Scribble at 2024-03-15 14:21:38 Last modified: 2024-03-15 14:28:02

僕は情報セキュリティ関連の大半の資格について、その試験テキストの出来栄えには一定の信頼を置いているし実際に活用していても、その試験をパスした資格保有者や資格保有者の団体については、殆ど信用していない。つい先日も書いたように、(ISC)2 という団体の CISSP だとか、ISACA という団体の CISM といった資格を保有しているのは、大半が潤沢な資金を社員に費やして資格勉強をさせる余裕がある IT ゼネコンだけであり、実際にはそうした資格を取得する第一の目的は官公庁案件の入札条件として資格保有者のヘッド・カウントを事実上の参入障壁に仕立て上げることにある。実は情報セキュリティなんて、こいつらにとってはどうでもいいのだ。だからこそ、資格保有者が何百人といるはずの IT ゼネコンが素人レベルの作業ミスやシステム更改スケジュールの設定ミスで、重大な事故を何度でも引き起こすわけである。

そして、こういう資格保有者が信用できない二つめの理由として、資格保有者は定期的に試験を受け直すということ以外に第三者からの評価を受けていないにもかかわらず、その大半が IT コンサルティング業務だとか、情報セキュリティ関連の認証機関の審査員とか、あるいは専門学校の講師など教育に携わっていたりすることにある。それらの職種も、第三者の評価を受け難いのはご承知のとおりである。僕は ISMS の認証を受けたりプライバシーマークの認定を受けている企業に勤めていて、監査に20年くらい対応してきたという事情なり経験があって、これまでに50人近くの色々な審査員に応対してきたが、はっきり言って情報セキュリティの技術的な知識や経験をもっている人物は１割もいない。なので、ISMS だろうとプライバシーマークだろうと、実は技術的な安全という観点では殆ど審査されていないのであり、これらの認証は何の担保にもならないわけである。そして、これまでに述べた海外の資格をもつ人々についても同じことが言える。つまり、CISSP や CISM の資格保有者は海外の基準で作られた技術的な知識を認定されているだけであって、個人情報保護法や不正アクセス法を全く知らない可能性もあるのだ。そして、そうだったとしても、彼らを第三者の立場から評価する方法はないのであって、CISSP の資格保有者がコンサルティングに入っていようと、彼らのパフォーマンスを評価する方法はないと言っていい。これが、ただの経営コンサルであれば、売上が伸びないといった明白な事実を理由に契約を解除できるかもしれないが、情報セキュリティの場合は売上に直接の関係はないし、事故が起きないという事実だけでは、彼らのおかげで起きていないのかどうかは分からないので評価しようがない。

そして第三の理由は、既に以前の落書きでも述べたように、資格保有者の大半は個人としても資格保有者の団体としても、これまでに情報セキュリティに関する何らかの指摘や提言などを公にしたことが殆どなく、実際に資格を保有していることによって何の見識があるのか誰にもわからないし、評価する手立てがないというところにある。CISSP や CISM のような資格の保有者が Anonymous のメンバーである可能性はあるし、それどころかロシアから金銭を受け取って外国への攻撃に加担している可能性だってある。資格を保有していることは、「ホワイト・ハッカー」の自動的な証明にはならないわけであって、それを少なくとも形式的にでも示す手立ては、公への資格保有者（団体）としての提言などしかないのである。そして、そうした資格保有者の中には情報セキュリティ大学院大学のような、公的な成果を何も公表しない伏魔殿のようなところでセコい論文を書くような人々もいるわけだが、客観的な評価を（同じ情報セキュリティ専門家からですら）受けない立場で情報セキュリティ対策を立案したり政府機関に提言しているような状況は非常に危険だと思う。