情報セキュリティアドミニストレータが考える企業のセキュリティ対策について

経済産業省は情報処理安全確保支援士を「サイバーセキュリティ分野において初の国家資格」といっています。今から10数年前、情報セキュリティアドミニストレータの創設時には「情報セキュリティ分野において初の国家試験」といっていたように記憶してます。

違いは、情報セキュリティがサイバーセキュリティに変わったということです。国家資格と国家試験という部分も異なりますが、これは人により解釈が色々あります。

私は、情報セキュリティにサイバーセキュリティは包含されると考えています。具体的にいうと、情報セキュリティの中で、サイバー空間における技術的な対策に特化したものを、サイバーセキュリティと理解しています。

前置きが長くなりましたが、今回は、情報セキュリティアドミニストレータである私が考える、企業のセキュリティ対策をブログします。

情報セキュリティの事件・事故の現状

企業における情報セキュリティとは、電子データや紙資料など全ての情報について、機密性・可用性・完全性を確保するため、人的・物理的・技術的な対策を実施することです。

しかし、情報セキュリティ対策の実施には困難が伴います。なぜなら、リスクや効果を金額で評価しにくいことや、業務の煩雑化や負荷増につながることがあるためです。

このため、情報セキュリティの事故は多く発生しています。その内訳を見ると、不正アクセスなど、技術的な対策に起因するものは少なく、内部不正、目的外使用および紛失や置忘れなど、人的対策や物理的対策に関するものが多いです。

参考にJNSAの資料を掲載します。なんと、8~9割が人的対策・物理的対策に関するものです。
2015年 情報セキュリティインシデントに関する調査報告書 【速報版】|特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)

情報セキュリティの対策について

人的対策・物理的対策

企業の情報セキュリティ対策として最優先に考えないといけないのは、社員などの人的対策と、機器や記憶媒体の物理的対策であるといえます。

私は2年程、情報セキュリティの利用者教育を担当したことがあります。この実務経験から人的対策と物理的対策には、社員に対する情報セキュリティの教育と、内部牽制が機能する体制と業務フローが重要と考えます。

社員に対する情報セキュリティの教育として、最も有効かつ効率的なのが資格取得の推進です。私は、当時出始めであった、情報セキュリティ検定という資格を推奨しました。この検定は1~3級まであり、数週間勉強すれば合格できるレベルでした。

事業場に数人は、スキルアップに意欲のある方や、資格マニアの方がいるため、まずはこういう方に資格を取得してもらい味方にしました。結果、10名程でしたが合格させることができ、事業場における情報セキュリティの推進者になってもらいました。

現在では、手頃な情報セキュリティの試験として、情報セキュリティマネジメントがあります。これを推奨すると良いかもしれません。国家試験なので、資格取得のモチベーションも高めることができるのではないでしょうか。

しかし、教育だけでは片手落ちです。常に誰もが高い意識というわけではないからです。よって、内部牽制の仕組みや体制が不可欠です。例えば、ファイル共有サーバのアクセス権限の変更は、課長クラスの承認済み申請書のみ受け付けるなどです。

これら取り組みには当然ながらコストがかかります。例えば、資格取得の推奨に必要な受験料や書籍の補助費、および事業場への教育や視察に必要な旅費や宿泊費などです。

私は、これらコストの予算を確保するために必要となる、決裁者への説明で苦労したことを覚えています。とはいえ、当時は個人情報保護法やJ-SOXの施行などが後押しとなり決裁を頂けましたが。

技術的対策

技術的な対策が最も求められるのがサイバーセキュリティであるといえます。サイバーセキュリティは国際的な課題であり、国家間の戦争やテロの手段にも使われています。極めて高いレベルの技術力と覚悟が必要だといえます。

情報処理安全確保支援士は、サイバーセキュリティの専門家とされていますが、実務経験がない方の場合、試験レベルの知識で、この分野に携わるのは危険かもしれません。ここは、ITトップガンやホワイトハッカーなどのプロに任せるべきだといえます。

一方、情報処理安全確保支援士の企業における活躍の機会を考えると、それほど多くはないかもしれません。なぜなら、自社でシステムをスクラッチ開発している企業は少なくなってきているからです。ソフトウェア自体をサービスとして利用するクラウド型サービスや、パッケージ製品を導入するのが大多数ではないでしょうか。

この場合、サイバーセキュリティ対策は技術力ではなく、契約ベースで担保するといえます。

すなわち、安全な情報システムを、利用または提供するために必要な知識・スキルは、システム設計や実装上のセキュリティ技術ではありません。補償賠償を含め自社に有利な契約を締結する法務的な知識や、安全なベンダーやサービス事業者を選定する目利き力であるといえます。

そういったことを考えると、情報処理安全確保支援士の制度について、個人的に疑問を感じることが多いです。情報セキュリティアドミニストレータ合格者を移行措置の対象外にされた恨み節ではないですが・・この件は以下の記事を読んでください。
情報処理安全確保支援士 情報セキュリティアドミニストレータを復活させるべき

あとがき

企業のセキュリティ対策として重要なのは人的対策と物理的対策だと考えます。この対策に必須なのは、情報セキュリティ管理の高度な知識・スキルを持つ者と、現場で情報セキュリティの対策を推進する者だと考えます。

しかしながら、平成21年度の情報処理技術者試験の制度改定で、情報セキュリティアドミニストレータは廃止となりました。私の希望としては、情報セキュリティマネジメントの上に、高度区分として情報セキュリティの管理者向けの試験ができたら、取得してみたいと考えています。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

コメント

  1. hiro3580 より:

    セキュアド外し、全くもって不可解であり、外し方もややもすると悪質ではないでしょうか?パブコメを尊重したと言いますが、であればその5名の方は膨大な合格者がいて、SCやNWの元資格であり、セキュリティの業務についていればベテラン揃いの人材を切り捨てることが、今後の国益を損ねないと言えるのでしょうか。ここはセキュアド合格者が団結して、真相の追求と復活に向けた行動を起こすべきと考えます.

    • pmblog より:

      hiro3580様 当ブログ初のコメントです。ありがとうございます。セキュリティの問題を技術レベルでしか考えない方が多いのだと思います。支援士の制度もその傾向が強いといえます。そして、セキュアド外しの件、あまりに国の対応は不誠実ですね。とはいえ、支援士の登録ができても、今の制度ではデメリットが多すぎますが・・

      セキュアドの一致団結とはすごい発想ですね!他のセキュアドの方も意見も聞いてみたいですね。

      • hiro3580 より:

        こちらこそ、ありがとうございます。今回の経緯は当初からワーキンググループ側(国)でセキュアドが情報セキュリティの能力が認められた者としていて、法律の原案にまで、経過措置対象者としていました。それが法律施行の数日前の深夜に、パブコメに押されたような体裁を取って、能力が無い、知識が古く研修に付いていけないと言って、外しています。この時点でこのようなことを言うならばそもそもワーキンググループでは、長期に及んで何を話してきたのでしょうか。なぜセキュアドだけを外すのか、また外したことで2020年までに3万人の支援士確保の目標が達成されなかったら、どうするのか、この当たりの情報は全く伝わってこないため、非常に疑念を感ずるものであります。

        • pmblog より:

          hiro3580様 たしかに、経緯を知るとセキュアド合格者をかなり反故にした対応ですね。もしかすると、セキュアドの対象者像すら知らない方が制度設計をしていたのかもしれません。支援士が技術寄りということで、セキュアドは対象外という理由はわかりますが、パブコメで即除外はやりすぎですね。
          当面はパブコメを注視して「支援士と同等の能力を有する者」に関するコメント募集があった際に、意見提起してみようかと思います。

          • 匿名 より:

            ご返信ありがとうございます。セキュリティは技術面もありますが、大多数を占める専門知識を持たない一般のユーザーの教育や管理が重要であります。そこはセキュアドの得意分野で有りますので、セキュリティ要員不足の中その人材を切り捨てるのはおかしいと思います.私も機会を見つけて問題提起したいと思います.今後共宜しくお願い致します。

Copy Protected by Chetan's WP-Copyprotect.