前書き
- 登録セキスペに義務付けられている、登録一年内に受講義務のあるオンライン教習を受講しました。過去に一度、登録を失効しているため、個人的には二度目の受講となります
- 受講内容にいくつかの疑問、懸念を感じました。このまま受け身で講習を終えるより、懸念点を深掘りして整理すべきだと感じた。これはIPAも望む登録セキスペ像だと確信します
受講料、受講時間について
- 受講料: 20,000円
- 受講時間: アンケートより想定されている受講時間は6時間のようですが、私は理解が遅いためか、10時間ほど費やしました
教材の引用について
- 本講習テキストには、「教材の複製・転載・配布等を禁止します。」と明記されていますが、情報処理安全確保支援士という制度の目的から、内容や概念の共有を妨げることを意図したものでは無いはずです
- 著作権上、権利制限規定の「改変せずに正確に引用すること」が求められますが、上記注釈を鑑み、直接引用は避けて内容を伝えることにしました
講習内容への懸念
すでに無効になっている大統領令を「AIとセキュリティに関する各国動向」として提示している。
-
「AIとセキュリティに関する各国動向」として、バイデンAI大統領令(EO 14110)を概説していますが、2025年現在、現大統領により無効化されている状況には触れておらず、現在でも有効な大統領令と勘違いしてしまうのではないか?
-
ChatGTPに本大統領令についての現状を聞いた。
バイデン政権が 2023年10月30日に発出した人工知能に関する大統領令(Executive Order 14110, “Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence”)について、現段階での状況は以下の通りです。 ドナルド・トランプ大統領は2025年1月20日のホワイトハウス就任直後に、バイデンのAI令を含む70件以上の大統領令を一括で撤回しました。 同令は、その日のうちに取り消され、もはや法的効力を失っています 。
「サイバーセキュリティ戦略」の進捗遅れに対するコメントがない
- 「サイバーセキュリティ戦略」の意図や閣議決定プロセスの記述があり、2024年半ばには「サイバーセキュリティ戦略2024」が発表されるという説明があるのだが、「サイバーセキュリティ戦略2024」はまだ発表されていません。2025年の資料としてこの項目をどう受け止めたらいい?
- 登録セキスペに対する講習としては、遅延に対してスルーさせるのではなく、NISCや内閣官房に対するパブリックコメントや情報公開請求を行うことも提案すべきでは無いでしょうか?
「NISTサイバーセキュリティフレームワーク Version2.0」が2024年に発行予定されているという記述
- 2025年講習内容に「2024年に予定されている」という記載は不適切に感じます
- すでに、NIST(米国国立標準技術研究所)は、2024年2月26日にサイバーセキュリティフレームワーク(CSF)バージョン2.0を正式にリリースしています。日本語翻訳版も公開されています
改定履歴がない
- 講習テキストの改定履歴がないのは致命的です。もちろん、都度、内容のアップデートを行なっていると信じていますが、すでに個別指摘している通り、記載内容にいくつか、古い視点での記述が見られました。講習テキストの品質管理体制は大丈夫でしょうか?
脅威ベースのペネトレーションテストに関してMITRE ATT&CKの記述、参考リンクが全くない。
-
セキュリティに詳しい人なら、脅威ベースのペネトレーションテストといえば、「MITRE ATT&CK」をまず参照するのだが、この講習の本項目において参照、リンクが一切ないのは不自然に感じます
-
ずっと後の章の「攻撃者動向・攻撃手口」にはMITRE ATT&CKの参照がありますが、各章での連携が取れていないのでは?と勘繰ってしまいます
-
ChatGTPによる辛辣コメント
率直に言えば、2025年の情報処理安全確保支援士(登録セキスペ)オンライン講習で「脅威ベースのペネトレーションテスト」のページにMITRE ATT\&CKに関する記述や引用が一切ないのは、非常に不自然かつ不適切です。 → MITRE ATT\&CKに言及せずに「脅威ベース」と語るのは、脅威ベースの定義や背景を欠落させているに等しい。
「情報セキュリティに係る行動計画」から「サイバーセキュリティに係る行動計画」への変更は名称変更では無いのでは?
- 件名の行動計画について、「名称変更」との記述がありました
- 「サイバーセキュリティ基本法」により、セキュリティ政策の枠組みが変更され、情報セキュリティからサイバーセキュリティへの転換が行われました。件名の行動計画もこの転換によるもので、名称変更と表現するのは誤解を招くのでは?
- ChatGPTのコメント
国のセキュリティ政策が「情報管理」中心から「ネットワーク脅威対策」へと進化し、 法的・技術的に異なる枠組みを伴う重要な転換 を意味しています。 したがって、IPAの講習資料がこの変更を「名称変更」とだけ表現しているとすれば、文言としては不正確・不十分だと言えます。受講者に対し、政策的背景や実務上の影響まで踏み込んだ説明が求められる場面です。
脆弱性情報収集先として、NVD, JVNが紹介されているが両者の関係について、もう一歩踏み込んだ内容を
- いづれも脆弱性情報データベースで、NVD(US), JVN(日本)だが、今や利用OSSに国境はないので、両者の関係性(包含関係、情報のフローなど)についての説明が欲しい
ファストパッチ実現に向けての章で、CI/CDに一歳触れていない
-
コンテナ化、切り戻し、本番同等の評価環境はあるが、CI/CDには触れていない
-
ChatCPTの評価
CI/CDを欠いた「ファストパッチ」の議論は、土台が抜け落ちている状態です。 もし講習でCI/CDに全く言及がないなら、それは非常にバランスを欠いた構成と言わざるを得ません。
その他
- 法令、ガイドライン、フレームワークなどへの多数のリンクは、実業務においてもリンク集として活用したいが、テキスト本文がダウンロード、テキストコピー不可となっているため、そのような活用ができないのは非常に勿体無い
考察
- 受け身で受講すると、不適切な「セキスペ」を生み出しかねない講習だと感じました。講習内容に関して、疑い、懸念を持って挑むべきです
- IPAには、講習テキスト内容の公開前レビューをしっかりお願いしたいです。今や、ChatGPTが多くの懸念に答えてくれるので、内容の不備はすぐバレます
- 情報処理安全確保支援士の試験は実践的で意味のある試験だと思います。おそらく、セキュリティ部門の現役でも対策なしでは軽く落とす試験です。実践的な試験と、全く実践に即していない講習内容の乖離が大きいと感じます