はじめに
2022年4月1日付で安全確保支援支援士(以下、安確士)として登録し、1年の間に受講しないといけない講習の期限が3月末に迫りました。
この度受講しましたので、その講習内容の復習を兼ねてこちらにアウトプットしておきます。
なお、この講習教材については「複製・転載・配布等を禁止します。」とありますので、本記事の内容としてはかいつまんだものになるかと思われます。
※長くなりましたのでこの記事が1つ目となります。
講習の概要
安全確保支援士資格の更新には、
- 各年度ごとに1回のオンライン講習 * 3回
- 3年間で1回の実践講習
の4講習を受講する必要があります。今回は年1回のオンライン講習の1回目ということになります。
講習
全部で6単元あり、目安の履修時間は6時間とされています。各項目箇所へのリンクを貼っておきます。
また単元ごとに理解度確認テストがあり、5問全問正解で合格となります。採点は回答送信後すぐ行われ、正解の選択肢と解説も教えてくれるため比較的良心的に思えました。
- 情報処理安全確保支援士に期待される役割と知識(本記事)
- システムライフサイクルプロセスとセキュリティ対策
- システムライフサイクルプロセスとセキュリティ運用
- インシデント対応【組織編】
- インシデント対応【技術編】
- 倫理とコンプライアンス
各記事へのリンクは全単元分の執筆後張り替えておきます。
単元1 情報処理安全確保支援士に期待される役割と知識
1章では、「サイバーセキュリティ基本法」、「情報処理の促進に関する法律」の条文から解釈を提示して安確士が行うべき業務について指し示していました。
抽象的な日本語については英単語も交えてニュアンスを解説しており、例えば
「(略)サイバーセキュリティに関する相談に応じ、必要な情報の提供及び助言を行うとともに、(略)」という条文を引用して、
- 相談: request(要求)/requirement(要件)のことである
- 助言: advice(アドバイス)だけでなくrecommend(推奨)の意味合いもあり、目指すべきはIT assuranceである
と説いています。
「ただセキュリティに詳しい人間であること」だけでなく「相談をうけ調査、分析と評価を行い事業者や利用者に指導及び助言を行い支援すること」と要約でき、業務内容は多岐にわたります。
2章では業務上様々な機密に触れうる安確士が、意識的・無意識的にかかわらず高い倫理規範を持たなければいけないとあり、その上で「所属組織が非倫理的な意思決定をした時に安確士がどのように行動すべきか」といった内容に切り込んでいます。このとき、安確士の行動指針としてIPAの策定した倫理綱領を遵守し、あくまでも倫理と公正を第一にすることを原則としています。(この倫理綱領の前文と5か条だけで「公正」が3回登場します)
4章にて、近年のセキュリティ脅威や攻撃者の意図の変遷について触れており、要約すると以下になります。
- DXやコロナウイルスによるテレワークにより機密を扱う場所が社内だけでなくなってきていること
- 組織を狙った攻撃の脅威にゼロデイ攻撃の重要度が上がっていること
- 攻撃者の代表的な意図として金銭・技術的顕示のほかにハクティビズム、諜報があげられていること
- ※ハクティビズム = 社会的・政治的主張を目的とするハッキング行為(hack + activism/積極行動主義 の造語)
このあたりは時代背景を受けて書かれているように見えます。
- ※ハクティビズム = 社会的・政治的主張を目的とするハッキング行為(hack + activism/積極行動主義 の造語)
5章で、日本全体のサイバーセキュリティ戦略が3年おき(最新版は2021年)に策定されており、「Cybersecurity for All」を掲げているとしています。2021年版策定の前提には新型コロナウイルスやSDGs、DXの推進などに伴って国民全体がサイバー空間に参画する時代となっており、「自由、公正かつ安全なサイバー空間の確保」に取り組むとし、また国際的なインシデントとして中露北によるサイバー攻撃に対抗することが必要だとしています。
7章にて、安確士はIT・セキュリティを専門としないひとにも説明や連携する役割を持つと説き、インシデントの事例や解決策を提示しています。
- メールシステムへの不正なアクセスを発端により未公表の情報や個人情報を含む文書の漏洩または閲覧された可能性が確認されたインシデントで、事業継続計画の見直しを含む対策を打ち立てた例
- ルール違反によるネットワーク接続によるウイルス感染を引き起こし、業務で利用するシステムが利用できなくなったインシデントの例
- この例ではインシデントの時系列がまとめられており状況を詳細に知ることができた。
- クラウドの公開設定ミスにより、意図せず公開状態になっていたケース
上記に近い個人的な例として就活中に選考を受けていた企業のインターン情報がGoogleドライブ経由で「リンクを知る全員」に共有となっており非常に身近に感じました。
また求人媒体を利用した際の
これらの例においては前提として「アカウント管理の徹底」「必要最小限の権限に留める」が重要です。
この単元の理解度テストでは4択とチェックボックスによる複数選択が混ざっており、4択の問題は比較的簡単である(誤っているものを選べ方式)のに対し複数選択問題はどこまでチェックを付けるべきか迷うものもありました。
1回目は2問誤答、2回目で全問正解でした。難易度としては安全確保支援士試験の午前2問題同等程度に感じます。
次の単元 に続きます。