　「航空機を購入しても、すぐに空を飛べるわけではない。空を飛ぶにはパイロットが欠かせない。それも訓練を受けた優秀なパイロットが必要である」。これはSANSの幹部が、情報セキュリティ対策におけるトレーニングの重要性について述べた比喩である。この当たり前のことが、企業の情報セキュリティ対策では忘れられていないだろうか。

　情報セキュリティ対策では、技術と人のバランスが重要である。どんなに優れたソリューションを導入しても、それを適切に運用するスキルをもった人がいなければ有効性は半減する。この問題の解のひとつがセキュリティプロフェッショナルの育成である。

SANSトレーニングとGIAC認定資格

　SANSでは、2004年8 月現在、セキュリティの基礎、ファイアウォール、侵入検知、OS（基本ソフト）からセキュリティ監査、マネジメントなどに至る17のトレーニングコースを設け、米国を中心に政府機関や企業から多くの受講者を集めている。コースはどれも実務的スキルの習得に力点が置かれ、このうち13のコースにそれぞれ対応した認定資格が設けられている。これがGIAC（Global Information Assurance Certification）である。SANSのトレーニングによって身に付けたスキルが、GIACの取得によって証明される仕組みである。

　GIACの目的は、セキュリティ関連業務で真に通用する実務スキルを客観的に証明することである。実務スキルとは、たとえばセキュリティマネジメントではPDCA（Plan－DO－Check－Action）のサイクルを回していくことが求められるが、それぞれの局面において単にそれを理解しているというだけでなく、何が必要かを考え実践できる能力である。「知識」の有無で合否を判定する試験が多いなかで、「スキル」の有無を重視するところにGIACの重要な意味がある。

　GIAC試験は、課題論文の提出（一次試験）と選択式試験（二次試験）で構成されている。実務スキルの証明には論文試験が有効である。論文テーマは受験者の関心事項やケーススタディなどおおむね自由に設定できるが、高い独創性が求められる。合格者の論文はSANSのWebサイトで公開されており、実際、セキュリティ関連の参考文献として専門家により頻繁に閲覧されている。なお、試験は3 回まで再受験が可能で、論文試験に不合格だった場合には、どこが悪いのか、どのように書き直せばよくなるかといったコメントが採点者から返ってくる。このプロセスが、受験者の実務スキルの養成に大きく寄与していると言える。

　また、それぞれのカテゴリーに応じて2年～4年で認定が失効するため、再受験が必要となる（再受験は選択式試験のみ）。したがって、合格した後もセキュリティに関する技術や制度動向に関する最新知識の習得は欠かせない。

　なお、NRIセキュアテクノロジーズはSANSと提携して、このGIAC認定試験を日本語化し、日本語で受験できるようにしている。

GIAC取得の意義

　GIACを取得することには次のような意義とメリットがある。

（1）自社の情報セキュリティ戦略を推進する重要なポジションに実務スキルをもったGIAC取得者を配置することによって、各種の施策立案やインシデントハンドリング（セキュリティ危機管理）など、高度な技術的知識・スキルを要する業務が的確に遂行できる。

（2）セキュリティ関連業務の人材を採用する場合、GIACの取得を実務遂行能力の指標として活用できる。

（3）GIAC取得への取り組みや、GIAC取得者数などを対外的にアピールすることによって、競争戦略上優位に立てる（実際、日本でも入札資格に「GIAC取得者を有する事業者」と明記される案件も出はじめている）。

　GIACの全カテゴリーを合わせた合格者は、2004年8 月23日現在、全世界で延べ6,902名である（うち日本人は数名程度）。この数は他のセキュリティ関連資格と比べるとかなり少ない。資格取得までには多くの時間と計画的で忍耐強い学習、実務経験などが必要で、必然的に合格者が限られることになるが、それがGIACの価値を高め、資格を取得した個人とその所属する組織のステータスを高めている。

キャリア開発としてのGIAC

　今日、企業の情報セキュリティに対する取り組みは社会的な要請である。企業としては、制度、技術、人材の3つの側面から適切な施策をとっていることを対外的に示す必要がある。制度を立案・改定し、技術を導入・運用するためのプロフェッショナルなスキルを客観的に証明するGIACは、現在のところ取得者も限られている。しかし、制度と技術を有効に活用して情報セキュリティ対策を具体的に推進する人材の役割は重要である。企業は計画的にGIAC取得者の養成に努めるべきであろう。