登録セキスぺのゴールド免許証

2023, Oct 22    

お客さま情報の不正流出に関するお詫びとお知らせ 派遣社員が“クライアントの顧客情報”900万件を不正持ち出し　NTT西グループ おそろしい・・・ もちろん「データのエクスポートのようなリスクあるオペレーションに対して管理者宛に通知される機構が備わっていなかった」とか「外部記憶媒体がPCに挿せる状態になっていた」とかいろいろな原因があるのですが、じゃあ翻ってあなたの会社はそれらが万全なのですか、と言われるとなかなか胸を張って言い返すことはできません。 しかし間違いなく言われることは、自社のサービスであれ、協業して開発しているサービスでアレ、このニュースをもとに「私たち（あなたたち）はこうならないよう、セキュリティ対策はできているのだろうな」と詰められるでしょうね。もちろんそうならないよう、普段から先んじて対策を取っておくべきです、そうすれば後から追加工数、ということにはなりません。

しかしこのニュースを読んで思うのは、いくらテクノロジーや仕組みを駆使して防御を固めても、最大のリスクである「人間」、それも「悪意ある人間」を止めることは難しいということ。ネズミ一匹通らない、完全無欠のシステムは存在しないですし、そんなシステムがあったら何の作業をするにも面倒で仕方ないでしょう、その「もっとスピーディに、利用しやすくしたい」という欲望がセキュリティホールを産むわけで、これはもう避けられない。できることは「やった場合すぐ検知できるぞ、証跡から過去を追えるぞ、損害賠償を請求するって契約の時に書面でやり取りしましたよね」という「やられた後を考慮した抑止力」しかないのでしょうか。

閑話休題。このブログでもたびたび取り上げている情報処理安全確保支援士、通称登録セキスぺ。僕も持っています。僕だけでなく多くの保有者が「維持費が高いくせにそれに見合うインセンティブがない」と不満を挙げていますがそんな登録セキスぺに先日新たな動きがありました。

「ドヤれる」ゴールド登録証は更新者増に効くか、7年目の情報処理安全確保支援士 2ページ目からは有料会員でないと読めない記事ですが、X(旧twitter)での皆さんの反応は、ぜんぜんドヤってってないですね。この記事も懐疑的な内容でしたし。 自分は3年ごとの更新を1度済ませているので手元にある登録証はブルーですが、だからと言ってグリーンのひとより知識・技術共に優れているかといえばそんなことは口が裂けてもいえませんし。10年自動車運転を無事故無違反でゴールドな免許証が手に入るものの、そもそも運転していないという事例を「ゴールドペーパー」と言いますが、それと同じくらいの価値なのでは…。

ゴールド登録証保持者でなければできない業務、みたいなものがあれば価値は出るでしょう。しかし現状は登録セキスぺの独占業務というものは存在せず、私たちの仕事は極端な話、誰でもできる仕事なのです。高いお金を払って、休みの日を使って自習して資格を更新する。エンジニアは独学することを厭わないのでそれはよいのですが、ならばこの資格を持った自分が報われたい、と思う気持ちが間違っているでしょうか？ただでさえセキュリティという分野は「何も起こらないよう努力している時には評価されず、何か起こった場合に叩かれる」仕事なのですから。登録セキスぺの必置化や、企業が案件発注を行う際の基準に「会社内に登録セキスぺが存在すること」が商習慣として定着するなど、そういう動きが進まないと、「CISSPのほうがよほど役に立つ」という話になりますよね。