情報処理安全確保支援士のオンライン講習を受講しました(2022年度)

情報処理安全確保支援士のオンライン講習を受講しました(2022年度)

2023, Jun 11    

※”情報処理安全確保支援士”は長いのでこの後は通称の”登録セキスペ”という単語を使います。

登録セキスぺは資格制度なので、毎年更新する必要があります。その費用が高額なのにそれに見合うメリットがない・・・という話題は本制度が出来た当初からさんざん言われており、検索すればたくさん記事が出てきます。更新しないことにより登録セキスぺの総人数が減った、というのが昨年のニュースでありましたが今年はどうなっているのでしょうか。調べてみましたが、該当する記事は出てきませんでした。 とはいえ、僕が会社で「セキュリティエバンジェリスト」の役職をいただいているのも、僕がこの資格を保有しているのが一つの理由と思われます。去年も書いたように教材そのものはよくできているので助かっています。

ロシアーウクライナ戦争により、2022年ほど日本国内でサイバーなセキュリティが注目された年は無かったと思いますが、それはセキュリティに関わる仕事をしている人だからそう感じているだけなのかな・・・。いつどのような手で襲ってくるか分からない相手のための防御、しかも防御が有効な時は評価されないのに、一突きをされて炎上したら批判されるんですよ、たまらない職業ですよセキュリティ担当者は。バーンアウトする人が多いというのは分かります。社会がセキュリティを重要視するのであれば、政府が一定の規模以上の企業において登録セキスぺの所属を義務化(必置化)したり、「仕事を頼むなら登録セキスぺのいる企業に依頼したい」という社会の共通認識が醸成されてほしいです。当然そうなったらより責任は重大になりますが・・・。

オンライン講習の内容は守秘義務があるため多くは語れないですが、講習内容も毎年更新されています。今年はクラウドを利用した業務前提のセキュリティに対する考え方が大きく取り上げられていました。また、社会でインシデントが多発したことからか、インシデント対応における企業内での組織の作り方と、どのように対応するかの実践的技術に多くのページが割かれていました。

講習を完了した感想としては、自分が業務で実施済の内容が、自分が参考にしたドキュメントと同じものを引用したうえでかなり紹介されており、自分の職場での動きが間違っていないのだという実感が得られました。同時に「分かってはいるが実践できていない」というケースもかなりの量があり、言い訳になってしまいますが人手が欲しいと切実に思います。具体的には

  • ”サイバーセキュリティは経営課題である”という考えに元基づく「サイバーセキュリティ経営ガイドライン」については、パワポで説明資料を作成して取締役に読んでもらいました。進めるよう了承をもらいましたが、現在別の業務が忙しく手を付けられていません。

  • 僕の会社もグループウェアやサービス提供にクラウドを利用しているので、今回の講習に書かれているクラウド利用における考慮が必要なセキュリティ対策は参考になります、というか既にいくつかは本講習で紹介されたドキュメントを参考に実践しています。ゼロトラストについては「ゼロトラスト移行のすゝめ」という、「ゼロトラストやりたいけど、何から手をつければいいの?」という僕らの悩みの参考になるPDFをIPAが公開してくれたので、こちらを読んで第一段階を完了させました。第二段階にも手を付けたいのだけど、今少し時間と予算をいただきたい(どこかで聞いたフレーズ)

  • 他社のインシデント報告書を読んで他山の石とする、のも実践しています。半田病院の報告書を読んで、自社でも対応できていないリスクを発見し、情シスと連携して解消しました。ランサムウェア攻撃は具体的手法は分からなかったりするので、対策取るにも何をすればよいのか…となりがちです。不幸にもインシデントが発生してしまった企業には事例を積極的に公開してほしいです。では自分達もそれをやれるのか、と胸に手を当ててみる・・・。

  • ソフトウェア開発のセキュリティ対策は、フェーズが進むほど難しくなるため、コストを抑えるためにも企画・要件定義から参加するのも現在業務で対応中です。利用する暗号化アルゴリズムやアクセス制限の方法、監査用のログをどこで取得するかなどをプロジェクトの最初から入っておくことで、最後に突貫でセキュリティ対策するより楽です。しかしコーディングのセキュリティ対策までは、さすがにすべての言語を把握するのは無理なので、AWS CodeGuru RevierやGitHub Copilotのように、脆弱性あるコードをAIが見つけてくれるサービスを利用するのが良いだろう、と読んでいて思いました。便利な世の中になったものです。

  • CSIRTの構築については従前からずーっと目標として挙げているのですが、2年間手を付けられていない…。社内にCSIRTを組織し、CSIRT協議会に参加するところまで持っていくのが自分のやるべきミッションだと考えています。有言実行せねば。

Twitter Facebook Google+
# security