2025年4月の気になるインターネット記事をピックアップ

2025年4月の気になるインターネット記事をピックアップ

2025, Jun 08    

最近サイバーセキュリティに特化したコミュニティ(Slack)「Cyber-sec+(サイバーセキュリティ プラス)」に参加しました。 多くのセキュリティ担当者が価値ある投稿してくださっており、情報収集や最新ニュースの把握に役立たせてもらっています。 紹介されていた現場のAI活用希望 vs セキュリティ - 板挟みコーポレートエンジニアのためのセキュリティ・ガバナンス実践録はとても参考になりました。

先月に「令和6年度セキュリティ人材活用促進実証に係る業務」報告書が公開されていました。

報告書は100ページ越えの長い資料なので、概要版を読みました。これを読むと、自分は今の会社でセキュリティ活動を頑張っている(丸投げされている、というのが正しいかもしれませんが…w)わけですが、

セキュリティ専門家の支援内容で希望する上位3項目は、「従業員向けセキュリティ教育」、「インシデント発生時の緊急対応」、「情報セキュリティ規程の整備」であり、緊急対応のニーズに加え、従業員教育、規程整備といった体制整備へのニーズがあることが示された。

セキュリティ専門家による支援を受けている・受けたことがある企業は全体の25%だが、希望・検討している企業は全体の53%で、今後、セキュリティ専門家による支援が期待されていることが明らかになった

自分の存在は会社にとってまんざらではないのではないでしょうか。そうだと信じたい。

セキュリティ専門家を選定するときに重視する点は

「緊急時の対応力」、「提案内容の具体性」、「セキュリティ専門家の技術力・専門性」が上位にあがった。このことから、セキュリティ専門家のインシデント発生時の対応、セキュリティ対策提案時の具体性、技術力・専門性が重要であることがうかがえる。

ということですので、もっとも歯を食いしばらなければならないインシデント発生時の対応を重視されていると。セキュリティ担当、しんどい役目を担います。

5つの指導テーマ

  • 情報セキュリティ規程の整備
  • 情報資産洗い出しとリスクの整備
  • クラウドサービスの安全利用
  • セキュリティインシデント対応
  • 従業員向けセキュリティ教育

を、自分の会社はどれだけ実施できているのか、考えながら読んでいました。 実施出来ていないテーマについても別紙として指導ツールのリンクが貼られておりこれを参考に導入を進めることができます。内容を見てみましたが、とても分かりやすかったです。セキュリティインシデント対応については、この資料を参考に、実際に対応できるかの訓練を1年に1回程度はおこないたいのですが、業務が忙しいと手が付けられない、というのは言い訳なのか。

登録セキスペの「強み」スキル: 情報資産の洗い出しや、それに基づくリスク分析、アカウント管理、アクセス管理、社内セキュリティ教育等の支援(S2,S3)においては、約33%の専門家が「単独での支援が可能」と回答。

登録セキスペの「弱み」スキル: セキュリティインシデント発生時の対応と復旧対応支援(S5,S6)においては、約40%の専門家が「実践的な運用には至っていない」段階であると回答。

自分も同じ認識です。セキュリティに対する備え、防御については日常の業務で対応できるのですが、非常事態発生は実際に起こらない限り経験値が得られませんからね。そもそもその対応をしたくないですが。

今回の報告書での目玉である、アクティブリスト。 現在は試作ですが、登録セキスペがその専門性を中小企業への支援に活用できる場の創出・特に地域の中小企業、特に重要産業におけるセキュリティ対策の推進のために、登録セキスペ資格を有する者で、中小企業に対するセキュリティ対策支援が可能な者(企業に属している人は兼業OKな人)が、先の5つの指導テーマのどれを支援できて、どれくらいの料金で対応できるのかを掲示してくれるとのこと。 これは魅力的ですね。セキュリティに終わりはないとはいえ、企業・組織内ではセキュリティ対応に一端の区切りを付けることはできると思います。そうなればその先は他メンバー(従業員)で動けるようにして、次の企業・組織に飛び込み、得た経験をもとにさらに品質の高いセキュリティ対応に1から取り組む、こういう地道な活動が増えることが、日本のセキュリティの底上げにつながると思います。 また、商工会議所やITベンダーのような組織が、中小企業とアクティブリストに登録された登録セキスぺの仲介を行ってくれるのはありがたいですね。 この取り組みが普及することを期待しています。登録セキスぺの話を書いていて、珍しくポジティブな話題を発信できたような(笑)

先月同じく発表された経済産業省の「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」を公表しましたによると、

情報処理安全確保支援士(登録セキスペ)の活用促進や制度の見直しなどの方向性を示すとともに、登録セキスぺの登録人数を2030年までに5万人(2025年4月時点で約2.4万人)まで増やす目標を掲げています

東京オリンピックの頃から登録セキスぺの登録人数が目標未達、とずっと言われていますが、その理由として僕もさんざん挙げているのが

  • 更新費用が高い
  • 更新費用が高いのに”登録セキスぺしかできない”という仕事がない

こと。今回の報告書ではこれについて回答が出されており、

  • 個社の状況に応じた個別相談・支援等が可能な登録セキスペのリスト(アクティブリスト)を整備し、中小企業支援機関等を通じて中小企業との人材マッチングを促進する。
  • 所定の実務経験を有する者を対象に、資格更新時の講習のみなし受講制度を導入する。

前者が先ほど紹介したアクティブリスト。そして後者についてですが、3年に1度の更新の際に7万円〜10万円かかる講習の費用が免除されるという興味深い記述が。” 所定の実務経験を有する者”という記述が気になりますが、今自分が会社で行っているセキュリティの実務も胸張って言える内容なので、この制度はぜひ導入してほしいところです。

余談ですが上記Webページの末尾の記載

メール:bzl-cyber-madoguchi★meti.go.jp ※[★]を[@]に置き換えてください。

に、「もうメールは連絡手段として適切じゃないなぁ」と思いました。攻撃者だけでなく、営業活動を行う企業もクローリングでWeb上のメールアドレスを収集して、無差別にメールを送り付けてきますからね。

最後に、先日ネットで見つけた記事ですが、 セキュリティ体制を整備する企業の約6割が取引につながる–IPA調査 セキュリティ対策の実施,未実施についてはイメージ通りです。

発注元企業から情報セキュリティに関する要請を受けた経験がある企業は12.2%だった。

とありますが、僕も発注元、それも複数から非常に厳しい情報セキュリティに関する要請を受けて対応しています。

取引先から要請を受けた企業側の担当者の実感として、セキュリティ体制が整備されている企業の方が、対策の実施が取引上の信頼を得るために重要な要素だとしている。

実際に「対策を実施しないと取引しませんよ、契約しませんよ」という話なのです(–; ただ僕としては、それを口実に社内のセキュリティを強化できるのであれば渡りに船だと考えています。おかげで新たなセキュリティツールの導入も進みそうですし。

Twitter Facebook Google+
# article