orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

情報安全確保支援士のオンライン研修が教えてくれたこと

f:id:orangeitems:20181122000427j:plain

 

情報安全確保支援士

情報安全確保支援士という資格をご存知でしょうか。

 

www.ipa.go.jp

サイバー攻撃の増加・高度化に加え、社会的なIT依存度の高まりから、サイバー攻撃による社会的脅威が急速に増大しています。すなわちサイバーセキュリティ対策は、経営リスクとして、そして社会的責任として、非常に重要な課題になりつつあり、その責任を担える人材の確保が急務となっています。この人材の確保のために2016年10月に「情報処理の促進に関する法律」が改正され、新たな国家資格が誕生しました。これが「情報処理安全確保支援士(略称:登録セキスペ)」です。

 

かなり意義のあるビジョンからなる資格で、いわゆる「士」のつく国家資格であり国の期待も大きいと思います。

 

www.ipa.go.jp

2018年10月1日時点での“登録セキスペ”人数は、合計で17,360名となりました。

 

私も実は保持者です。本名をIPAのサイトで検索すれば名前が出てくるようになっています。

筆記試験を合格した後も、年に1回のオンライン研修、および3年に1回の集合研修が義務付けられています。前者は20,000円、後者は80,000円の費用が必要であり、なかなか個人で維持するのは大変なのですが、今後意味を持ってきそうな資格であり維持することに決めています。

本資格について、運営者の運用はあまりこなれておらず、変なメールがたくさん届いて読み解くのが大変です。これは時代とともにこなれていくのでしょう。

 

オンライン研修で学んだこと「倫理」

この前オンライン研修を受けたところです。

とても印象に残った単元があります。「なぜ倫理綱領が必要か」という項目です。

セキュリティー関連の資格というと、一般的にはISO27000など規格の話であったり、暗号化などの技術的な話に終始するイメージだと思います。倫理、ということはもっと高次元の話となると思います。専門家が独善的にならないように一般人に対して恥じない行動をすること。社会のためになる行動を優先すること。一般人に説明をし理解を得てもらうこと。いろいろな倫理的側面が情報安全確保支援士には求められるとの単元です。

なぜ今、セキュリティーに携わる技術者に倫理が求められるか。

昔はコンピューターに携わる人は組織の下にいる「専門家」のみでした。したがって、自動的にサービス水準が一定に保たれていました。ところが現在は、パソコンやスマホ、クラウドの発達によって専門家ではない人が運用者になることが一般的になってしまいました。スマホも一つのコンピューターでセキュリティーに気を付けないとハッキングされてしまいます。クラウドにサーバーを借りて運用することも気軽にできます。これも脆弱性を残すとたちまち乗っ取りの被害に遭います。このように、「非専門家」にコンピューターの運用責任を転嫁する状況となっていているのが現在の状況です。

会社組織において経営者すら専門家ではありません。あるサイバーセキュリティー担当大臣もパソコンを触ったことがないくらいです。この状況の中で、セキュリティーの専門家は、高い倫理観を持って発言・行動することが、社会から求められているということです。セキュリティーの専門家は、経営者を含む一般人に対してセキュリティーの意義や行動をわかりやすく説明し、自分の利益を優先するような独善的なことをしてはならない、ということです。

例えば、最近の下記の問題。

 

japan.zdnet.com

今回の事態は、Chen氏が認め謝罪する通り、トレンドマイクロでの不十分な取り組みやコミュニケーションが、ユーザーに疑念や不信感を抱かせることとなった。ただ、昨今は企業がユーザーの個人情報やプライバシー関連のデータを不適切に収集したり、利用したりしているのではないかと指摘されるケースが国内外で相次ぐ。こうしたデータを取り扱う上での基本的なルールなどは、各種の規制やコンプライアンスを通じた整備が進むものの、サービス/アプリの実装や事業運営で不適切な状況を招く危険性をはらみ、より具体的で適切な方法などの確立が求められそうだ。また、Chen氏の主張のような業界レベルでの議論や取り組みも課題になると見られる。 

 

トレンドマイクロの一連の行動や説明が、ユーザーや一般人に独善的な内容だと反発を受けたのは記憶に新しいです。トレンドマイクロはセキュリティーの専門家だから、個人情報を吸い上げることを普通のことだと思うことを、独善的だと批判されているのです。セキュリティー専門家だからといって、一般人の同意を怠り勝手な行動指針を持って行動することはまずいということが有名になった一件でした。

 

また、運用責任が非専門家に委ねられることになった件は直近のニュースにありました。

 

internet.watch.impress.co.jp

冒頭では、“プロバイダーからユーザーへのお願い”として、以下の対策を実施するよう呼び掛けていた。

1)パスワードはすべて適切な強度を満たすように設定してほしい
2)なるべく自動アップデートを利用してほしい
3)ファイアウォールを設定すること、ウェブアプリケーションファイアーウォール(WAF)を活用すること
4)持続的な運用または終了方法を考えてほしい

 

まさに、専門家が、非専門家に対して倫理的な行動を促すシーンだと思いました。しかしブックマークのコメントを見ると、「そもそもインフラ環境がセキュリティーアップデートをしにくい」など反論も出ています。実は倫理的であることと独善的であることは、バランスの問題でもあります。ユーザーを無視しすぎた正論や行動は、反発を生みます。このバランスのとり方は難しい問題と言えると思います。

 

情報安全確保支援士の価値は上がらざるを得ない

一連のオンライン研修から、国から以下のメッセージを感じました。

「日本国中にコンピュータがばらまかれ、かつ専門教育を受けていない人がこれを管理するようになった。かつ、コンピュータの個人や組織への関与が大きな存在感を持つようになっており、これに対する安全の確保がより社会の安定に重要となる。情報安全確保支援士はこの社会状況の中で専門家としての自覚を持ち、国民や日本社会を危機に陥れないように積極的に活動してほしい。」

 

当初はメリットが見えないと揶揄されたものですが・・。

tech.nikkeibp.co.jp

 

研修を受けて初めて、その意義が実感できました。

私も、独善的にならないよう心掛けながら積極的に行動していきたいと思います。

また、受験を検討されている方には、良い国家資格だと推薦しておきます。

 

情報処理教科書 情報処理安全確保支援士 2019年版