IPA からメールが届いた。情報処理安全確保支援士の申請が受理されたとのこと。

もともと、会社の方から「情報セキュリティスペシャリストの資格がある人は申請してね。申請費用は会社が負担するよ！」という事で申請したのだけれど、これがなかなか骨の折れる作業で、費用もなんやかんや2万円程度かかる。

また、この資格の困ったところは、定期的に研修（オンライン、オフライン両方）を受ける必要があり、またその費用も結構な額になるところだ。Cisco などのベンダ資格に通じるものがある。

しかも、ベンダ資格と違い、特に認定されたところで特定の機器の扱いに対しての専門性が保証されるというわけではない。セキュリティと言っても、DDoS のような攻撃もあれば、OS の脆弱性を突いた不正アクセス、sql 構文周りの仕様とアプリのコーディングミスを突いた乗っ取り、はたまた情報弱者を狙った標的型攻撃など様々だ。情報セキュリティスペシャリストでは、名前と反して、これらを網羅的に把握したいわゆるジェネラリストであることの証左には向いているが、セキュリティの資格があっても DDoS 攻撃に対する自衛措置（FW の設定を適切に行うとか、Traffic 解析を行い、特異なアクセスを遮断するとか）ができるわけでもなく、パスワード総当たり攻撃を想定してそれに強い運用ポリシの設計ができるわけでもない。その延長である情報処理安全確保支援士とて、同じであろう。

IPA の資格は基本的に、国家資格であり、なんとなくベーシックな知識を持っているという事が示せるというところが売りで、かつ更新料もかからないので個人でもそこそこ気軽に取れる（ので就職活動の時にさらっと書くために取っておく）みたいなノリで受けている人も結構いるのではないかと思う。あとは昇進のためとか。

更新料がかかるわ講習も受けないととなると、あまりふわっとした理由で取ることが憚られる。具体的な要件に充足することを証明する資格ではないものについて、個人がそのメンテナンス費用を払えるかというと微妙だし、会社としてもそうだろう。

今後こういった講習を受けるのはいいとして、その費用は会社が出してくれるのだろうかという若干の不安を抱えている。