでもそこでは食べられません。

周辺はビジネス街で土曜日はあまりお店も開いていないため (探せばいろいろあるでしょうけど)、昼食をどうするかはちょっと考えておいたほうがいいかもしれません。

私自身は近所のコンビニで調達して近隣のベンチで摂ったのですが、もし雨だったらそうはいかなかったでしょうね。

 

受講票には記載されていませんでしたが、実際にはイヤホンが必要 (公式サイトには記載あり) なので注意しましょう。

持ってきていない方は会場でもらえますが、自分でも用意していくに越したことはないです。

 

定員は 48名とされていますが、私が受講した際にはその半分以下の人数でした。

新型コロナウイルス対策で人数を絞っている可能性が高いです。

また、私が受講した際は 30代～と思われる男性ばかりだったのですが、たまたまだと思います。支援士のボリュームゾーンなのでそうなりやすいのも確かでしょうけれど。

 

各卓に 3名前後の受講者が割り振られ、演習では 1つのチームとして振る舞います。

私の時は互いに初対面の 3人でしたが、グループを組みたい人 (個別に申し込んだ同僚など) がいる場合はあらかじめ要望欄に記入すれば考慮してもらえるようです。

各卓には一人ずつチューターの方がつき、随時助言してくれます。

 

演習の内容としては「架空の企業の CSIRT チームになりきり、順番に与えられる 7つの課題に解答していく」というものです。

課題に答えてシナリオが進むほど新しい材料が与えられて、だんだんインシデントの全容が見えてくる構成になっています。

 

特徴的なのは、CSIRT チームと言っても全員同様というわけではなく、カウンターパートが異なる 3種類の「○○担当」に分かれてそれぞれをロールプレイするということです。担当はチームで協議して決めます。

また各担当に対して与えられる情報が異なり、これらを素早く共有しながら協力して課題に対処することが求められます。

見た限り担当者が積極的に握り潰すことで有利になるような情報はなかったので、とにかくどんどん共有する方針で問題ないでしょう。

 

個別で与えられる情報には各担当によって差があり、初めから重要な情報がバンバン与えられる担当 (私の担当はこれ) や、最初はそうでもないが後になるほど役割が増す担当もいるのですが、どのみち事前にはわかりませんし、協力して課題に立ち向かっていくことに変わりはないので、あまり構えずに適当に選んでも問題はありません。

置かれた立場で頑張りましょう。

 

あくまで「CSIRT のいち担当者」として振る舞うので、経営者に説明や対策の提案をするのは CISO などの上司たちです。受講者はその材料を用意することになります。

置かれた立場が明確なのは長所といっていいでしょう。「経営判断に直接アドバイスする役割なのか、あくまで技術者の視点に徹する役割なのか」といったことに悩む必要がありませんので。

(最終的には対策案を列挙し優先順位をつけることも行いますが、直接役員などに自ら説明するようなことはありません)

 

元々支援士向けに設計されているだけにシナリオはよく練られており、すぐに全貌がわからないようになっています。

的確に情報を整理しないと報告もままなりません。

課題は前半に技術的なもの、具体的なツールを使った調査などが集中しており、後半は報告書の作成や対策の提案などが中心になります。

前半の課題は答えがきっちり決まっているタイプの問題ですし、ある程度課題をこなさないと状況把握のための情報も十分に出てこないので、なるべく前半の課題はサクッと終わらせて後半の課題に時間をかけた方が最終的な仕上がりが良くなりそうです。

 

本演習の特徴として、いったん始まると最後の課題が終わるまでチーム活動になる点があります。

(途中で 1時間程度の昼休みはとれますが、これもチームごとで、全体で一斉にではありません)

そのためタイムマネジメントが重要で、「演習が終わるのが何時で、残っている課題がいくつで、したがって今の課題にどれだけ時間をかけられるか」は常に意識した方がいいです！

これを怠ると後半の課題ほど適当にせざるを得なくなり、演習の効果が微妙になりがちです。私もほとんど報告書書けませんでした。

時間管理は主にリーダーの仕事になるので、その責任はわりと大きいです。チームメンバーがこのことを意識しているかどうかはやってみなければわからないので、不確定要素が嫌な方は自らリーダーを買って出るのも手です。

 

演習終了後、解説と確認テスト (点数や苦手分野が提示されますが、点数が悪いと受講したことにならない、などということにはなりません) を経て解散となります。

 

最後に、全体として講師やチューターの方々は親切で、パワハラの類はなかったことを申し添えておきます。

私が体験したのは 1回だけですが、もともと講師の方の個性に依存するような内容ではないですし、いわゆる「講師ガチャ」のような状況には比較的なりにくいのではという印象です。

 

全体としての感想

全体としては、セキュリティインシデント対応の実践的トレーニングとして役立つ内容であると感じました。

 

基本的に支援士向けの「特定講習」として実施されているため、従来のこうした演習と比べてもレベルが高く、事態を把握する能力、時間管理能力、報告書などのアウトプットを作る能力などが鍛えられます。

「チームで自分だけが握っている情報」が与えられる都合上、互いにどんどん開示して主体的に課題に参加した方が有利になりやすいです。

たまたまチームを組んだ相手が引っ込み思案な方ばかりであれば、自らリーダーになり発言を促したり役割を割り振ったりすることも必要でしょう。

 

多少とはいえ実際にツールを用いて調査する課題があるのも特徴です。

どのようなことをするのかは公式サイトの「よくある質問」に記載があります。インシデント対処というと防御の印象が強いですが、どちらかというとペンテスト向けとされるツールも使用します。

ツールの使い方は事前オンライン学習で示されるほか、当日配布される資料にも載っているので、これが原因で詰まるということはあまりないでしょう。

 

費用については、よく考えられたシナリオやチューターによるサポートを考慮すると、高すぎるということはない金額です。

 

ただ、内容に鑑みて適正金額であるかどうかと実際に支払っても大丈夫な金額であるかどうかは全然別の話ですけどね。

私も正直痛いなとは思いました。

でも支援士を維持するのにかかる金額としてはこれでも高額な部類ではないんですね。

職場で負担してくれればそれに越したことはないです。今回はそんなこと言ってる場合じゃないので全部自前で何とかしましたが……

 

ともかく、総合的に見て、東京近辺にお住まいの方であれば IPA の実践講習の代わりとしてかなり有力候補となるのではないかと思います。

 

支援士制度に関する個人的意見

ここからは RPCI とは直接関係ない、支援士制度と特定講習についての個人的なお話です。

 

特定講習の導入が制度の緩和によるものであることは冒頭で述べました。

 

私は経産省および IPA が緩和に踏み切ったこと自体は評価しています。

 

しかしながら支援士制度が現状で問題ないとは思っていません。

どちらかというと問題はいまだ大ありだと考えています。

 

問題は大きく 2種類あります。

• 支援士の多様性を反映できていない
• コストがかかりすぎる

 

支援士の多様性を反映できていない

全員一律の集合講習から、「実践講習＋特定講習 (民間講習)」の並立体制へシフトしたこと自体は大きく評価できます。

おそらくあまり前例のない制度であろうと思われ、役所としてそうした法制を実現するのはさぞ大変だったことと思います。

 

しかしこれで十分だとはまったくいえません。

 

情報処理安全確保支援士がカバーする職域は本来幅広いです。

CISO、コンサル、CSIRT 要員、SOC アナリスト、監査人、ペンテスター、診断士、フォレンジッカー、インテリジェンスアナリスト、(セキュア) プログラマ、プロジェクトマネージャ、教育者……セキュリティの専門知識を生かして責任を果たすべき職域はまだまだあるはずです。

 

それにもかかわらず、特定の立場を理想として押し付けるのはナンセンスですし、わざわざお金を払って自分の実務に直結しない講習を受けろと言われてもなかなかやる気が出るものではありません。

 

IPA 公式サイトには、「登録セキスぺの人材像」として、「法律上の定義」と「期待される役割」がそれぞれ次のように述べられています。

(長いので画像で示します)

 

このうち、法律上の定義を行政サイドが解釈したものと思われる「期待される役割」には問題があります。

法律で「(前略) その他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援することを業とする」と述べられている諸職域への言及が消え、セキュリティ対策の企画や専門外の人への説明を行う「組織内の特定のポジション」だけが支援士の役割であるかのような表現になってしまっています(以下、この役割のことを括弧つきで「あるべき支援士」といいます)。

 

実際には「セキュリティに十分に配慮した設計や実装ができる開発者」や「セキュリティの面から組織の内部統制をきちんと評価できる監査人」や、あるいは「マルウェア解析、フォレンジック、脆弱性発見などの専門技術を駆使する専門のセキュリティエンジニア」は大勢いますし、また社会から必要とされています。

しかし「あるべき支援士」像にはこれらの職域への配慮はありません。

 

また、ひとくちに支援士といってもその実力は様々です。

私のように試験に受かったからとりあえず登録してる程度の人もいれば、この方のように受講者より講師の方が相応しそうな方もいます。

前者に理解できる講習ならば後者の方にはほぼ新たな学びがなく退屈でしょうし、後者の方のためになる講習であれば前者の方にはハードすぎるはずです。

 

支援士の講習の特性として、他の国家資格と比べ「相応しい知識水準を最低限維持する」ことより「年々ハイペースで移り変わっていくセキュリティ環境に適応するためにどんどん新たな知見を得て向上していく」ことの必要性が高いことも背景にあります。

各々が一歩先の知見を得ようとすれば、どうしても画一的な内容では限界があるのです。

 

確かに特定講習の導入で講習にはバリエーションが生まれたと言えばそうなのですが、高額な講習が多くなかなか気軽に選べないことも併せて考えると、まだまだ十分な環境とはいえません。

 

講習のバリエーションを確保するうえでは、質を担保することが目的と思われる厳格な申請・審査手続や要件は逆効果になっていると思います。

例えば、講習の形態として「半分以上の内容を実習、実技、演習又は発表その他実践的な方法により行うこと」とありますが、私はこの要件は不要だと思っています。

確かに実習・演習は勉強になるのですが、「それ以外認めない」とすることに同意できないからです。

例えばカンファレンスなどのイベントに参加して、講演を聞いたり参加者と意見交換することは「実習、実技 (中略) 実践的な方法」ではなさそうですが、そのことをもって支援士としての専門的知見を高めようとする行いとして認められない合理的な理由は私には思いつきません。

 

とにかく、無理に「あるべき支援士」像にこだわらず、職域や各人の能力・興味関心に応じてもっともっと多様な講習を選べるようにすべきです。

もし可能であれば、(ISC)2 や ISACA のような海外団体のようなクレジット (ポイント) 制がより望ましいのですが、これこそ日本の公的機関では前例のない制度なのでハードルは高そうです。

 

コストがかかりすぎる

「3年 14万」が必須でなくなったといっても、未だ支援士に登録・維持するのには安いとはいえないお金がかかります。

 

ほとんど何の独占業務も持たず*4、「なくても法的にはどの業務もできる」資格の維持にここまでのコストをかける合理性は正直あまり思いつきません。

すべて個人で負担しているのはすごく意識の高い方か、あるいは私のような物好きではないかと邪推しています。

 

一方所属組織に負担してもらうという考え方にはひとつ大きな問題があります。

この問題は前述の「あるべき支援士」(特にユーザ側) についてより顕著です。

 

支援士の高額なコストを負担する (できる) 組織というのは、「負担できるだけの体力があり (≒規模が大きく)、セキュリティへの意識も高めの組織」や「セキュリティ自体が売り物の組織」のことが多く、これらは「あるべき支援士」をあまり必要としていないタイプの組織です。

 

逆に、セキュリティ対策が不十分で、「あるべき支援士」の説明を必要とする組織は、そもそもそうしたことに払うお金がないか興味自体ないからそうなっている可能性が高く、支援士の高額なコストを負担できない、もしくはできてもしないと思われます。

こうした組織で孤軍奮闘する支援士に対して、自腹で年間何万円も払えというのは酷な話ではないでしょうか。

 

ちなみに、発想を転換して「コストに見合ったメリット、例えば独占業務を付与する」というのもひとつの考え方ではあるのですが、これはもっと実現可能性に乏しいですし、やるべきだとも思いません。

もともと誰でもできた業務に後から制限をかけることは、業界全体にブレーキをかける行為にほかならないので当然ですね。

「実務は問題なくこなせるがペーパーテストが苦手もしくは嫌い」という層はバカにできない人数おり、こうした方々が支援士になれず (もしくはならず) 失われては誰も得をしません。

 

「あるべき支援士」であれそれ以外の役割であれ、資格の維持にお金をかけたいという人はまずいないはずです。

講習の内容面と合わせて、コスト面での改革もぜひ経産省および IPA には是非ご検討いただきたく存じます。