情報処理安全確保支援士 講習会がめちゃくちゃ楽しかった

講習名：リモート講習（実践講習Ａ）

実用的な情報のみ興味がある方は、こちらのみご確認ください。

おさらい

情報処理安全確保支援士は登録手続き後、資格維持のため年１回のオンライン講習と３年に１回の集合講習に参加する必要があります。
今回は後者の集合講習に参加してきました。尤も、このご時世なためオンライン開催です。

参加前の心情

各状況が提示され、それに対してどういった対応が適切かチームでディスカッションし、発表するというもの。
設問は事前に開示され開催までに自分の意見をまとめておく必要がありますが。
「あ～大丈夫かな～。俺の意見稚拙じゃないかな～。あ～」
と不安があり
「自分はペーペーだけど、セキスペでしょ？めちゃくちゃお堅いおじさまが出てきて、その人が無双して終了なんじゃない？緊張する～」
という精神状態でした。

顔合わせとディスカッション

自分を含め4人のグループでした。30代～40代の世代で構成されており、みんなさん優しく本当にありがたかったです。
進行中の雰囲気もよく、建設的に話ができました。
また、皆さん仕事の畑が違うこともあり、知識を補完し合えたのもとても有意義でした。

「この設問の前提条件やばいよね。」
「実環境でやったら、怒られるレベルじゃないですねw」
「Twitter見てたら、発表でめちゃくちゃ詰められたって書いてあってビビッてますw」
「いやぁ。それはさすがに誇張してるでしょｗ」

発表

課題の一つに、セキュリティインシデントの調査、対応を上司に報告するロールプレイがありました。
報告内容や報告タイミングはグループ内で決めるとのことで、内容をまとめ、発表者に託しました。

発表者「以上が報告と対応案です」
上司役「何故このタイミングなのですか？報告が遅いのでは？」
私(あわわわわ)
発表者「インシデント対応はCSIRTに権限が委ねられていますので、暫定対応終了を優先させました」(設問にはそんなこと書いていない)
上司役「対応に予算を使いましたね。それは事後報告なのですか？」
私(詰められとるやん)
発表者「今期の予算内で行いました。問題ありません」

フィードバック

CSIRTは事前に取り決めていれば決められた範囲で行動でき、予算を使うことができる。
よって、それを想定して言い切ってくれたことは逆に良かった。とフィードバックを受けました。
結果的に100点の返しだったようです。
ただ、現実的にはCSIRTが存在しない会社もあり、あったとしてもそこまで権限がある組織はほとんどないとのことです。

また、発表以外のディスカッション内容も講師陣は聞いていたようで、私の発言がピックアップされお褒めに預かった時はめちゃくちゃ ちょっと嬉しかったです。

学び

細かい調査方法や着眼点は省きます。

• 攻撃者が悪用するWindowsコマンド
• CSIRTは事前に取り決められている場合において、権限や予算を取り決めた範囲で上司の指示を待たず使う事ができる。
• 各種ログの保管期間は「なんとなく」ではなく、基づく根拠を持って決めるべき。以下を参照するなど
  JPCERT/CC 1年分推奨
  NISC 1年以上推奨
  不正アクセス禁止法の時効 3年
  などなど。関連記事 「結局アクセスログってどれくらい保存しておけばいいの？」に答える関係法令

終わりに

10:00～17:00の長丁場でした。
気負っていましたが、思いのほか皆さんと対等に話すことができ、正直楽しかったです。
集合しての講習であれば、みんなと飲みに行きたかった...