情報処理安全確保支援士

情報処理安全確保支援士（じょうほうしょりあんぜんかくほしえんし、英：Registered Information Security Specialist^[1]、略称：RISS）は、サイバーセキュリティ分野の日本国の国家資格。有資格者は情報処理安全確保支援士の名称を使用して、政府機関や企業等における情報セキュリティ確保支援を業とする。政府はサイバーセキュリティ戦略本部のサイバーセキュリティ人材育成総合強化方針において、2020年までに3万人超の有資格者の確保を目指すとしていたが^[2]、2024年10月1日時点での登録者数は22,845人にとどまる^[3]。

情報処理安全確保支援士
英名	Registered Information Security Specialist
略称	支援士、登録セキスペ、RISS（アール アイ エス エス）
実施国	日本
資格種類	国家資格
分野	コンピュータ・情報処理
試験形式	筆記
認定団体	経済産業省
認定開始年月日	2017年（平成29年）
根拠法令	情報処理の促進に関する法律
公式サイト	https://www.ipa.go.jp/jinzai/riss/
特記事項	登録事務と講習事務はIT人材育成センター国家資格・試験部が担当
ウィキプロジェクト 資格 ウィキポータル 資格

情報セキュリティスペシャリスト試験の後継資格であるが、情報処理技術者からは独立した国家資格である。試験の実施主体は情報処理推進機構（IPA）、有資格者の登録簿の管理、講習の実施などもIPAの所管となる^[4]。

登録制度を持つ国家資格として情報処理技術者試験制度とは独立した資格であることから高度情報処理技術者試験には含まれないが、情報処理技術者試験制度のスキルレベル4（スキルレベルは1～4が設定されており、高度情報処理技術者試験はいずれもスキルレベル4である）と同等であり、共通キャリア・スキルフレームワークのレベル4（試験で認定される最高レベル）の前提要件とされている^[5]。

創設の背景

重要インフラ事業者や、国家安全保障にかかわる重要技術を持つ企業へのサイバー攻撃は、ひとたび発生すれば、国民の生命や社会システム全体に甚大な被害が発生する可能性があり、国家として対応を強化すべき課題である^[6]。サイバーセキュリティ対策の中核人材の育成、人材の見える化と質の担保の措置として情報処理安全確保支援士制度が新設された。情報処理安全確保支援士は政府機関、情報機関、研究機関等と連携し、組織的サイバー攻撃から日本の重要産業を守る重要インフラ防護の役割が期待されている。

概要

情報処理安全確保支援士（以下、支援士）は情報処理の促進に関する法律により「サイバーセキュリティ基本法に規定するサイバーセキュリティの確保のための取組に関し、サイバーセキュリティに関する相談に応じ、必要な情報の提供および助言を行うとともに、必要に応じその取組の実施の状況についての調査、分析および評価を行い、その結果に基づき指導および助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援すること」を業とする、と規定されている。 情報処理安全確保支援士試験に合格した者およびこれと同等以上の能力を有すると認められる者が登録を行うことにより、情報処理安全確保支援士となる。暗号化技術やサイバー攻撃対策といった情報セキュリティの一般知識に加えて、セキュアプログラミング、ネットワークといった要素技術も求められる。

役割モデル

役割モデルはサイバーセキュリティ領域の職種である。^[7]

• セキュリティコンサルタント
• セキュリティエンジニア

また、2017年4月に発表されたITSS+には、情報処理安全確保支援士に想定する業務が例示された^[8]。

2020年10月には、ITSS+「セキュリティ領域」改訂版が公開され、情報セキュリティマネジメント試験レベルと共に、定義される知識・スキルとの対応が改めて例示された。^[9]

試験

情報処理安全確保支援士試験
英名	Registered Information Security Specialist Examination
略称	SC、セスペ、セキスペ
実施国	日本
資格種類	国家資格
分野	コンピュータ・情報処理
試験形式	筆記
認定団体	経済産業省
認定開始年月日	2017年（平成29年）
根拠法令	情報処理の促進に関する法律
公式サイト	https://www.jitec.ipa.go.jp/
特記事項	実施は人材スキルアセスメント部が担当
ウィキプロジェクト 資格 ウィキポータル 資格

情報処理安全確保支援士を認定する試験及び登録事務は情報処理推進機構^[10][11]のIT人材育成センター国家資格・試験部が行う。試験の合格者が、情報処理安全確保支援士登録簿に、氏名、生年月日その他経済産業省令で定める事項の登録を受けることにより、情報処理安全確保支援士として認められる^[12]。資格の取消事務および命令事務は経済産業大臣が行う^[13]。

試験科目

情報処理安全確保支援士試験の試験科目は、情報処理の促進に関する法律施行規則では3科目とされており、午前I、午前II、午後の試験が実施される。なお、2023年度春期の試験までは専門的能力は午後I試験と午後II試験の2つに分けて行われていたため、1日に4コマの試験が実施されていた。採点は午前I試験から順に行われ、不合格科目があった場合は、その時点で採点は中断され不合格となる（多段階選抜方式）。

→「情報セキュリティスペシャリスト試験 § 形式」も参照

午前I試験

試験時間50分。四肢択一式（マークシート使用）で30問出題され全問解答。情報処理技術者試験制度におけるスキルレベル3（応用情報技術者試験（AP）の午前の部とほぼ同程度である）に相当する、テクノロジ系、マネジメント系、ストラテジ系の3分野の知識が問われる。なお、試験問題は同時間に開催される高度情報処理技術者試験の午前I試験と共通であり、経営戦略や企業活動、プロジェクトマネジメントなどを含む情報セキュリティに限定しない広範な知識分野の問題が出題される。

午前II試験

試験時間40分。四肢択一式（マークシート使用）で25問出題され全問解答。情報セキュリティシステムの開発並びに情報処理システムおよびこれを用いる業務におけるセキュリティ管理に関する専門的知識が問われる。

出題対象となる範囲としては、情報セキュリティおよびコンピュータネットワークに関する領域が重点分野（情報処理技術者試験制度におけるスキルレベル4に相当する）となるが、関連領域であるデータベース、開発技術、ITサービスマネジメントもスキルレベル3相当の扱いで含まれる。

※午前Iおよび午前IIの出題範囲については、以下の早見表を参照のこと。

情報処理安全確保支援士試験の午前I試験および午前II試験の出題範囲^[5]

分類	午前Iと午前IIの両方で出題される領域 特に午前IIではスキルレベル4かつ重点分野	午前Iと午前IIの両方で出題される領域 スキルレベル3	午前Iでのみ出題される領域（午前IIでは対象外） スキルレベル3
テクノロジ系	情報セキュリティ コンピュータネットワーク（特にネットワーク・セキュリティ関連）	データベース システム開発技術 ソフトウェア開発管理技術	基礎理論（離散数学、応用数学など） アルゴリズム、プログラミング コンピュータシステム（構成要素、ハードウェア、ソフトウェア） ヒューマン・インタフェース・デバイス、マルチメディア
マネジメント系		ITサービスマネジメント システム監査、内部統制	プロジェクトマネジメント
ストラテジ系			システム戦略、システム企画 経営戦略、技術戦略、ビジネスインダストリ 企業活動、法務

午後試験

午後試験は試験時間150分。記述式の問題が4問出題され、2問を選択して解答。出題範囲は一括して次のとおり公表されている。なお、2023年度春期の試験までは、午後I試験は試験時間90分、記述式で中規模の問題が3問出題され、2問を選択して解答、午後II試験は試験時間120分、記述式で事例解析問題が2問出題され、1問を選択して解答という形で実施されていた。^[5]。

情報処理安全確保支援士試験の午後試験の出題範囲^[5]

項番	分類	内容
1	情報セキュリティマネジメントの推進又は支援に関すること	情報セキュリティ方針の策定，情報セキュリティリスクアセスメント（リスクの特定・分析・評価ほか），情報セキュリティリスク対応（リスク対応計画の策定ほか），情報セキュリティ諸規程（事業継続計画に関する規程を含む組織内諸規程）の策定，情報セキュリティ監査，情報セキュリティに関する動向・事例の収集と分析，関係者とのコミュニケーション など
2	情報システムの企画・設計・開発・運用におけるセキュリティ確保の推進又は支援に関すること	企画・要件定義（セキュリティの観点），製品・サービスのセキュアな導入，アーキテクチャの設計（セキュリティの観点），セキュリティ機能の設計・実装，セキュアプログラミング， セキュリティテスト（ファジング，脆弱性診断，ぺネトレーションテストほか），運用・保守 （セキュリティの観点），開発環境のセキュリティ確保 など
3	情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること	暗号利用及び鍵管理，マルウェア対策，バックアップ，セキュリティ監視並びにログの取得及び分析，ネットワーク及び機器（モバイル機器ほか）のセキュリティ管理，脆弱性への対応，物理的及び環境的セキュリティ管理（入退管理ほか），アカウント管理及びアクセス管理，人的管理（情報セキュリティの教育・訓練，内部不正の防止ほか），サプライチェーンの情報セキュリティの推進，コンプライアンス管理（個人情報保護法，不正競争防止法などの法令，契約ほかの遵守） など
4	情報セキュリティインシデント管理の推進又は支援に関すること	情報セキュリティインシデントの管理体制の構築，情報セキュリティ事象の評価（検知・連絡受付，初動対応，事象をインシデントとするかの判断，対応の優先順位の判断ほか），情報セキュリティインシデントへの対応（原因の特定，復旧，報告・情報発信，再発の防止ほか），証拠の収集及び分析（ディジタルフォレンジックスほか） など

科目免除

午前I試験の免除

情報処理安全確保支援士試験、応用情報技術者試験又はいずれかの高度情報処理技術者試験に合格した者、情報処理安全確保支援士試験又はいずれかの高度情報処理技術者試験の午前I試験で基準点以上の成績を得た者は、その後2年間午前I試験が免除される。^[5]

午前II試験の免除

経済産業大臣又は情報処理推進機構の認定を受けた大学院、大学（短期大学を除く）又は高度専門士の称号を授与する専修学校の学科等を卒業した者又は当年度卒業が見込まれる者であって、所定の履修計画を修了した旨の認定を受けた者は、学校から経済産業大臣に修了認定が報告された日（修了や卒業の日ではない）から2年間午前II試験が免除される^[14]。

経過措置

「情報セキュリティスペシャリスト試験」又は「テクニカルエンジニア(情報セキュリティ)試験」の合格者は制度開始から2年間の経過措置期間（2016年10月21日から2018年10月20日まで）は情報処理安全確保支援士試験に合格したものとみなされ、登録が可能であった^{[15][注 1]}。

その他

• 情報処理安全確保支援士試験合格者の科目免除
  • 弁理士試験の科目免除（理工V・情報）
  • 技術士一次試験の専門科目（情報工学部門）免除^[17]

→「§ 情報処理安全確保支援士登録者の科目免除等資格の優遇」も参照

• 認定情報技術者（CITP）
  • 情報処理安全確保支援士試験合格者は従来の情報セキュリティスペシャリスト試験合格者同様、一般社団法人情報処理学会に実務経験の認定を申請することで、民間資格である認定情報技術者（CITP）に認定される。
• 省庁・官庁での階級評価試験として認知されており、国家公務員総合職採用試験、公認会計士試験、税理士試験、高度情報処理技術者試験などとともに最難関の試験として評価することが多い。そのため官公庁のみならず、大手メーカや情報サービス業、金融機関など、報奨一時金、昇格・昇給、採用条件となるなど民間でも評価する企業が多い。

情報処理安全確保支援士制度

支援士制度は従来の情報セキュリティスペシャリスト試験を登録・更新制にした資格で、名称の独占使用が認められる一方で、信用失墜行為などがあった場合には登録の取消などの措置が取られる^[4]。また業務上守秘義務が課せられており、これに違反した場合は登録取り消し等の処分に加え罰則がある^[4]。 資格の維持には、定期的な講習の受講「登録日を起点として1年の間に1回6時間のオンライン学習と、3年に1回6時間の集合講習」が必要である。

英語名・通称名

情報処理安全確保支援士が社会全体で活用され、企業等におけるセキュリティ対策を進めるため、法律上の名称に加え、通称名とロゴマークが設けられている。

• 法律名：情報処理安全確保支援士
• 英語名：Registered Information Security Specialist（RISS）
• 通称名：登録情報セキュリティスペシャリスト（登録セキスペ）

支援士制度の特徴

民間企業等がサイバーセキュリティ対策の指標として、情報処理安全確保支援士を広く活用できるように制度設計が成されている。

• 情報処理安全確保支援士の名称独占使用
• 登録簿の整備、公開によるセキュリティ人材の活用
• 継続的な講習受講義務化、更新制による知識の陳腐化防止
• 厳格な秘密保持義務、信用失墜行為の禁止義務

名称独占資格

情報処理の促進に関する法律第61条の規定により、情報処理安全確保支援士でないものが情報処理安全確保支援士の名称を使用したり、情報処理安全確保支援士の名称の使用の停止を命ぜられた者で、当該停止を命ぜられた期間中に、情報処理安全確保支援士の名称を使用したものには30万円以下の罰金刑が科される。

情報処理安全確保支援士 登録者の表記例

• 登録情報セキュリティスペシャリスト（登録番号　xxxxxx）
• 情報処理安全確保支援士（登録番号　xxxxxx）

情報処理安全確保支援士試験に合格後、未登録の場合

• 情報セキュリティスペシャリスト
• 2017年 情報セキュリティスペシャリスト試験 合格
• 平成29年度春期 情報処理安全確保支援士試験 合格

もっとも、独占とされている名称はあくまでも「情報処理安全確保支援士」であり、「登録情報セキュリティスペシャリスト」や「登録セキスペ」の通称名や英語名、ロゴマークを使用しても、情報処理の促進に関する法律の罰則の対象ではない。一方で、これらを勝手に使用することは合法とは見なされない可能性が高い。ロゴマークについては情報処理推進機構(IPA)の利用規約に準ずる。

登録資格

情報処理安全確保支援士の登録は次のいずれかの者が資格を有する^[18]

• 情報処理安全確保支援士（登録セキスペ）試験 の合格者
  • 2018年8月19日までの経過措置として、次の試験区分の情報処理技術者試験合格者に登録資格を認めていた。なお、登録を抹消した場合、経過措置による再登録は認められていない。
    • テクニカルエンジニア(情報セキュリティ)試験
    • 情報セキュリティスペシャリスト試験

• 登録セキスペ試験合格者と同等以上の能力を有すると認められる者

1. 経済産業大臣が認定した者^[18]
   警察庁又は都道府県警察でサイバー犯罪の取締りのための情報技術の解析に関する事務に通算2年以上従事した者、自衛隊においてサイバーセキュリティに関する知識及び技能を要する事務に通算2年以上従事した者、内閣官房において内閣の重要施策に関する情報の収集調査に関する事務であってサイバーセキュリティに関する知識及び技能を要する事務^{[注 2]}に通算2年以上従事した者及び情報処理推進機構において情報処理安全確保支援士試験又は情報セキュリティスペシャリスト試験の問題作成に通算2年以上従事した者で、情報処理安全確保支援士の業務を行うのに十分な能力を有すると警察庁長官、防衛大臣、内閣情報官又は情報処理推進機構理事長が認める者は、経済産業大臣の認定により、試験に合格することなく情報処理安全確保支援士の登録を受けることができる^[20]。
2. 経済産業大臣により情報処理安全確保支援士試験の全部免除を受けた者^[18]
   情報処理推進機構が行うサイバーセキュリティ対策に資する知識および技能の講習であって、全科目の合格に必要な知識および能力を習得できるものとして経済産業大臣が指定したもの（産業サイバーセキュリティセンターが行う中核人材育成プログラム^[1]）を修了した者は、修了から1年以内に申請することにより、試験の全科目を免除され、登録が可能となる。

講習受講義務

情報処理の促進に関する法律第19条、26条の規定により、情報処理推進機構の行うサイバーセキュリティに関する講習が未受講の場合、資格名称の使用停止又は登録の取消しとなることがある。

講習目的

• 共通キャリア・スキルフレームワークのレベル4の維持
• 集合講習におけるグループディスカッションを通じた情報共有や人脈形成の推進
• 最新のサイバーセキュリティについての知識・技能・倫理の学習

講習内容は知識・技能・倫理の3科目で、常に最新の情報セキュリティを習得できるように毎年内容のメンテナンスが行われる。

• サイバーセキュリティに関する知識

  攻撃手法およびその技術的対策、情報セキュリティ関連制度等の概要および動向

• サイバーセキュリティに関する技能

  脆弱性・脅威の分析、情報セキュリティ機能に関する企画・要件定義・開発・運用・保守、インシデント対応、情報セキュリティ管理支援

• 情報処理安全確保支援士として遵守すべき倫理

  倫理的責任と義務、法令遵守・契約履行

更新制

2020年5月15日（金）施行の情報処理の促進に関する法律の一部を改正する法律（改正法）により、更新制度が導入された。^[21]

登録の有効期限を3年とし、更新期限の60日前までに更新の申請を行う必要がある。更新を行うには、次に挙げる講習を全て修了する必要がある。

• 共通講習（オンライン講習）を3回（1年につき1回）
• 実践講習（IPAが行う「実践講習」または民間事業者等が行う「特定講習」の中からいずれかを1つ）を3年に1回

欠格事由

以下に該当する者は、情報処理安全確保支援士となることができない（欠格事由、情報処理の促進に関する法律第8条）。

• 心身の故障により情報処理安全確保支援士の業務を適正に行うことができない者として経済産業省令で定める者
• 禁錮以上の刑に処せられ、その執行を終わり、又は執行を受けることがなくなつた日から起算して2年を経過しない者
• 情報処理の促進に関する法律その他、情報処理に関する法律の規定であって政令で定めるものにより、罰金の刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から起算して2年を経過しない者
• 情報処理安全確保支援士の登録を取り消され、その取消しの日から起算して2年を経過しない者

その他

• 情報処理安全確保支援士登録者の科目免除等資格の優遇
  • ITコーディネータ（ITC）試験の科目免除^[22]
  • 情報セキュリティ監査人補の筆記試験免除^[23]
  • PCI DSSの監査人に対する資格要件の充足(日本国内に閉じた監査に限定される)^[24]

→「§ 情報処理安全確保支援士試験合格者の科目免除」も参照

• 情報処理安全確保支援士登録者の任用・採用資格
  • 警視庁特別捜査官の3級職（警部補）のサイバー犯罪捜査官の採用資格（民間等における5年以上の有用な職歴を要する）^[25]
  • 技術航空幹部（3等空佐・1等空尉・2等空尉）の採用資格（情報セキュリティ関連の業務経験を３年以上有することを条件としている）^[26]
  • 技術陸曹・海曹（2等海曹・1等空曹）の任用資格^[27][28]

沿革

• 2016年（平成28年）
  • 4月22日 - 情報処理安全確保士を規定する「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律」を公布。
  • 10月21日 - 同月19日に公布された政令により上記改正法が施行された。
• 2017年（平成29年）
  • 4月1日 - 「情報処理安全確保支援士」の初回登録が実施され、4,172名が情報処理安全確保支援士に登録された^[29]。
• 2020年（令和2年）
  • 4月1日 - 「情報処理安全確保支援士」の登録者総数が20,413名となり、2万人を突破した^[30]。

普及策

普及策の検討

産業構造審議会商務流通情報分科会情報経済小委員会試験ワーキンググループにおいて、他士業の事例等を参考に様々な制度普及案が検討する方向性が示された^[31]ものの、同ワーキンググループ報告書^[4]では具体的な普及策は示されていなかった。

情報セキュリティ関係団体との連携

2017年2月7日 情報セキュリティ関係の10団体による「中小企業における情報セキュリティの普及促進に関する共同宣言」において、中小企業と関わりの深い商工団体・士業団体の全国組織、IT関連団体と情報処理安全確保支援士等情報セキュリティの専門家との連携強化の枠組みがスタートした。また、具体的な取り組みとして中小企業の情報セキュリティに関する取り組みを認定・表彰する制度（SECURITY ACTION セキュリティ対策自己宣言）が実施された。^[32]

• 一般社団法人中小企業診断協会
• 全国社会保険労務士会連合会
• 全国商工会連合会
• 全国中小企業団体中央会
• 特定非営利活動法人ITコーディネータ協会
• 特定非営利活動法人日本ネットワークセキュリティ協会
• 独立行政法人情報処理推進機構
• 独立行政法人中小企業基盤整備機構
• 日本商工会議所
• 日本税理士会連合会

サイバーセキュリティ経営ガイドラインでの活用

2017年3月28日 経済産業省が策定しているサイバーセキュリティ経営ガイドラインの解説書（サイバーセキュリティ経営ガイドライン解説書）が公開された^[33]。解説書の中でサイバーセキュリティ人材の確保・育成において、(ISC)²が運営するCISSPや情報処理安全確保支援士制度の活用が補足されている。

2020年9月30日 経済産業省が制定しているサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開された。その中でセキュリティ統括人材は、セキュリティに関する幅広い知識・スキル・経験を身に着けた人材である情報処理安全確保支援士・IPAの中核人材育成プログラムの修了生などが理想的であるとされた。^[34]

支援士ロゴマーク利用の促進

2017年3月31日 情報処理安全確保支援士のロゴマーク利用方法が公開された。情報処理安全確保支援士（有資格者）本人は登録番号を併記することでロゴマークを使用でき、企業も利用規約に従いIPAに使用申請することでロゴマークを使用できるようになった^[35]。

登録者情報の公開

2017年4月3日 情報処理推進機構が管理する登録者の情報が公開された^[1]。これに伴い情報処理安全確保支援士の企業別登録者の一部が明らかとなり、サイバーセキュリティ人材育成・確保の指標として利用できるようになった。もっとも、技術士^{[注 3]}と異なり勤務先は登録事項でなく自己申告で、公開も任意であり、現実に過半数の登録者は申告または公開しなかったため、あくまで目安でしかない。

情報セキュリティ監査人資格制度における高度情報セキュリティ資格特例制度

2017年4月6日 特定非営利活動法人日本セキュリティ監査協会（JASA）が実施している情報セキュリティ監査人資格制度において、情報処理安全確保支援士等を対象とした資格優遇制度（高度情報セキュリティ資格特例制度）が整備され、情報セキュリティ監査人補の筆記試験免除が可能となった^[23]。

PCI DSSの監査人に対する資格要件

2020年2月に PCI DSSの監査人に対する資格要件の一つに、情報処理安全確保支援士が追加された^[24]。ただし、List A資格として情報処理安全確保支援士のみを保持している場合、PCI DSS評価をすべて日本のみで実施しなければならない^[36]。

徽章の貸与

2020年10月1日 情報処理安全確保支援士のブランド確立とその意義を広く社会にアピールするためのブランディング戦略の一環として、徽章の貸与が開始された。申請時に情報処理安全確保支援士として登録されていて、情報処理安全確保支援士徽章利用規約に同意・遵守できる者の申請により、有償で貸与される。タイタック式のもので、裏面に識別番号が刻印されている。^[37]

関連資格

※日本の情報に関する資格一覧の記事も参照のこと。

国家試験・資格

• 高度情報処理技術者試験
  • システム監査技術者試験
  • ITサービスマネージャ試験
  • ネットワークスペシャリスト試験
  • データベーススペシャリスト試験
  • エンベデッドシステムスペシャリスト試験
• 情報処理技術者試験
  • 情報セキュリティマネジメント試験
  • 応用情報技術者試験
  • 基本情報技術者試験
• 技術士
• 弁理士
• 中小企業診断士 (Registered Management Consultant)

情報セキュリティに関連する主な公的・民間資格

• Certified Information Systems Security Professional(CISSP)
• Offensive Security Certified Professional(OSCP)（英語版）
• Certified Ethical Hacker(CEH)（英語版）
• Global Information Assurance Certification(GIAC)（英語版）
• CompTIA (Security+, CySA+, PenTest+, CASP+)
• ISACA (CISA, CISM, CRISC, CGEIT, CDPSE)
• シスコ技術者認定 (CCNP Security, CCIE Security)