「情報処理安全確保支援士」の”実践講習Ａ”を受講しました

こんにちは、技術サービス部所属でインフラエンジニアの佐藤です。
以前取得した、情報処理安全確保支援士について、資格維持のための「実践講習Ａ」を受けました。

情報処理安全確保支援士や、オンライン講習については下記の記事を参照ください。

「情報処理安全確保支援士」の“オンライン講習”を受講してみた

「実践講習A」って？

情報処理安全確保支援士（登録セキスペ）の資格を維持するには、3年間で以下の講習を受講することが、義務として定められています。

(1) 1年に一度の、オンライン講習（20,000円 × 3回）
(2) 3年に一度の、実践講習または特定講習（80,000円～）

(引用: IPAの公式サイト > 講習の目的と概要)

前回は「1年に一度の、オンライン講習」を受講しましたが、今回は「3年に一度の、実践講習」を受講します。
実践講習にも種類がありますが、今回はIPAが行う実践講習※のうち、登録セキスペ登録後の初回の実践講習としてお勧めされる「実践講習A」を選択しました。

※IPAが行う実践講習については下記をご参照ください。

• IPAが行う実践講習

受講の流れ

実践講習の受講資格があり、受講が必要な期間内で未受講な場合に、講習受付センターからメールで案内が来ます。
それによると、実践講習Ａは2部構成で、

1. 個人学習（e-ラーニング形式）《標準学習時間：2時間》
2. グループ討議 （Web会議形式）《10:00～17:00（休憩時間含む）》

となっています。（2023年7月時点）

メールの案内に従い「情報処理安全確保支援士　実践講習システム」へ登録・ログインし、実践講習（グループ討議）の受講予定日を選択します。
全体の流れは下記となっていました。

　　　　
1. 受講要領
   受講全体の説明です。

　　　　

2. 事前チェック
   情報処理安全確保支援士として、現時点（講習前）の自身のレベル感を問われます。

　　　　

3. 個人学習
   ここでしっかり学習していることを前提に、実践講習（グループ討議）が実施されます。

　　　　

4. 確認テスト
   個人学習についてのテストで、80点以上得点する必要があります。合格するまで何度でも挑戦できます。

　　　　

5. 実践講習（グループ討議）
   本講習のメインワークです。2020年以降、リモート形式となっているようです。

　　　　

6. 事後チェック
   情報処理安全確保支援士として、現時点（講習前）の自身のレベル感を問われます。

　　　　

7. アンケート
   全体を通してのアンケートです。ここまでを実践講習の当日中に終わらせる必要があります。

上記を全て修了すると、5営業日を目処に受講証明書が発行されます（実際には受講後2～3日で発行されていました）。
また、実践講習で出された課題の回答例は、アンケート回答後からダウンロードできるようになります。

個人学習

個人学習の教材には、実践講習（グループ討議）当日の課題・設問も掲載されています。
この教材をしっかり学習・理解していることが前提となるので、数時間～半日程度の余裕を持って取り組むのが良いと思います。

なお、グループ討議当日は、ゆっくりと議論している時間はほとんどありません。
セキュリティインシデントに関する業務経験があったとしても、難しい時間設定になっていると思われます。
当日まで課題をしっかり読み込んで、自分の意見を整理しておく必要があります。

実践講習（グループ討議）

事務局から1名、講師が3名、受講者は30名（1グループ 4～5名）ほど参加されていました。
講習は午前・午後に分かれていて、午前は自己紹介と練習、午後にケーススタディという流れでした。

午前

最初にグループ分けをされ、各グループで自己紹介の時間がありました。
筆者のグループでは、システム運用系の人間は自分だけで、あとは開発系、それと開発出身のコンサルタントの方がいらっしゃいました。
セキュリティ関連の業務経験がある方はいませんでした。

グループ討議では、「書記」「進行」「発表」の役割があり、全員が必ず1回ずつ割り当てられるようになっています。
午前は練習ということで、インシデント事例に対して問題点・改善点を話し合い、発表するという流れでした。

食事休憩中は自由時間ですが、私のグループでは食事をしながら、出身や仕事の話でそれなりに盛り上がっていました。
リモートは便利だけど、終わったあとに飲みに行けないね、みたいなフランクな会話もありました（笑）。

午後

午後は、より実践的はケーススタディで、CSIRT※の責任者としてセキュリティインシデントに対応し、CISO※へ報告するというシミュレーションになっていました。
※CSIRT：企業・組織などにおける、セキュリティインシデント発生時にその対応を行うチーム
※CISO：企業・組織などにおける、情報セキュリティの統括責任者

課題は以下の3つでした。

　　　　
1. インシデント対応
   状況の報告、被害の封じ込めに関する報告

　　　　

2. 予防策の検討
   公表の判断、発生原因と再発防止策の報告

　　　　

3. 倫理的な判断・行動の検討
   顧客や自社（経営陣や各部担当者等）からの倫理的にグレーな依頼への対応

各グループの発表者（CSIRT役）の報告に対して、講師（CISO役）から、
「そうすると事業が止まってしまいますが、良いですか？（代案はありますか？）」
「その対応に私の判断は必要ですか？CSIRTの責任で実施し、事後報告でも良いのでは？」
といった突っ込みが入ります。
いかにも新米CSIRTとベテランのやり取り…といった感じで、ほどよく緊張感がありました。

現実では当たり前ですが、教科書的な回答だけでなく、対応の効果・予算・実施期間などを、その根拠とともに提示することまで要求されます。
顧客や経営陣を説得して協力してもらわなければ、インシデント対応は机上で終わってしまう、ということに気づかされます。

あとがき

よく「資格がなんの役に立つか」という議論がありますが、情報処理安全確保支援士の資格取得、そして維持のための講習に関しては、情報セキュリティのスペシャリストを育成するという目的によく合致したものだと感じました。
個人が取得・維持していくものとしては、費用面での負荷が非常に高いですが、それだけの価値はあると思います。