登録セキスペオンライン講習で学んだこと

今年も登録情報処理安全確保支援士（登録セキスペ）のオンライン講習を受けました。学んだ内容を簡単にまとめます。

1. SNSと「オンライン・インフルエンス・オペレーション」

近年、SNSを使った民衆の思考誘導が問題になっています。いわゆる「オンライン・インフルエンス・オペレーション」です。セキュリティエンジニアだけでなく、私たち一人ひとりも注意が必要です。

2. 生成AIとセキュリティ

生成AIを活用したアプリが急速に増えています。CISOやセキュリティコンサルは、「セキュアAIシステムガイドライン（NCSC/CISA）」を踏まえて、安全な運用のアドバイスができるようになることが求められています。

3. ソフトウェアサプライチェーンの管理

グローバルに展開するソフトウェアでは、SBOM（Software Bill of Materials：ソフトウェアの部品表）を使った管理が一般化しつつあります。自社や取引先のソフトウェア構成を把握し、セキュリティリスクを減らす取り組みです。

4. セキュリティ・チャンピオン

開発チームに「セキュリティ・チャンピオン」を置き、開発者とセキュリティ担当の橋渡しをする方法が紹介されました。開発の初期段階からセキュリティを組み込む「セキュリティ・バイ・デザイン」の考え方です。登録セキスペは、セキュリティ・チャンピオン役やその育成を支援する役割も期待されます。

5. 信頼できるデータ流通（DFFT）

「Data Free Flow with Trust（DFFT）」は、プライバシーや知的財産権を守りつつ、国境を意識せずにデータを安全に活用する考え方です。国際的なデータ利活用のスタンダードになりつつあります。

6. セキュリティ・クリアランス

政府の安全保障に関わる情報にアクセスする権限です。漏洩した場合は企業や個人に法的な罰則が課されます。

今年の講習を通じて、セキュリティの役割は「守るだけでなく、橋渡しや教育も含めて広がっている」ことを改めて実感しました。