一般社団法人セキュリティ対策推進協議会 (通称: SPREAD) が実施する「SPREAD情報セキュリティサポーター」と「SPREAD情報セキュリティマイスター」の両資格に合格しました...正確には合格してましたので、今回はその話をします。

www.spread.or.jp

そもそも「セキュリティ対策推進協議会(SPREAD)」とは

「SPREAD(すぷれっど)」とは、情報セキュリティの意識向上を通じた安心・安全な情報社会の実現を目指す団体で、2004年に任意団体として発足、2015年から一般社団法人として活動を行っておりました。

特徴は意識のある個人を「SPREADサポーター」という形で認定し、情報セキュリティや情報モラルの啓蒙活動を支援している点で、私の記憶が正しければ全国合わせて1000人を超す人数が現在SPREADサポーターとして認定されております。2023年現在は同様の趣旨で活動している「一般社団法人 草の根サイバーセキュリティ推進協議会(通称: Grafsec)」と合併し、団体としてのSPREADは発展的解消をしています*1。

話を「SPREADサポーター」に戻すと、これに任命された個人は情報セキュリティや情報モラルを他人に教える立場となるので、団体としてはその質を担保するために一定以上のスキルを有する個人を判別する必要があります。そのための資格が「SPREAD情報セキュリティサポーター」と「SPREAD情報セキュリティマイスター」です。

両資格の立ち位置

SPREAD (現在はGrafsec) が提供するサポーターの能力を認定する両資格ですが、それぞれの立ち位置は以下のようになっています。

• SPREAD情報セキュリティサポーター : 情報セキュリティの基本がわかり、自力でインターネットトラブル等への備えができるレベル。SPREADサポーターになるための最低限の知識・能力水準を規定。
• SPREAD情報セキュリティマイスター : 情報機器の設定や組織・団体等のセキュリティレベル向上ができるレベル。SPREAD情報セキュリティサポーター要取得。

ここで言う「情報セキュリティ」とは「インターネットを安心・安全に使うための知識や方策」のことを指し、ISMS等で語られるような組織や経営レベルで検討が必要な項目であったり、情報システムの開発・運用で問われたりするような項目は一切出てきません。

そのため、これらの資格は「インターネットを安心・安全に使う備えのできる個人が、周囲の人に自分の持っている知識を教えられるかどうかを測るためのもの」という認識で概ね相違ないと思います。

実施スケジュールなど

サポーター検定、マイスター検定ともにそれぞれ年2回の実施が計画されています。現在のスケジュールはGrafsecの公式サイトで公開されています。

概ねサポーター検定の方が先に実施されるため、知識や能力に自信があれば「サポーターに合格したあと即マイスター」という流れも十分可能です。

かく言う私がまさにそれでして、2021年11月にサポーター試験を受験し合格した後、その直後の2022年2月のマイスター試験を受験し合格しています。

資格対策、対策期間など

資格対策は、検定ページで指定されている内閣サイバーセキュリティセンター (NISC) 発行の資料を読み込みます。情報処理技術者試験などにある試験範囲が一まとめになったような書籍は存在しないため、記事作成時点ではこれが唯一の方法です*2。

• インターネットの安心・安全ガイドブック
• 小さな中小企業とNPO向け情報セキュリティハンドブック

対策に要した時間は...ぶっちゃけた話をするとほぼゼロ。サポーター、マイスターともに隙間時間に資料に目を通すくらいしかやっていないので、実質的に無対策で受かったような感じです。

試験当日など

試験の実施形態はオンラインでのCBTで、申し込みから受験まですべて自宅から完結させることが可能です。

試験当日は、事前に事務局から送られてくる試験システムのURLにアクセスし、必要情報を入れて試験スタート。サポーター、マイスターともに四肢択一問題で構成されており「正しいものを選びなさい」「間違っているものを選びなさい」といった問題文に沿って、正しい解答を選んでいきます。

時間はサポーターが50問50分、マイスターが30問45分と1問1分ペースが基本になりますが、CBTに慣れている方やパソコンに強い方なら時間に余裕を持って終えることができるのではないでしょうか。私はどちらも20分ぐらいで終えた記憶があります。

合否の発表など

受験期間から1か月後くらいに合否の発表が記されたメールが事務局から送られてくるので、それで確認をします。試験に合格した場合はメールに合格証のPDFファイルも添付されています。

SPREADサポーター (現在は Grafsec 一般会員) になるかどうかは任意で、会員になる場合は会則をチェックした後、会員専用サイトに情報を登録すると認定されます。

実際どうなのよ

とまあ、ここまで一通りの話をしてきた訳ですが、サポーターとマイスター両資格とも非専門家の個人に向けた資格のため、専門家が受けるには役不足感が否めません。

社会人がスキルアップの一環で受ける、転職に役立てるために受ける、職業人としてのITリテラシーを高めるといった目的であれば情報処理技術者試験「情報セキュリティマネジメント」がおすすめです*3。エンジニア等の専門家であれば「情報処理安全確保支援士(登録セキスペ)」や「AWS認定 Security - Speciality」などのより高度な知識・技術が求められる資格の取得や、CTF や Hardening のような実務を伴うイベントに参加するのがいいでしょう。

また、既存のサポーターは地域の小中高校生やシニア層に啓蒙するような方が中心のため、専門家が有用なコネクションを得る目的で受けたとしても、目的に沿うかどうかは分かれるところかと思います。

私は試験問題やサポーターの方との交流を通じて「専門家と非専門家の間にある知識・経験ギャップの深さ」に気づけた...という意味では、いい勉強になったと思っています*4。

こうなったら良いな、という要望・願望など

ここからは単なる私の勝手な要望・願望なのですが、我が国が提供している類似の制度、例えば「デジタル推進委員 (デジタル庁)」や「e-ネットキャラバン講師 (マルチメディア振興センター)」などと互換性のある内容だと、取得する意義や取得者視点の使い勝手が良くなるのではないか...なんて思っています。

せっかく資格を取得してサポーターになっても活躍の場がない、もしくは必要とされる場が分からないのでは、お金を出してまで取得しようと思った折角の意欲が勿体ない。社会全体として、デジタル化社会に誰一人として取り残さないのであれば、支える人が増えるような横連携があっても悪くない...気がするのです。現在の管轄団体である Grafsec さん、そこをなんとか頑張ってください!