情報処理安全確保支援士(登録セキスペ)は、官公庁の案件で入札条件になっていたり、PCI DSS(クレジットカードのセキュリティ基準)の監査人の資格要件にはなっているものの、独占業務など資格を活かせる仕事が今のところありません。
ただ、2026年10月頃にスタートするセキュリティ対策評価制度で登録セキスペの出番があるのではないかと予想されています。
セキュリティ対策評価制度の概要と、現在わかっていること、そして登録セキスペがどこで活躍するのかを説明します。
セキュリティ対策評価制度とは
※ここからは注記がない限りは上記リンク内の情報を参考にしています。
セキュリティ対策評価制度をひと言で言えば、企業がセキュリティ対策をどれぐらい徹底しているかを評価して可視化する制度です。この評価を元にセキュリティ対策に取り組んでいる取引先を選定することができます。
企業がどれだけセキュリティ対策に取り組んだとしても、取引先や委託先企業のセキュリティが脆弱だと、そこを入り口にしてサイバー攻撃の被害に遭ってしまいます。これをサプライチェーンリスクといいます。
IPAが公表している情報セキュリティ10大脅威 2026では、サプライチェーンや委託先を狙った攻撃が8年連続ランクインしており2023年以降連続で2位です。
サプライチェーンリスクの事例
2024年に自治体などから納税通知書などの作成を受託していた株式会社イセトーが、ランサムウェア攻撃を受けて情報漏えいが発覚し、自治体などは個人情報流出の説明と報告を行いました。1
また、2025年のアサヒグループが受けたランサムウェア攻撃では、受注・出荷・生産管理システムと製造ラインが停止する事態になりました。この報道はサプライチェーン起因と明言されているわけではありませんが、商品流通サプライチェーン全体への影響を及ぼしたという点で、サプライチェーンリスクの一例と言っていいでしょう。2
このようにサプライチェーンに関係するセキュリティ事故のニュースは日々発生しており、その対策として提案されているのがセキュリティ対策評価制度です。
セキュリティ対策の段階
セキュリティ対策評価制度は企業のセキュリティレベルを★1~★5で格付けします。
この内★1と★2は、すでにSECURITY ACTION(セキュリティ対策自己宣言)3として運用が始まっています。★5は2026年度以降の検討を予定しているため、今の時点で論点にすべきは★3と★4の要件です。
公表されている情報より、一部省略して抜粋した表がこちらです。
| 成熟度の定義 | ★3 | ★4 |
|---|---|---|
| 想定される脅威 | 広く認知された脆弱性等を悪用する一般的なサイバー攻撃 | サプライチェーンに大きな影響をもたらす企業への攻撃 |
| 対策の基本的な考え方 | 全てのサプライチェーン企業が最低限実装すべきセキュリティ対策 | サプライチェーン企業等が標準的に目指すべきセキュリティ対策 |
| 評価スキーム | 専門家確認付き自己評価 | 第三者評価 |
違いを簡単に言えば、★3は「最低限のセキュリティを満たしていることの証明」、★4は「取引上から選ばれるための認証」といった位置づけです。
取得に必要な評価プロセスは★3は文書確認が中心で、1~2日程度で完了すると想定されています。★4の場合は文書確認に加え実地審査、技術検証がそれぞれ1~2日程度かかるため、合計1週間程の長丁場になります。
取得からの有効期間は★3が1年、★4が3年で有効期間内は1年ごとに自己評価を行います。取得以降に大きなシステム変更などで設定した適用範囲や要求事項・評価基準の遵守状況に影響を及ぼす場合は、再度確認と評価を受ける必要があります。
情報処理安全確保支援士の役割
評価スキームにおいて、セキュリティ専門家が★3では自己評価の確認者として、★4は評価責任者として位置づけられます。
このセキュリティ専門家とは、作業従事者を監督し、確認結果に対して署名する責任を負う者です。この立場は情報処理安全確保支援士(登録セキスペ)が担うことになります。これまで独占業務がなくて目立たなかった登録セキスペにようやくスポットが当たる時が来ました。
登録セキスペはITSSレベル4相当と位置づけられ、更新研修によって継続的に力量を維持していることが制度上担保されています。
同等の力量を保有している者として公認情報セキュリティ監査人、CISSP、CISM、CISA、ISO27001 主任審査員もセキュリティ専門家として認められるようです。
これらの資格を保有しつつ、★3の評価者としての知見や注意事項を学ぶための研修を受講が必要です。
なお、セキュリティ専門家の監督下で確認を行う作業従事者は資格要件はありませんが、研修の受講が必要です。
また、★4における技術検証で立ち会う技術検証責任者は、情報セキュリティサービス基準適合サービスリスト(脆弱性診断サービス)に掲載されているサービスの技術責任者が担当します。
サイバーセキュリティお助け隊サービス(親類型)
★3と★4の取得を目指すのは主に中小企業になると予想します。
これから検討が開始する★5は国際規格等におけるリスクベースの考え方に基づくということで、おそらくISMS (ISO 27001) に近い基準にするのではないかと見受け、大手企業は★5の取得を目指すと思われるからです。
ただ、そもそも登録セキスペが不足していると言われている現状、中小企業で内部に登録セキスペがいる企業は多くないはずです。そこで、経済産業省とIPAは「サイバーセキュリティお助け隊サービス(親類型)」を創設し、国が認定した民間事業者を公表して中小企業がセキュリティ対策評価制度を受けやすくする狙いです。
また、★3は文書確認が中心のため、独立系の情報処理安全確保支援士による副業マーケットが生まれる可能性も考えられます。
評価を受けるのが当たり前になっていく
この制度について、多くのベンダーが説明会を行ったり支援する体制を取っている様子から、制度開始後から一気に取得が進むと予想しています。
すでにSECURITY ACTION宣言がIT関係の補助金申請の要件になっていることから、セキュリティ対策評価制度も要件に組み込まれるでしょう。★3の取得が必須、★4の取得で補助金率を引き上げるといった施策が行われるのではないでしょうか。
取得する企業が増えるとセキュリティ対策評価制度を受けていない企業は取引を忌避されることになり、国全体で企業のセキュリティレベルが上がることに繋がります。
登録セキスペはこれまで“持っていても武器になりにくい資格”と言われてきました。
しかし、セキュリティ対策評価制度が定着すれば、「評価を担う国家資格」としての役割が明確になります。
2026年は登録セキスペにとって転換点になるかもしれません。
コメント