情報処理安全確保支援士のオンライン講習を受講しました(2023年度)

2024, Apr 29    

※”情報処理安全確保支援士”は長いのでこの後は通称の”登録セキスペ”という単語を使います。

河野太郎デジタル大臣のXへの投稿によるとマイナンバーカードの利用が登録セキスぺでも使われるとか。登録セキスぺは国家資格ですからね。どういう風に利用されるのかは分かりませんが、刑事ドラマのように「わたくし、こういうものです」とマイナンバーカードを取り出したりするのかしら(笑)いずれにせよずっと言っていますが、もっと登録セキスぺの社会的価値が上がってほしい。欲しい欲しいというだけでなく、自分のこのブログもその一助になればと思っています。

1年に1度の情報処理安全確保支援士（通称登録セキスペ）の更新期限が迫ってきました。今年もちゃんとオンライン研修を受けました。この半年間セキュリティに関する活動をほとんど行うことができなかったのが、自分の目標達成にも近づくことができず不完全燃焼です。

まず第1章は「登録セキスぺに期待される役割と知識」。登録セキスぺの業務には

• 経営課題への対応
• システムなどの設計・開発
• 運用、保守
• 緊急対応

がありますが、この中で一番難易度が高いのは1つ目の「経営課題への対応」だと思います。そのほかの3つは現場で”よしなに”対応できるわけですが、1つ目だけは経営層を巻き込まないといけないこと、そして経営層から許可と予算をゲットしないと残り3つの動きも十分にできないということ。利益に関する仕事をずっとやっていく中で「セキュリティ担当」としてできることを責任もってやってきましたが、もどかしさを感じています。セキュリティは利益という数字として出せないから、どうしても積極策が取れない。

今年の研修では 「世界一安全な日本」創造戦略2022 という閣議決定が紹介されていました。 「世界一安全な日本」創造戦略2022の策定について

日本の治安の良さは海外からも言われていますが、目に見えないサイバー空間での治安はどうか。知らぬ間にプライバシーや安全に関する情報が盗み取られ、サイバー攻撃に利用されているかもしれません。サイバー攻撃に対するに本人認証や不正検知に民間と協力して体制強化するとのことです。特にインターネットの脅威の第1位である電子メールからのランサムウェア、マルウェア、偽サイトへの誘導による機密情報や金銭の摂取に対して送信ドメイン認証技術（DMARC、SPF、DKIM等）の導入等のなりすましメール対策を進めるということですが、問題は一般の人が認証情報を確認してくれるのか。人にチェックを意識づけるより、GoogleやMicrosoftなどメーラーを提供している民間事業者になりすましをはじくフィルタリング機能をより強化するようお願いするほうが効果がありそうですね。 ただ、デジタルワールドが世界一安全と名乗るのは容易ではなさそうです。そもそもデジタル社会が世界一安全なのは、規制や検閲の強化とい問題とコインの裏表です。

次に国家安全保障戦略。これも2022年12月に閣議決定された、国家安全保障の最上位の政策文書です。こちらは国家安全保障会議（NSC）によって定期的に見直しされますが、情報セキュリティに関しては以下のような提案がされています。

• 国家関与が疑われるサイバー攻撃含む、サイバー攻撃から国を防護
• セキュリティ人材層の強化、官民連携
• サイバー防衛を国際協力において強化

2023年1月に経済産業省とアメリカ国土安全保障省の間で「サイバーセキュリティに関する協力覚書」が署名、交換されました。2024年にはサイバー分野における官民連携に関する英国国家サイバー諮問委員会（NCAB：National Cyber Advisory Board）と経団連の協力覚書が合意されています＜参考＞これまで本ブログで紹介してきたように、サイバーセキュリティは国家をまたいでいますし、官も民もありません（民を偽装した官もあるでしょうし）全方位での協調が必要とされます。情報処理安全確保支援士は日本限定の資格ですが、CISSPのように国際的に通じるセキュリティ資格を得られるような学習も再度取り組まないと。

登録セキスぺ（でなくても）役立つポータルサイトも紹介されていました。

• みんなで使おうサイバーセキュリティポータルサイト background-image: url(“https://security-portal.nisc.go.jp/assets/images/content/nisc_portal.png”);

バナーとか久しぶりに聞いたぞｗ

• 国民のためのサイバーセキュリティサイト

• サイバーセキュリティ経営ガイドライン 冒頭にも書いた、経営層にサイバーセキュリティの重要性を理解してもらうために役立つチェックシートやExcelが公開されているサイト。

• 中小企業向けサイバーセキュリティ対策の極意ポータルサイト 東京都産業労働局が運営しているサイト。CentOS7の終了告知など、実際の業務にも役立つ情報を定期的にアナウンスしているみたい。

• 映像で知る情報セキュリティ IPAが運営するサイト。ドキュメントより映像のほうが皆さん見てくれるので、eラーニングの教材にも使えそう。

次の章は「サイバーセキュリティ体制構築と人材育成」。 読んでいて耳が痛いならぬ目が痛い章でした。 セキュリティ文書の作成やEDRの警告アラートの通知は構築して終わりではなく、絶え間なく利用・改善し続けないと結局「作って終わり」「慣れたのでもう見ない」となって忘れられてしまうこと。実際昔は会社のPCがアラートを検知した時に都度何を検知したのか、それが問題ないのかを調べていたのですが、今はやっていません。だって忙しいんだもの(–;) 結局、中心人物として活動するのであれば、何か別の作業の合間にやる、ってほど簡単なものではないですねセキュリティは。今と違いセキュリティに時間をかけれたころに1年間かけて作ったセキュリティのルール、ほこりをかぶってしまってます。僕が「セキュリティポリシーに書いてあるでしょ」と言ったとしても相手の方は「そんなの知らないし」と回答したくなるよなぁ。

もう一つが作る作る詐欺と化してしまっているCSIRT。これだけサイバーセキュリティ体制構築のドキュメントが用意され、100ページ近いセキュリティ対応組織の教科書、CSIRTスタータキットが用意されているのですから、手を使わないと登録セキスぺとして役目をはたしていない。

サイバーセキュリティは、2つのロール(役割)があります。１つは「サイバーセキュリティエンジニア」、実際に手を動かします。もう１つは「サイバーセキュリティ マネージャー」。サイバーセキュリティリスクを検討・評価するとともに、その影響を抑制するための対策の管理・統制の主導を通じて、顧客価値の高いビジネスへの信頼感向上に貢献する・・・と固い言葉が定義されていますが、実際にはエンジニアとマネージャを兼業している人が（特に中小企業やベンチャー企業では）多いかと。しかしセキュリティは1人が全部やれるようなたやすい作業ではないので、

経営層ーCISO（戦略マネジメントを考える）ーサイバーセキュリティマネージャ（CISOの指示に従いマネジメントを実行する）ーサイバーセキュリティエンジニアー現場の従業員

の構造ができると良いのですが。そして自分はサイバーセキュリティマネージャとなって、エンジニアを育成するポジションになりたい。

次の章は毎年恒例の「事例から学ぶサイバー攻撃と対策」 インターネット上のサイバー攻撃事例を元に、自組織が何をするのかを学習しました。豊富な事例を参考に、「もしうちの会社のサービス、社内情報資産に同様の攻撃が仕掛けられたとしたらどうするか」をイメージしながら読みました。

その次の章は「データバックアップとセキュリティ」。バックアップってセキュリティか？と思いましたがDRもセキュリティの一部かもしれません。バックアップという古典的なテクノロジーが2023年のセキュリティ研修で1章割いて紹介される理由は、ランサムウェアの被害が増加している（2年連続セキュリティ10大脅威1位）だからでしょう。 バックアップあるあるなのは、「バックアップしたけど、復元をやったことがなかったので復元できなかった・・・」という事態。気持ちわかりますよ。そこまでやる時間がないですし、そもそもあまり考えたくないシチュエーションですからモチベーションが上がりません。でもやらないと悲しみを背負うので。この章はだいたい当たり前のことが書かれていましたが、僕たち人間が当たり前を当たり前にやることの難しさがセキュリティの本質だと思います。

最後に毎年恒例の「倫理とコンプライアンス」。2022年の研修では第1章でした。「セキュリティクリアランス」という言葉がニュースで騒がれている時代。登録セキスぺが暗黒面に堕ちると企業そして社会にとって大きな損害を与えます。「違法ではないが、倫理的に正しいの？」と常に自問していきたい。組織に慣れてしまうほど、その組織の当たり前、悪しき伝統に疑問を持たなくなってしまいます。自分も実感しています。

すべて読み終えましたが、セキュリティ研修は非常にためになります。しかし書かれている内容は実践してこそです。登録セキスぺの肩書を持つ以上、セキュリティをもっと究めていきたいという気持ち、どんどん大きくなっています。