情報処理安全確保支援士「オンライン講習（2025年度）」を受講しました

Faber Company 技術戦略チームの菅原です。

2026年1月にベトナムから帰国して所属が変わりました。帰国の話はまた別の機会にするとして、今回は情報処理安全確保支援士の「オンライン講習（2025年度）」を受講したので、その内容や感想を共有します。

情報処理安全確保支援士とは

情報処理安全確保支援士（登録情報セキュリティスペシャリスト、登録セキスペ）は、独立行政法人情報処理推進機構（IPA）が管理する「サイバーセキュリティ対策を推進する人材の国家資格」¹です。

サイバーセキュリティ対策を担う人材の育成・確保のために策定されており、経済産業省の「情報セキュリティサービス基準」における情報セキュリティサービスの提供や、クレジットカード業界のセキュリティ基準である「PCI DSS」の監査など、幅広い分野で専門性を示す資格として知られています。

オンライン講習とは

情報処理安全確保支援士の資格を維持するため、以下の講習を受講することが定められています。

1年に1回の「オンライン講習」
3年に1回の「実践講習」または「特定講習」

オンライン講習は、情報処理安全確保支援士の資格を維持するために毎年受講が必要な講習です。

情報処理安全確保支援士として必要な知識や心構えを扱う初年度の講習と、最新のサイバーセキュリティ動向や対策方法を扱う2年目以降の講習（各年度版）があります。私は2024年4月に資格を取得したので、今回は2025年度の講習を受講しました。

受講料は2万円（非課税）です。

オンライン講習の内容

オンライン講習はスライド形式で提供されています。内容についてはシラバスがIPAのサイトに公開されていますので、誰でも確認できます。

今回受講した2025年度の講習は、以下の6単元で構成されています。

登録セキスペに期待される役割と知識
AI利活用とAI規制の動向
AI利活用に向けたセキュリティ管理の動向
脅威インテリジェンスの生成と活用
ランサム被害への対応
コンプライアンスとガバナンス

特にAIに関する内容が多いのが印象的です。実務でのAI活用が進む中で、登録セキスペとしてもAIに関する知識や対策が求められていることがわかります。

単元の終わりには5問の確認テストがあり、全問正解で合格となります。すべての確認テストに合格し、最後のアンケートに回答することで、講習の修了となります。

標準学習時間は6時間ですが、私の場合は業務の隙間時間で進めたため、全体で1週間ほどかかりました。

気になった参考文献

講習内で紹介されていた参考文献の中で特に気になったものを、NotebookLMによるまとめとともにいくつか紹介します。

広島AIプロセスに関するG7首脳声明 | 外務省

2023年に日本が議長国を務めたG7広島サミットにおいて、生成AIの国際的な指針を確立するために発表された首脳声明をまとめたものです。主な内容として、最先端のAIを開発する企業や団体が遵守すべき国際的な指針と、具体的な指針となる行動規範が提示されています。急速に進化する技術に対して共通のルールを設け、安全で信頼できる活用を促進することを目的としています。

私は広島出身で、G7首脳会議が広島で開催されたこともあって、この声明が取り上げられていたことは特に印象に残りました。

AIの安全な利活用に向けた国際的な協力の重要性が強調されており、目の前のAI活用ガイドラインが国際的な取り組みの中でどのように位置づけられるかを理解するのに役立ちました。

人間中心のAI社会原則

AI技術の進展に伴い日本が目指すべき「人間中心のAI社会」の構築に向けた基本指針をまとめたものです。少子高齢化や持続可能性といった社会課題を解決するため、AIを「公共財」と捉え、人間の尊厳や多様性を尊重するSociety 5.0の実現を提唱しています。また、AIを適切に使いこなすための「AI-Readyな社会」への変革を求め、技術の恩恵をすべての人が享受できる環境整備の重要性を説いています。

AI技術が日本や世界に対してよい影響を及ぼすために、社会が整備しておくべき環境要素について触れられているのが印象的でした。技術的な側面だけでなく、人間がAIをどのように使いこなすべきかを社会システムとして実装するというアプローチは、普段のプロダクト開発には欠けていた視点だと感じました。

国境を越えたガバナンス構築の重要性にも触れられており、AIの能力を活用しつつ、その限界や問題にも真摯に向き合う体制が求められていることがわかります。AIを使いこなす組織を作るうえで参考になる資料です。

ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引

ソフトウェアの透明性を高めるSBOMの導入と活用を支援するための実践的なガイドラインです。サイバーセキュリティの脅威が増大する中、ソフトウェアに含まれるコンポーネントの依存関係を可視化し、脆弱性管理やライセンスコンプライアンスを効率化する手法を解説しています。さらに、実証実験に基づくコスト削減効果や、導入に際して生じがちな誤解と事実についても詳述されています。

SBOMとは、ソフトウェアの部品表のようなもので、ソフトウェアに含まれるコンポーネントや依存関係をリスト化したものです。

当社では本格的なSBOMの運用には至っていませんが、上場企業として求められるセキュリティ対策の一環として検討の価値があると感じています。具体的な導入効果や、既存の構成管理ツールとの組み合わせ方など、実務に役立つ内容が多く含まれており、SBOMの導入を検討する際の参考になりそうです。

ＡＩを用いたクラウドサービスの安心・安全・信頼性に係る情報開示指針（ＡＳＰ・ＳａａＳ編）

AI機能を搭載したクラウドサービス（ASP・SaaS）の安全性や信頼性を確保するために、事業者が公開すべき情報項目をまとめた情報開示指針です。利用者が安心してサービスを選択できるよう、財務状況や組織体制といった経営基盤から、AIの精度や責任分担まで多岐にわたる項目が設定されています。特に情報セキュリティ対策や個人情報の取り扱い、障害発生時のサポート体制については詳細な開示が求められています。

当社のサービスにもAI機能が組み込まれているため、会社として公開すべき情報を整理するうえで参考にできそうです。契約時のセキュリティチェックで必要とされる内容と重なっている部分も多く、安心してサービスを選んでいただけるように情報公開の姿勢を示す必要性を感じました。

セキュリティ関連費用の可視化

IPAが提供する、サイバーセキュリティ対策の予算確保を支援するツール「NANBOK」です。企業の経営層と実務担当者の間にある認識のギャップを埋めるため、被害想定を具体的な損害額として算出できるのが特徴です。利用者は、業界や脅威シナリオを選択して自社情報を入力することで、対策によるリスク低減効果を数字で可視化できます。

登録セキスペ共通の悩み事に、セキュリティ対策のための予算や工数の確保があります。自社が抱えるリスクを具体的な数値として把握すれば、経営層への説明や予算確保が容易になります。セキュリティ戦略を根拠をもって説明するためのツールとして使えば、社内でのセキュリティ対策の理解促進や、より効果的な予算配分につながる可能性があると感じました。こうしたツールがIPAから提供されていることは、登録セキスペにとって心強い支援になると思います。