情報処理安全確保支援士のオンライン講習を受講しました(2025年度)
※”情報処理安全確保支援士”は長いのでこの後は通称の”登録セキスペ”という単語を使います。
1年に1度の情報処理安全確保支援士(通称登録セキスペ)のオンライン講習。普段はゴールデンウィークに対応しているのですが、来年(注:この記事を書いたのは2025年11月です)はAWSの資格更新などが忙しいので、今年のうちに対応することにしました。
最初の単元は 「登録セキスペに期待される役割と知識」でした。昨年と同じタイトル、そして役割の3か条も変更はありませんでした。
登録セキスペの役割(3か条)
- なぜ脅威が発生しているのか理解し、自らが能動的に必要な情報を収集・活用すること。
- 指導、助言、支援を求めている人に対し、具体的対策を説明し、その実施・支援を行うこと。
- 過去の事例を教訓とし、組織内で同様の事象が起きないための取り組みを進めること。
今年は、セキュリティ担当として、流行のランサムウェアやクリックフィックスの手口を従業員に啓発したり、セキュリティに関する問い合わせに回答したり、会社のセキュリティインシデントに対応したりと、上記の役割を着実に果たしているという自負があります。
来年は、ISMS(情報セキュリティマネジメントシステム)の取得や、2026年公開予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」への対応など、挑戦したいことが山積みです。
とはいえ、セキュリティ担当者が全てを100%のガチガチセキュリティで固めてしまっては、業務は滞ってしまいます。「清廉潔白」が常に正しい行いであるとは限りません。「角を矯めて牛を殺す」という言葉もあります。 先日読んだ静かなリーダーシップという本が、映画のように堂々と正義を執行するのではなく、熟考し、周囲と調整した上で「グレーゾーン」を攻めることもまた重要である、と書かれていました。自分にとっても参考になる本でした。
情報セキュリティ10大脅威 2025からもわかるように、脅威には流行り廃りがあります。ある脅威への対策が進むと、その攻撃は息を潜めますが、別の脅威が流行り注目がそちらに移ると、再び息を吹き返すのです。2025年は、5年ぶりにDDoS攻撃がランクインしたのが印象的でした。 また、広島のG7首脳声明で紹介されたAIに関する国際指針・行動規範も紹介されていました。数年後には私たちに対するAIセキュリティ対策の骨子となるでしょう。昨年、高市早苗総理(当時)が以前書かれた書籍の内容が、民間でのセキュリティ対策として要望されるようになった事例からも、このスライドの内容は重要だと感じます。
さらに、今年は「能動的サイバー防御」(サイバーセキュリティ2024)が取り上げられました。昨年はなかったテーマです。以前このブログでも紹介しましたね。 さらにさらに、SBOM(Software Bill of Materials)も今年初登場でした。サプライチェーンリスクが重視される今、行政からだけでなく、取引先から求められる日が来る気がしています。「さあ出せ」と言われてから慌てるのではなく、事前に用意しておきたいところです。
次の単元は 「AI利活用とAI規制の動向」。やはりAIの時代です!
日本政府は、日本のDXの遅れを生成AIの利用で取り戻すことを期待しているようです。AIの凄さは、エンジニアやIT企業といったテクノロジー偏重の人々だけでなく、一般の人やコンピュータを常用しない企業にまで普及している点にあります。社会をドラスティックに変革することが期待されています。
登録セキスペには、AIのリスクを理解した上で、社内での実践と普及を担う役割が求められています。生成AIには多くのリスクがあることが明らかになっています。セキュリティ10大脅威の元ネタであるOWASP Top 10 ReportのAI版大規模言語モデルのセキュリティリスク10も公開されました。 利用側だけでなく、MCP(Model-as-a-Service, Compute, Platform)サーバとしてAI機構をアプリケーションに組み込み提供する開発側の立場になる会社もあるでしょう。この場合、従業員に対しセキュアなAIシステム開発を指導することも登録セキスペの役割となります。
内閣府が公開しているセキュアAIシステム開発ガイドラインは、現場任せにせず、セキュリティ担当が目を通した上で開発側に展開すべき重要な資料です。このとてつもない変化・進化のスピードについていくために、登録セキスペは情報収集を怠るわけにはいきません。
海外では、EUがAIに制限を加える方向、アメリカは大統領令で活用を進めつつ州レベルで規制を進めています。ASEANは国家間で相互運用性を促進させようとしています。一方、日本には以下のガイドラインはありますが、法的拘束力がないのが現状です。いくつかのガイドラインが紹介されていました。
次の単元は2単元連続のAIテーマ 「AI利活用に向けたセキュリティ管理のポイント」 。やはり今はAIの時代ですね。
セキュリティで考慮すべき点は多岐にわたります。提供側はユーザの入力データの保護を、利用者側は自分の入力データが漏洩しないことを確認しなければなりません。 皆さんはGoogle GeminiのようなAIを利用する際、入力した文章が学習に使われるか否かなど、ライセンスを読んで使っていますか?私は読んでいませんでした(^^;。便利なAIだからこそ、リスクアセスメントは非常に重要です。他にも「そのAIは著作権を守っているか?」「そのAIは急に挙動が変わらないか?ロジックが不安定でビジネスに堪えられないことはないか?」「ハルシネーション(嘘の情報)はどうか?」など考慮することは多いです。 将来的には、社内でAI利用に対する内部監査と第三者による外部監査が求められ、「この会社はAIを正しく活用しています」というお墨付きを与えるビジネスも生まれるのでは、と読んでいてい思いました。PマークのAI版のようなものをイメージしてもらえばと。
総務省はAIを用いたクラウドサービスの安心・安全・信頼性に係る情報開示指針(ASP・SaaS編)というチェックシートを作成しています。従業員が新しいサービスを使いたい時、情シスに一報入れるようにして、情シス側でこのようなチェックリストを使うことで、セキュリティを効果的に高められそうです。使ってみたい!
AIの導入は、他のセキュリティ施策と同様、経営層にメリットとリスクを認識してもらった上で、トップダウンで進める必要があります。それをサポートするのが登録セキスぺの役割というわけです。会社としてAIを用いたサービスをリリースする場合は、AIのガバナンスポリシーやAIのプライバシーポリシーをコーポレートサイトに載せる、必要もあるとされています。
次の単元は 「脅威インテリジェンスの生成と活用」 。これも去年は無かった単元です。
記載内容は理解できますが、小さな企業が脅威インテリジェンスを整備するのは難易度が高いと感じています。中小企業が「雨宿り」に使えるような、大きな木の役割を果たす脅威インテリジェンスポータルを政府機関が作ってくれないものかと願ってしまいます。
そして次の単元は ランサム被害への対応。2025年の流行語大賞には選ばれなかったものの、いたるところで耳にした「ランサムウェア」が単体の単元になりました。概要からはじまり、あまり公開されない侵入経路とその対策まで書いてくれていたのはありがたいです。あまり細かく説明すると問題かもしれないため、あまり詳しく書くことはしませんが、良い教材でした。 対策としてやるべきことは山ほどあります。また、万一ランサムウェア被害に遭った場合の初動についても記載がありました。速やかに第一報を公表する必要がありますが、公表する情報についてガイドラインが存在することも知りました。。 ランサムウェアの予防と対応のためには、登録セキスペは経営層、情シス、開発保守部門、そして外部機関との多岐にわたる連携が求められます。 社内にサイバーディフェンスセンターを作るにあたって参考になる資料サイバーディフェンスセンターを構築・運用するためのフレームワークは図も踏まえて比較的平易ですが、やはり何かの副業でできるものではないと思います(弱音)。
最後の単元は、毎年必ず受ける コンプライアンスとガバナンス という倫理教育です。 セキュリティ担当者が倫理を欠いていれば、管理者アカウントで不正し放題になってしまいます。 都合上セキュリティ対策を十分に実施できない環境で業務を行わなければならない人に対して、「絶対NG」とするのでもなく「見て見ぬふり」をするのでもなく、自分の中の正義感を持ちつつ、バランスを取りながら判断する必要があります。 とはいえ、一人で責任を負うのは辛いものです。周りの人にも相談することの重要性が説かれていました。
そこで登録セキスペには、「危険だから使うな」ではなく、「リスクを利用者にきちんと説明する一方、対策を取り、その上で利用を推進する」アクションが求められています。その責任の重さで胃が痛くなりますね。
やはり今年はAIについての記述が多かったです。AI無くして日本産業の成長、巻き返しなしと行政は考えています。しかしご存じの通り、ディープフェイクから著作権違反、ハルシネーションなど課題が山積みです。当然セキュリティの問題も多数存在します。そこで「危険だから使うな」ではなく、「リスクを利用者にきちんと説明する一方対策を取り、そのうえで利用を推進する」アクションが登録セキスぺには求められています。責任の重さで胃が痛くなりますね。