情報セキュリティ

情報セキュリティアドミニストレータが考える企業のセキュリティ対策について

by sugimon / 1件のコメント

経済産業省は情報処理安全確保支援士を「サイバーセキュリティ分野において初の国家資格」といっています。今から10数年前、情報セキュリティアドミニストレータの創設時には「情報セキュリティ分野において初の国家試験」といっていたように記憶してます。

違いは、情報セキュリティがサイバーセキュリティに変わったということです。国家資格と国家試験という部分も異なりますが、これは人により解釈が色々あります。

私は、情報セキュリティにサイバーセキュリティは包含されると考えています。具体的にいうと、情報セキュリティの中で、サイバー空間における技術的な対策に特化したものを、サイバーセキュリティと理解しています。

前置きが長くなりましたが、今回は、情報セキュリティアドミニストレータである私が考える、企業のセキュリティ対策をブログします。

情報セキュリティの事件・事故の現状

企業における情報セキュリティとは、電子データや紙資料など全ての情報について、機密性・可用性・完全性を確保するため、人的・物理的・技術的な対策を実施することです。

しかし、情報セキュリティ対策の実施には困難が伴います。なぜなら、リスクや効果を金額で評価しにくいことや、業務の煩雑化や負荷増につながることがあるためです。

このため、情報セキュリティの事故は多く発生しています。その内訳を見ると、不正アクセスなど、技術的な対策に起因するものは少なく、内部不正、目的外使用および紛失や置忘れなど、人的対策や物理的対策に関するものが多いです。

参考にJNSAの資料を掲載します。なんと、8~9割が人的対策・物理的対策に関するものです。

www.jnsa.org
情報セキュリティインシデントに関する調査報告書 | NPO日本ネットワークセキュリ...
https://www.jnsa.org/result/incident/

情報セキュリティの対策について

人的対策・物理的対策

企業の情報セキュリティ対策として最優先に考えないといけないのは、社員などの人的対策と、機器や記憶媒体の物理的対策であるといえます。

私は過去に情報セキュリティの利用者教育を担当したことがあります。この実務経験から人的対策と物理的対策には、社員に対する情報セキュリティの教育と、内部牽制が機能する体制と業務フローが重要と考えます。

社員に対する情報セキュリティの教育として、最も有効かつ効率的なのが資格取得の推進です。私は、当時出始めであった、情報セキュリティ検定という資格を推奨しました。この検定は1~3級まであり、数週間勉強すれば合格できるレベルでした。

事業場に数人は、スキルアップに意欲のある方や、資格マニアの方がいるため、まずはこういう方に資格を取得してもらい味方にしました。結果、10名程でしたが合格させることができ、事業場における情報セキュリティの推進者になってもらいました。

現在では、手頃な情報セキュリティの試験として、情報セキュリティマネジメントがあります。これを推奨すると良いかもしれません。国家試験なので、資格取得のモチベーションも高めることができるのではないでしょうか。

しかし、教育だけでは片手落ちです。常に誰もが高い意識というわけではないからです。よって、内部牽制の仕組みや体制が不可欠です。例えば、ファイル共有サーバのアクセス権限の変更は、課長クラスの承認済み申請書のみ受け付けるなどです。

これら取り組みには当然ながらコストがかかります。例えば、資格取得の推奨に必要な受験料や書籍の補助費、および事業場への教育や視察に必要な旅費や宿泊費などです。

私は、これらコストの予算を確保するために必要となる、決裁者への説明で苦労したことを覚えています。とはいえ、当時は個人情報保護法やJ-SOXの施行などが後押しとなり決裁を頂けましたが。

技術的対策

技術的な対策が最も求められるのがサイバーセキュリティであるといえます。サイバーセキュリティは国際的な課題であり、国家間の戦争やテロの手段にも使われています。極めて高いレベルの技術力と覚悟が必要だといえます。

情報処理安全確保支援士は、サイバーセキュリティの専門家とされていますが、実務経験がない方の場合、試験レベルの知識で、この分野に携わるのは危険かもしれません。ここは、ITトップガンやホワイトハッカーなどのプロに任せるべきだといえます。

一方、情報処理安全確保支援士の企業における活躍の機会を考えると、それほど多くはないかもしれません。なぜなら、自社でシステムをスクラッチ開発している企業は少なくなってきているからです。ソフトウェア自体をサービスとして利用するクラウド型サービスや、パッケージ製品を導入するのが大多数ではないでしょうか。

この場合、サイバーセキュリティ対策は技術力ではなく、契約ベースで担保するといえます。

すなわち、安全な情報システムを、利用または提供するために必要な知識・スキルは、システム設計や実装上のセキュリティ技術ではありません。補償賠償を含め自社に有利な契約を締結する法務的な知識や、安全なベンダーやサービス事業者を選定する目利き力であるといえます。

そういったことを考えると、情報処理安全確保支援士の制度について、個人的に疑問を感じることが多いです。情報セキュリティアドミニストレータ合格者を移行措置の対象外にされた恨み節ではないですが・・

あとがき

企業のセキュリティ対策として重要なのは人的対策と物理的対策だと考えます。この対策に必須なのは、情報セキュリティ管理の高度な知識・スキルを持つ者と、現場で情報セキュリティの対策を推進する者だと考えます。

しかしながら、平成21年度の情報処理技術者試験の制度改定で、情報セキュリティアドミニストレータは廃止となりました。私の希望としては、情報セキュリティマネジメントの上に、高度区分として情報セキュリティの管理者向けの試験ができたら、取得してみたいと考えています。

1件のコメント

  1. ピンバック: 情報セキュリティアドミニストレータが考えるサイバーセキュリティ対策について – 登録情報セキュリティスペシャリストのホームページ(RISS-HP)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

error: Content is protected !!