【RISS】情報処理安全確保支援士の集合講習を受けてきました

お疲れ様です。
しらせです。

先日、昨年4月に登録した情報処理安全確保支援士(外部サイト) の集合講習を受けてきました。
私は情報セキュリティスペシャリストからの経過措置を利用していますので昨年10月にオンライン講習Cも受けています。
※こちらのレビューは書き忘れました

（ちなみに「しらせ」はHNですので公式サイトのデータベース上にはありませんのでご注意ください）

もくじ

講習の概要

今回の集合講習です。
会場は両国にある国際ファッションセンターを選択しました。
もちろん、日時は異なりますが東京だけでなく北は札幌から南は福岡まで選択できます。
集合講習について - IPA(外部サイト)

【開催概要】

講師の方が３～４名常駐していて、当日の司会進行やグループワークを分担して進めていく形でした。
始めに講師の方が自己紹介をして、その後各グループで1人1分程度でアイスブレイクを兼ねて自己紹介をしました。

午前のワーク

午前中は座学と軽いグループワークがあり、公式ページにある通り以下のようなコンテンツになっています。
4番まではテキストに沿った座学と簡単な小テストをこなし、5番目は軽いグループワークを実施しました。

内容はそれほど重くもなく薄くもないですが目新しさがあるわけでもなく、、世間一般的なセキュリティ事情や「支援士とは」のような話をベースに聞いていることが多いです。

• オリエンテーションなど
• 事前チェック
• 理解度確認テスト
• 講義（インシデント対応手法、情報セキュリティにおける倫理）
• トピックス検討ワーク

午後のワーク

午後は、打って変わって3時間みっちりグループによるケーススタディです。こちらも公式ページにある通りでした。
セキュリティ事故を起こした会社のCSIRTメンバーになっていることを想定して、CISOや経営層に対していろいろと口上するトレーニングです。

インシデント対応では、セキュリティ事故の状況整理から封じ込めまでの初動対応を踏まえて、CISOや経営層へ承認や判断をしてもらうための説明をします。
予防策の検討では、次に同じことを起こさないためには何が有効で、それに対してどれくらいの費用や影響があるのかを整理しました。
倫理については支援士としての心得を再認識して、ケースをもとにしてグループで一定の結論を出しました。

情報処理安全確保支援士は、れっきとした「士」業になるので、中途半端な行動は許されませんね。
ちなみに、各ケーススタディの合間に10分程度の休憩がありますのでご安心を。

• ケーススタディ① インシデント対応
• ケーススタディ② 予防策の検討
• ケーススタディ③ 倫理的な判断・行動に関するケース

参加したまとめ

先人の方のブログを見ていると、もともと評判は良さそうだったので期待しつつも参加してみると、確かに実践的で内容としては悪くないなぁと思いました。

私自身CSIRTと関連があまり無かったので不安はありましたが、周りの方もSierや現場の方が多かったので話しやすい印象でした。
各ケーススタディの内容がセキュリティ事故に絡むということで考慮する点が多いにも関わらず、時間が40分程度と限られているのでグループで積極的に話をしないと結論まで行けないのですぐに打ち解けると思います（笑）。

【良かった点・気づき】

• 今まで自分が情報セキュリティに対して思っていた事が、共通認識としてあるんだなぁと安心した
• ケーススタディを通じて、企業の情報セキュリティで考えるポイントが見えた（気がした）
• 情報システム部門の役割ってどの会社も違うんだなぁと感じた
• 「RISS」は「リス」ではなく、「あーるあいえすえす」と読むそうです

【悪かった点・不満】

• 受講費が高い（講習に8万円という価値があったかと言われたらちょっと疑問）
• 大した専門業務があるわけでもないのに責任が重い

講習内容に不満は特にありませんが、この資格自体の不満というかモヤモヤが一番でかいですね。
これで先2年は8万円の出費が無いわけですが、3年後にこの制度がどうなっているのか情報セキュリティ事情はどうなっているのか考えながら終わります。

以上
お疲れさまでした。