技術 ブログ

2022年度情報処理安全確保支援士オンライン講習



はじめに



最初に情報処理安全確保支援士に登録してから、早7年程経ちました。

今年も情報処理安全確保支援士のオンライン講習を受けました。

今回は、情報処理安全確保支援士が受けられる講習がどのようなものか興味がある方に向け、オンライン講習で学んだことの概要を述べたいと思います。


オンライン講習の概要



オンライン講習の資料は、プレゼン資料形式になっています。


プレゼンの各セクションは、約60~100ページあります。

今回は、6つのセクションがあり、以下テーマとなっていました。


1. 登録セキスペに期待される役割と知識



登録セキスペに期待される役割と知識について学びます。


登録セキスペの人物像(役割と責任)、倫理綱領として「情報処理処理促進に関する法律第6条」に基づいて学びます。


また、サイバーセキュリティ戦略と経済産業省の動向について触れます。

経済産業省が促進する施策が、具体的なサイバーセキュリティ戦略の情報源として活用できるためです。


個人的には、登録セキスペと情報処理安全確保支援士の名称が、資料全体で混ざっていることが少し気になりました。



2. システムのライフサイクルプロセスとセキュリティ対策

システムの開始から廃棄までのライフサイクルにおけるセキュリティを確保を学びます。


企画・要件定義におけるセキュリティ対策では、社会情勢やライフサイクル、サプライチェーンを意識した要求事項を検討する大切さを学びます。

また、セキュリティ・バイ・デザインの考え方を取り入れた、規格・設計段階からのセキュリティ対策の大切さを学びます。


全てのフェーズでセキュリティを考えた設計を取り入れましょうというのが「セキュリティ・バイ・デザイン」です。


3. システムのライフサイクルプロセスとセキュリティ運用

運用・保守フェーズにおいてセキュリティ水準を低下させないように、適時改善見直しおこないます。


また、セキュリティ対策やテストをツールを使って自動化することが重要とのことです。

保守フェーズにおける活動が適切であることをシステム管理基準の内容と照らし合わせて、明確化することを学びます。

情報システムの改変・廃棄では、更改によるデータ移行時のセキュリティ対策を行うことや、データ消去を確実に行う活動の明確化について学びます。

データが発生してから、廃棄されるまでセキュリティを意識することが大切です。


4. インシデント対応(組織編)


セキュリティリスクの把握方法として、ビジネス環境や脅威動向を継続的にモニタリングし、機動性および柔軟性を持って対策することを学びます。


経営責任や法律関連として、取締役の善管注意義務違反や業務遂行時の法的リスクやサイバー保険を経営層に説明することについて学びます。


インシデント発生に備えた体制構築では、セキュリティ対応におけるベストプラクティスや方法論を参考に求められる体制を構築することを理解します。

委託開発におけるセキュリティでは、開発委託においてのセキュリティ品質管理の強化について学びます。

中長期計画と体制整備では、登録セキスペが中期経営計画策定の参画、戦略的脅威分析活用、三つの防衛線について経営層に説明することについて学びます。

インシデント発生時、円滑に対応できるように、情報処理安全確保支援士が組織づくりに積極的に参加する必要性を説いています。


5. インシデント対応(技術編)


インシデントの把握やリスクの管理体制の支援、インシデントの収束と再発防止についてアドバイスする方法について学びます。


脆弱性対応では、事前に情報資産を把握し、ファストパッチの適用を促進できる体制を作るこのと重要性を学びます。


自組織だけでなく他組織でも情報共有を行い社会全体でサイバー攻撃へ対抗する取り組み貢献する方法について学びます。

自組織だけでなく、他組織とも積極的に連携しセキュリティ対策することが重要になっています。


6. 倫理とコンプライアンス


倫理では、情報処理安全確保支援士に他する社会的要請を意識した行動について学びます。


コンプライアンスでは、「内部統制」に関する法制度の理解やコンプライアンスの実現に向けた行動について学びます。

所属組織と利害関係者と適切な関係を構築するように努力する必要があります。



まとめ

上記にて情報処理安全確保支援士のオンライン講習の概要を述べました。


具体的な内容は転載が禁止されているため言えませんが、基本的にセキュリティ技術を学べる講習ではありません。

情報の安全確保を支援することで、セキュリティ事故が起こりにくい組織づくり、またはセキュリティ事故が起こってしまった場合、被害を最小限にすることを支援する立場としての内容になります。

セキュリティを確保するための体制・組織づくりで、どのように情報処理安全確保支援士として携わればよいかについて、動向や有用なマメネジメント標準とともに纏められた資料といえます。

そのことから、現場のエンジニアがセキュリティ技術を高めるための資格でなく、マネジメントを行う人向けという意味でハイレベル(高位)な内容になっています。

セキュア・プログラミングや、プログラムから脆弱性を発見する具体的な方法など、セキュリティの専門技術自体は、情報処理安全確保支援士のオンライン講習では学びません。

以上の内容や業務に興味がありましたら、維持費にコストがかかりますが、情報処理安全確保支援士の資格取得を検討してみてはいかがでしょうか。



コメント投稿フォーム

メールアドレスが公開されることはありません。 が付いている欄は必須項目です