年に一度の○○といえば?スキルの棚卸を考える

2021年11月24日

どうも皆様、こんにちは。私は、補助金融業というやや特殊な業界の情シスをやっております。

社内ITサポート、社内インフラ構築・運用、IT企画・運用、セキュリティ対応、外部審査対応等、幅広く担当しております。

情シスになる前は、通称IT土方、大手IT企業の元請けからお仕事を下請けして現場常駐もしていました。ベンダーさんの心も分かる情シスでありたいと常々思っています。

唐突ではありますが「年に一度の○○」と聞いて、連想するものは何でしょうか。

社会人の多くなら「健康診断」がすぐ浮かぶでしょうか。
情シスも健康あってのこと、肉体面、精神面の両面に気をつかいながら、従業員の為、その先にいる顧客の為に頑張っていらっしゃると思います。

自分もこのコラムを書く少し前に診断を受け、概ねAばかりで安堵しているところです。ただ良性とはいえポリープがまた1個増えていた気がしたので、この職種はストレスが溜まるのだなと改めて認識しました。
ストレスは適切に定期的に排出するのが一番です。世の情シスの皆様、どうかお身体ご自愛くださいませ。

ITサポート・ヘルプデスク系でしたら「パソコンやサーバー等の機器の棚卸し」でしょうか。
特に経理担当者から機器の存在有無を確認される、その在りかを確認するべくオフィスを散策する、そして見つからずに、どこにあるんだと右往左往した経験のある情シスの方もいらっしゃるのでないでしょうか。

退職等で辞めた人のパソコンを別の人が使用して、その記録がなければ、迷子の誕生です。
IT資産管理を導入していなければ、現地でパソコンのラベルをみて確認することになりますが、コロナ禍でテレワークになった今、「あのパソコンどこ?」と慌てる情シスの方もいるかと思います。

セキュリティ界隈の方なら、年に一度といえば「セキュリティ診断や脆弱性診断やISMS等の外部審査」が浮かぶでしょうか。

年一回ではないかもしれませんが、システムのセキュリティを担保する上ではもはや恒例行事になっているのではと思います。

昨今のサイバー攻撃は、完全にビジネス目的、金銭目的になっています。セキュリティ的に弱いところから情報を搾取します。

昔は大企業や防御が堅そうなところに高度な技術を駆使して潜入する、平たく言えば、映画のスパイのようなことが起きていました。よって、そういったサイバーセキュリティ対策をするのは大企業だけ、といった風潮がありますが、もはや、そういう状況ではないということですね。

とりわけランサムウェアによるデータの暗号化対策はきちんとしておくべきでしょう。特に利便性からオンラインでのバックアップをしている企業では、今ではランサムウェアに対してはほぼ効果がないことを認識するべきです。

なお、私は経験上、システムの第二者監査を相当数経験しています。第二者監査は、所謂、ISMSやPマークの外部審査機関による第三者審査ではなく、取引先等のセキュリティや監査部門から受ける審査です。

主に金融機関が積極的に行い、多くの企業は実際に審査する時間もないので、チェックシートのような形で管理することが多いのが実態です。チェックシートの中では、だいたいISMSやPマークのようなことを聞かれることが多かったですね。

しかしながら、最近では、システム脆弱性診断や第三者サイバーセキュリティ審査(NIST準拠等)の有無まで聞いてくることがちらほらあります。

従来の規格によるチェックでは、外部のシステム利用や業務委託には不十分だ、と考えている企業が少なくないと肌で感じています。

適切に情報・サイバーセキュリティには気をつけていきながら、業務にあたりたいところです。

「ISMS等の外部審査対応」も、企業にとってはもはや風物詩のようなものでしょう。

サイバーセキュリティの段でも書いたように、官公庁はもとより金融機関や大手企業と取引をすることになると、嫌でもISMSを取得しているか、Pマークを持っているかを聞かれることになります。
そして、持っていなければ、取引をする為にほぼほぼ取得することになります。

単なるお墨付きと言えばそれまでですが、そういったプロセスを回していることは、もはや取得の有無に関わらず必要です。それが内部統制の一部にもなります。

総務界隈なら、似たようなことで「災害訓練」もあるでしょう。
そこに情シスも加わり、システム障害も踏まえた訓練をすることもあるかと思います。そういった訓練については、意外としていない企業も多いのではないでしょうか。

一度、シナリオを考えて実行してみると、良いところ悪いところが見えてくるので、やってみることを強く推奨します。連絡網や手段が整備・最新化されているか、異常時でのシステムログインの手順や誰が操作可能なのか等々、色々見えてくるかと思います。

そうなった場合、コーポレートサイトへの投稿内容をどうするか、どのタイミングで公開するか、記者会見は必要か、必要なら誰が参加しどのように伝えるか、そういったことも、想定内と考えるべきです。

記者会見が影響して、サービスが潰れるといったこともあり得るわけですから。会見に応じる人が基礎的なIT用語も分からないようでは、企業自体のイメージも落ちてしまいます。

この前、関東でも震度5強の地震があったばかりです。再び災害やサイバー攻撃を含めて事業継続について考えた企業も多かったのではないかと思います。

色々書いてきました。他にも「システムの大型アップデート」やら「予算の作成」やら、「取引している会社の更新」やら、年一度という側面ですら情シスという仕事は色んなことを扱う・関わることになります。

その意味でも情シスとしてスキルの維持向上は必須になります。
そういった意味で、個人的に年一度必ずやっていることがあります。それは「ITスキル調査」です。

ITスキル研究フォーラムが毎年6~8月ぐらいに行っており、無料で受診出来ます。
2020年の結果等は以下から参照できます。

ITスキル研究フォーラム 全国スキル調査
https://www.isrf.jp/home/event/chousa/chousa_19th.asp

自分はこれを彼是10年以上続けています。続ける理由は『「技術がある」と口で言うだけじゃわからない』、これに尽きます。

元々は2007年の情報処理技術者試験のキャッチコピーでしたが、最近でも使われているようですね。

「IT分かります、出来ます」と言っても「具体的に何が?」と伝わらないことは、今も昔もあるかと思います。

IT土方の現場でも、面接で採用したもののスキルがマッチしないということは度々ありました。今でもきっとあるかと思います。IT土方の現場では

現場リーダー:面接の時、出来るって言ってましたよね?
担当者:いや、これは出来ません。聞いていません。

こんなやりとりは日常茶飯事です。なので、そういう状況を皮肉って出来たキャッチコピーなのかな、と個人的には思っています。

ただ、技術も含めて「自分は一体どのぐらいのレベルにいるのか」そういったものを計る指標というのは、実はなかなか無いんですよね。

例えばベンダー製品についてならば、その関連資格をとってアピール出来るでしょうが、別の製品になったら通用しない、そんなこともザラでしょう。しかし技術者としては、製品知識以外のことも当然あるわけですよね。

そういったベンダーニュートラルな観点も含めて、出てきたものがITSS(IT Skill Standard、ITスキル標準)というものです。以下参考URLです。

ITスキル標準V3
https://www.ipa.go.jp/jinzai/itss/download_V3_2011.html

プロジェクトマネージャーやソフトウェア開発者等、IT業界で登場する色んなジャンル毎に評価する仕組みとなります。

昔は例えばITサービスマネージャーとしてどうかという軸で評価して、レベル4とか5といった結果が出ていたのですが、今はありとあらゆる領域のレベルを出してくれるので、自分のスキルがどういう領域か幅広く見ることが出来ます。

自分の場合、専門性としてはITサービスマネージャーが本職なので、そこをトップにネットワークやセキュリティが続き、更にストラテジストのようなものが情シス的についてきている、そのような感じです。

ITスキル研究フォーラムは、ITSSに準じた形で15年以上に渡り色んな技術者の評価をして、自分もその恩恵を受けている1人となります。評価の仕方としては、質問に答えていく形式なので自己申告となりますが、信頼度が算出されるので虚偽の場合は信頼度が低く出ます。

そういったスキル調査を毎年行うことで、昔と比べて現状がどうなのかを見てとれるので、個人的には非常に有益だと思っています。

直近でいえば、デジタル庁の発足の為に政府が最初に一般公募した時(2021年1月頃だったと思います)、募集された職種の募集要項の多くに、要件としてITSSレベル4以上と書いてありました。
(発足後の募集内容でもITSSレベル5を要求する職種もあり、それを示す必要があります。)

それを客観的に示せと言われて、面食らった人も多かったのではと思います。

『「技術がある」と口で言うだけじゃわからない』募集内容の件はまさにこれで、「自分は出来る」と言ったところでそれは意味がないもの。

開発者募集では成果物の提出を求められる場合もありましたが、そうではない職種、または募集とは無関係の職種の成果であれば意味はほとんどないでしょう。

ITサービスマネージャーを希望する人が、良いWebアプリケーションを作成し成果物として提出しても、ITサービスマネージャーに要求されるものはそれではないからです。

自分の場合は、IPAの資格(※)に加えてスキル調査の結果を残していたので、かなり客観的に示せたと思っています。それだけではなかったですが、結果的に書類は2つの職種で通りました。ただ、業務が忙しくなり、それ以降の選考は辞退せざるを得ない状況となりました。倍率40倍超の書類審査だったので、嬉しくは思います。 
※IPAの高度資格がレベル4相当

そのスキル調査のタイミングで、職務経歴もブラッシュアップしています。
自分の経歴を振り返るのも重要です。終身雇用で「1社にこの身を捧げます」というつもりであれば、あまり必要はないでしょうが、自分は割と素浪人のごとく転職をしているので、最低でも年に一度は更新しています。

さて、年に一度という側面から、これまで以下のようなことを書いてきました。

・社会人なら「健康診断」
・ITサポート系なら「機器の棚卸し」
・セキュリティ界隈なら「脆弱性診断や外部審査対応」
・総務系なら「災害訓練」
・ITスキル調査と職務経歴のブラッシュアップ

最後の「年に一度」として、このPCNWの「大会」をあげておきます。
コロナの影響で、対面での開催はもう2年出来ておりません。1年ぶりに会う方や初参加の方と「このシステムどう?使える?」「最近は何してるの?」といった会話を気軽に楽しめないという寂しさがありますね。

「大会」というイベント自体は、オンラインでも当然出来ています。
遠方の情シスさんも参加出来るという、オンラインならではの良さがあることも理解しています。

対面の勉強会を開催していた頃は、東京開催ならば首都圏、大阪開催ならば関西圏の方の参加がメインで、遠方からの参加はほとんどありませんでした。今のオンライン開催では全国津々浦々から参加していただけているので、それはそれで非常に嬉しいことです。

しかし、やはり対面の良さが懐かしく感じられ、また集まって会話やディスカッションができれば…と考えてしまいます。対面の勉強会が再開された折には、是非お話しましょう!

最後までお読みいただき、ありがとうございました。

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

PCNW運営委員より寄稿

大手ITベンダー等でITインフラ設計・構築・保守・運用等を幅広く経験後、「ぼっち情シス」としても、PCトラブルから情報セキュリティ監査対応まで幅広く担当。
現在はセキュリティエンジニアとして活動。

©2021 PC・ネットワークの管理・活用を考える会