情報処理安全確保支援士のオンライン講習を受講しました(2024年度)

情報処理安全確保支援士のオンライン講習を受講しました(2024年度)

2025, Mar 29    

※”情報処理安全確保支援士”は長いのでこの後は通称の”登録セキスペ”という単語を使います。

1年に1度の情報処理安全確保支援士(通称登録セキスペ)の更新期限が迫ってきました。去年の更新の際にはブログ記事内で

この半年間セキュリティに関する活動をほとんど行うことができなかったのが、自分の目標達成にも近づくことができず不完全燃焼です。

と書いていましたが、その後、2025年はとにかくセキュリティ・セキュリティ・セキュリティ。どっぷり浸かった1年間でした。おかげで?CISSPも取得できました。

そのCISSPの資格を維持するためには書籍やウェビナーの参加をISC2に報告することでたまるポイントの蓄積が必要なのですが、登録セキスぺのオンライン講習も対象になるとのこと。これを活かさない手はありません。

今年のオンライン講習、最初の単元は 「登録セキスぺに期待される役割と知識」 。 昨年と同じタイトルです。概要に「専門家の抱えるジレンマ」という言葉がありますが、それを痛感した2024年のセキュリティのお仕事でした。知識はたくさん持っています。あるべき姿も見えています。しかし企業活動を行う中ではヒト・モノ・カネ・そして時間が圧倒的に足りない。

目標にある

  • セキュリティの脅威を能動的に収集する
  • 指導・助言を求めている関係者に対してセキュリティの具体的な助言を行う
  • 自社・他社の過去の事例を教訓として、再発しないよう対策を行う

この3つにできる限り取り組むことが、セキュリティ専門家を名乗る自分のミッションだと再認識しました。上記3か条は情報処理の促進に関する法律の以下の文言を分かりやすく説明した言葉といえます。

サイバーセキュリティの確保のための取組に関し、サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、必要に応じその取組の実施の状況についての調査、分析及び評価を行い、その結果に基づき指導及び助言を行うことその他事業者その他の電子計算機を利用する者のサイバーセキュリティの確保を支援することを業とする。

具体的に何をやればよいのか、これについてはIPAが公開している資料国家資格「情報処理安全確保支援士」制度の仕組みについての「業務範囲、期待される役割」により書いてあります。

1.経営課題への対応

  • セキュリティ対策策定・更改・実施指導
  • 組織・技術上のリスク評価
  • 上記のための監査・検査・調査・分析

2.システム等の設計・開発

  • 設計段階までのセキュリティ対策、
  • セキュアコーディングの推進、
  • セキュリティテストの実施・評価 等

3.運用・保守

  • ポリシー実践、脆弱性への対応
  • 品質管理、情報収集
  • 教育・啓発活動 等

4.緊急対応

  • 緊急時に備えた準備、
  • インシデント対応の全体統制、
  • インシデント処理・復旧

上記をそれぞれ何パーセント達成したか、というチェックリストを作ると、自分がセキュリティ担当としてどれだけ組織に貢献したのかを説明するために利用できそうですね。しかしこうやって資料を読んでいると、手前味噌・自画自賛ですが「けっこう役割を果たしているな」と思ったり。

感想としてはやはりというか、今年のオンライン講習真っ先に挙がったフレーズは「AI」。我々のビジネスを根本的に変えたテクノロジー、スマートフォン以来の技術的インパクトといわれるのは分かります。そしてそれはセキュリティ界隈にとって攻守両陣営に新たな武器が配られたことを意味します。 また、スライド内で紹介された「世界一安全な日本」創造戦略2022の策定について」については、昨年の講習の感想でもデジタル社会が世界一安全なのは、規制や検閲の強化という問題とコインの裏表と書きましたが、昨年末読んだ自由とセキュリティから、世の中の悪い人に対する対策の巻き添えをくらうことで個人の自由が侵害され国家により統制されるリスクがあることを再認識しました。

次の単元は 「サイバーセキュリティ各国動向」。これは昨年にはなかった新しい単元です。 電気・ガス・水道・そして何よりインターネットなど、生活インフラに対してのサイバーセキュリティは国民の生活に直結するため、社内はもちろん、官公庁との連携も必要になります。前職が情報通信のインフラを取り扱っていたため、事故発生時の管理省庁への連携は迅速に行う必要がありました。 サイバーセキュリティ対策情報開示の手引きサイバーセキュリティお助け隊サービスなどNISCやIPAが様々な活動を通じて日本企業のセキュリティを支援していることも知りました。使えるものは使ったほうが良いですね。しかしいろいろと取り組まれている一方、立ち上げたは良いが継続的な運営がされているかは不明なものも(セキュリティについてはすべてを公開することができないこともありますが)

国内での官公庁においての活動だけでなく、世界が一体化している現代は外国との連携も重要です。内閣サイバーセキュリティセンター(NISC)の見解では、日本がセキュリティを高め、維持し続けるためには日米同盟の維持が必要不可欠と考えています。『政治は自分には関係ないよ』『日米同盟にセキュリティは関係ないのでは』、と思う人もいるかもしれませんが、日米豪印がサイバー犯罪についてパートナーシップを締結できるのも同盟あってのことなので、決して無関係ではありません。戦争のような目に見える攻撃ではないため見落とされがちかもしれませんが、日本はロシア、中国、北朝鮮というサイバー攻撃を日常的に行っているとされる国に囲まれています。サイバーセキュリティを疎かにすると、最初に書いたようなインフラへの攻撃による国民生活への深刻な影響が起こる可能性もあります。

バイデン米政権、国家サイバーセキュリティー戦略を公表

上記はバイデン政権時代に作られた法令についての言及が多かったですが、今年からトランプ政権となったためこの辺りについても大きく変わる可能性はあります。政治は関係ない、ではなくウォッチしておかないとですね。

EUに関しては、プライバシー保護のGDPRが有名ですが、サイバーセキュリティに関してもEU内でビジネスを行う企業が遵守する必要がある法規制があります。

日本の製造業にも関係あり!?「NIS2指令」、「EUサイバーレジリエンス法」

中国に関しては、最近中国のスタートアップ企業「ディープシーク」が開発した生成AIをめぐって、個人情報などのデータには中国の法令が適用されることがニュースにもなりました。

中国AI「ディープシーク」、個人情報流出の懸念…世界で数百社が使用制限

東南アジア諸国連合(ASEAN)と日本はサイバーセキュリティに関して協力体制を築いています。しかし各国には厳格なセキュリティを求める法令もあるため、ビジネスを行う際には注意が必要となります。この単元は読んでいて学びの多い単元でした。

次の単元はシステムライフサイクルプロセスとセキュリティ対策。セキュリティ担当がシステムエンジニア並の技術を身につけろ、と本章では言っていませんが、知識を保有することはエンジニアとのコミュニケーションに必要になります。最低限の知識がないとプロジェクトは上手くいきません。また、開発2割、運用8割というようにシステムは開発完了、リリース後のほうが長いので、最後のクローズまで踏まえて最初から最後までセキュリティを考慮する必要があります。しかし最初から最後までセキュリティを考慮、といっても今動いているシステムに今更要件定義やアーキテクチャ設計はできません。奥に戻れば戻るほどセキュリティ対策を改善していくのはたいへんなので、開発のような上流工程からセキュリティを考慮していきたいです。つまりその時点でセキュリティ担当が介入、レビューしたほうが好ましい、ということです。 また、今年から外部委託先のセキュリティが独立した項目となったのは、委託先のセキュリティ事故のケースが増えたことと、サプライチェーンリスクの高まりからでしょうか。

次の単元はシステムライフサイクルプロセスとセキュリティ運用。本資料によると、『運用』と『保守』の違いは、運用は人と関わり、保守は機械と関わる、という違いらしい。そのため運用プロセスと保守プロセスは管理されるものが異なります。この辺り使い分けると「お」と思われるかもしれません(笑) 情報セキュリティサービス基準適合サービスリストにはセキュリティ監査やペネトレーションテストを実施してくれる企業のリストが掲載されています。自前で監査やペネトレーションテストをやることは困難なので、ぜひ活用したいですがここでもお金の問題が…(–;)

次の単元はデータセキュリティ。「デジタルデータは21世紀の石油」とはスライドの引用ですが、AIがなんでも答えてくれる時代においては情報(=データ)の価値が高まっていることは間違いありません。DFFT(Data Free Flow with Trust:信頼性のある自由なデータ流通)セキュリティクリアランス、以前より紹介されていたサイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)など話題に挙がるトピックが紹介されています。 企業のセキュリティ担当として読んでいて胃が痛くなるデータも掲載されています。データ侵害は起こるべくして起こる、とはいうものの、人間の悪意について抑止することはできても完全に防ぐことは難しいですよね、極端な話セキュリティ担当の僕が悪意があったらいろいろできてしまう(だからこそセキスぺ研修では毎年最終章に倫理の教育があるのでしょうが) これまでの単元は最後の問題を簡単に全問正解して、「お、CISSPとしての実力が備わってきたかな」と調子に乗っていましたが、このデータセキュリティはずいぶんと合格まで再試験を繰り返しました…。

最後は毎年恒例「倫理とコンプライアンス」昨年取引先からの非常に厳しいセキュリティ要件を対応しました。ルールを作成し、ツールを導入し、知識を基にした技術的対策も行いました。しかしこれだけ手を尽くしてもリスクはゼロにはできません。対策が100%出来ていないことも事実ですし、人間の悪意(セキュリティ対策を施す人)の前には検知ができても実質的には手遅れです。だからこそ倫理とコンプライアンスが必要なのでしょう。 スライドの最初に書いてある「自己の所属する組織に関連し何が正しい選択なのか、現場において判断が迫られる場合が少なくない」というのは本当です。昨年も今年も、僕はセキュリティ対応として取引先からの要望と、現場からの反発の板挟みになったことは何度もあります。

  • セキュリティの専門家として、このレベルのセキュリティで好しとしてよいのだろうか
  • 何かが起こるリスクは許容範囲を超えているのではないか
  • 何かあった際自分がセキュリティの専門家として関わったことに対して責任がとれるのか

このような葛藤、業務で何回もありました。色々考えることがあり、この講習を受けるにちょうどよいタイミングでした。 ITの世界は変化が早く、法律が追い付いていない状況があります。ソフトウェアをコピーして利用することも、他者のパスワードを使って無許可でログインすることも、かつては法律で禁止されてはいませんでした。このような「指針の空白」に対しては倫理による判断が必要となります。組織に属する僕たち個人は弱く、組織の論理のプレッシャーを受けることもあります。綺麗ごとだけではビジネスは出来ませんからね。そのようなシーンでセキュリティ担当が責任ある行動をとれるのか、今ならこのテーマがとても重たいことだと理解できます。 スライド内で紹介されているIPAの 内部不正による情報セキュリティインシデント実態調査-調査報告書-はけっこう衝撃的な数字が乗っています。従業員が多い大企業では、外部攻撃>内部不正なのですが、従業員が少ない中小企業では、外部攻撃<内部不正だという。しかもその経験をしたパーセンテージは自分の感覚で持っていた数字よりずっと大きいです。ただ勘違いしてはいけないのは、内部不正といっても、悪意あるものではなく「うっかりミスや不注意」が率としては一番多くて、これは完全になくすことはできないものの、社内の技術・物理・管理的対策により軽減することは可能で、やはりセキュリティの重要性を認識できます。

昨年は

書かれている内容は実践してこそ

と感想で書きましたが、今回は自分のセキュリティ対応の中で実践してきたこと、実践できなかったことなどを振り返ることができる講習内容でした。

Twitter Facebook Google+
# security