2024年4月の気になるインターネット記事をピックアップ

ゴールデンウィークも終わり、また厳しい戦いの日々が始まります。3,4月に気になった記事をストックしていたので紹介します。

OTのセキュリティでこれから必須になるインシデントへの対応 “OT”とは産業制御のこと。IoTとは別のセキュリティ対策が必要になるということなので、無関係と言わず読んでみることに。ソフトウェアのみならず、物理的な産業機械も今やインターネットにつながるのは当たり前で、サイバー攻撃の被害を受けています（アメリカのコロニアル・パイプラインに対してや、トヨタ自動車工場に対して等）

エネルギー業界では2023年12月21日に、「高圧ガス保安法等の一部を改正する法律」と「認定高度保安実施事業者制度」が施行された＜中略＞　「事故（インシデント）調査は、事業者の報告を受けて国が必要と判断すればIPAも携わることになる。国の機関も対応するということは当該業界にとって非常に重要なことを意味する」 IPAが調査に関わる場合は、書面による調査と現場の調査が行われ、最終報告書が作成される。一連の調査では、影響の可能性があるシステムや機器、ネットワークなどの各種ログデータの保全や分析といったことが実施される。事業者側もこうしたことを可能にしておかなければならず、新たな対応コストとノウハウや人材などの不足が問題になる

セキュリティインシデント対応のため、統一されたフォーマットを各企業が用意する必要があるこの運用は今後産業制御業界だけでなく、ソフトウェア業界にも広がるのではないか、と思いました。

クラウドセキュリティにおける具体的な対策を検討、実践する上で知らないと損する文書まとめ

AWSを使っていますが、クラウドを利用することによるセキュリティのメリットは感じます。業界のセキュリティ標準に合致した様々なサービス（AWS Config、GuardDuty、Secutiry Hub、AWS WAFなどなど・・・）をマネージドサービスとして利用でき、EC2インスタンスやRDSのような基本サービス自体にもプロバイダ側がセキュリティ対策を施してくれています、その上冗長でシステムを作ることで全ダウンなどを防いでくれています、これを自力で同じものを作ろうとしたら時間もお金も膨大でしょう。そのうえで、我々がここでやらなければならないものもあります。

どんな業務が、どれぐらい重要で、誰に割り当てられ、今どの程度できているのかを表にした「セキュリティ関連業務サービスポートフォリオ」を作ることを推奨する。

加えて

「何から身を守るのかを明確化する」

ために、システムのインフラ構成図を作ったのち、各サービス（サービス群）に対してSTRIDEモデルを使って何に対して脆弱性があるのかを洗い出すとのこと。骨が折れる作業です。セキュリティ対策は何かの片手間でやるのではなく、それを専門として機動的に対応できる組織・人材が欲しいですよねぇ。 ”用語は知っている”セキュリティフレームワークを実際に業務に取り入れる方法について丁寧に説明されている良い記事です。

IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理

良くまとめられています、参考になるリンクも貼られていますし、試験対策を頑張っている人にとって役立つ記事だと思います。知らない用語、忘れてしまった用語だらけです。今もう一度試験を受けたら、おそらく不合格なのだろうなぁ…。

セキュリティ対策は株価を上げるのか～株主総利回り（TSR）の平均値は高い傾向

優れた安全保障パフォーマンスを持つ企業は、基本的な安全保障レンジの企業と比べて財務パフォーマンスも顕著に高いことが明らかになった

卵が先かひよこが先か、の話しではないでしょうか。財務パフォーマンスが高い企業は安全保障に対してコストを払うことができる、一方で中小・ベンチャーは利益こそ第一、セキュリティは売り上げの数字に積みあがらない（純粋にコストと考えられている）ので後回しにされる。

投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ

この記事の参照元の記事は以下になります。

「サイバーセキュリティおよびプライバシー情報開示」に関する日米投資家の意識調査2024 グラフで分かりやすく、米国と日本のセキュリティに対する差を表しています。

円安により海外からは日本は魅力的な投資先のように見えています。その際に”海外からの投資を受けるためには、適切な情報開示やセキュリティ対策がしっかりと講じられていることをアピールする必要があります”。サイバーセキュリティは経営課題と言われていますが、投資家対策にもなる、というのはセキュリティ人材が会社にセキュリティを提案する際の頼れるフレーズになるかもです。セキュリティ担当を勇気づける内容となっています。

日本のIT担当者の69％に「セキュリティ疲れ」～ソフォスが調査結果を発表

平均23％で燃え尽き症候群により退職した従業員がおり（日本は13％）、平均20％の企業で、燃え尽き症候群によるパフォーマンスの問題から、従業員の異動を行ったことがある（日本は12％）

セキュリティに終わりはなく、サヨナラホームラン、タッチダウンもない。永遠に殴られ続け、クリンチして、たまにカウンターパンチを食らわせるだけです。つらいですね。

情報処理安全確保支援士とはどんな資格？難易度や勉強時間、勉強法などを詳しく解説 Yahooに掲載されている記事なので注目度も高かったのではないでしょうか。

情報処理安全確保支援士の平均年収は707万円、平均年齢は38.1歳とされている。これは、一般的に業務システムを開発するシステムエンジニアの平均年収（550万円）よりも高い水準である。また経済産業省の「IT関連産業の給与等に関する実態調査結果」によれば、情報処理安全確保支援士が携わるであろうIT技術スペシャリストの平均年収は約758万円であり、他の職種と比べても高めであることがわかる。

噓でしょ…スーパーセキュリティスペシャリストが平均を押し上げていると信じたい(T T) 記事の内容はこれから情報処理安全確保支援士の試験を受ける人向けの内容ですが、コメントに注目。やっぱり皆さん維持費が高いところが納得いかないもよう。CISSPは試験代こそ$700（円安のせいでたいへんなことに・・・）ですが、きちんと勉強したこと、アウトプットしていることを示せば更新自体は無料なので、世界的にも通用するこの資格に関心がある人のコメントもあります。