利用者教育：情報セキュリティアドミニストレータ試験対策

TOP ＞午後対策＞利用者教育

利用者教育

問　題《情報セキュリティアドミニストレータ午後対策》

G部長と情報セキュリティ担当者のE氏の会話を読んで下記問いに答えよ。

E氏：人的セキュリティとして、従業員の管理やモラルを向上させるための対策が必要です。
　　しかし、現在の情報セキュリティポリシや規則には何も明記されていません。
G部長：確かに明記はされていない。しかし、明記されていなくても、
　　これまでに情報システム部として関連した対策はとってきたはずだ。
E氏：はい。まず、情報システムとシステム上の情報に関する取扱ル－ルを作り、
　　情報システム部が、画一的にすべての従業員に集合【　ａ　】を行ってきました。
　　しかし、情報システム部員の説明では専門用語が多く、業務との関連がない説明のために
　　分かりづらいとの声が多かったのです。

　(1)【　a　】を埋めよ。

　(2)情報システム部員の説明では分かりづらいということであるが、
　　今後どのような対策をとればよいか。

　(3)感想・調べたこと

情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。

解　説《情報セキュリティアドミニストレータ午後対策》

(1)【　a　】を埋めよ。

>(情報セキュリティ)教育

>セキュリティ勉強会

>研修

　教育や研修は、ISO/IEC 17799（JIS X 5080）の人的セキュリティの利用者の訓練
　の項目で規定されています。

　組織におけるセキュリティリスクを認識し、日々の業務についてセキュリティポリシを
　守るように心掛けることを、利用者に周知徹底する必要があります。

　しかし、この問題の中の組織は、E氏の発言によると
　「情報セキュリティポリシや規則には何も明記されていません。」ということですので、
　利用者の訓練については有効に機能していないことがわかります。

(2)情報システム部員の説明では分かりづらいということであるが、
　今後どのような対策をとればよいか。

>各部署の責任者に、各部署の業務に応じた研修を部署別に、
>継続的に行うようにお願いする。

　このＡＣＴの問題は平成15年度秋試験から採用していますが、この後、
　「今後は各部署の責任者にお願いして、業務の状況に応じた【教育、訓練、研修】を継続的に行って、
　情報セキュリティ意識を高める必要があると考えております。」と続きます。
　情報セキュリティ教育もトップダウンで組織として対応する必要があります。

>研修対象者の業務に関連付けるため、業務上の事例などを引用し実感を
>伴う内容にする必要がある。

　何を、何のために、何から守らなければならないかを理解させる必要があります。
　そのためには実際の業務と関連付けて教育するのは有効です。
　ソーシャルエンジニアリング対策も実施します。

　◇ソーシャルエンジニアリング　とは。。。

　　ネットワークの管理者や利用者などから、話術や盗み聞き、盗み見
　　などの「社会的」な手段によって、パスワードなどのセキュリティ
　　上重要な情報を入手することです。

>専門用語は極力避けた業務に沿った取扱ルールを作成し、説明及び、
>教育を行なっていくようにする。

　取扱いルール（ガイドライン、マニュアル）などを作成して、
　一般利用者が理解しやすいようにするのは有効な手段です。

>説明会では極力専門用語を使用せず、技術的な説明は控えることとする。
>重要点は会社として情報セキュリティの必要性を社会的・事業的な観点から
>説明する。また、セキュリティが必要な情報資産を明らかにし、各社員の
>業務範囲と責任・義務を明確化し、守るべきセキュリティ手順を文書化・周知
>することが重要である。このように具体的に何をどのように守るかを罰則規定
>をもって説明するようなセキュリティ勉強会とすることが重要である。

　日本の企業では社内の人に対しては性善説で対応するという考えが多いと思いますが、
　罰則規定を設けて一般利用者に周知徹底することは抑止の観点からも非常に重要です。

>極力専門用語を排し、実際の業務と関連付けた説明を心がける。（２９字）

　各部署に展開して対応するといった組織的な観点も付け加えておくとさらに良いでしょう。

(3)感想・調べたこと

>ISMSのセキュリティ教育・人的セキュリティの要求事項を参考に答えました。

　ISO/IEC 17799(JIS X 5080)にはセキュリティ対策としてのガイドラインが書かれていますので、
　参考にするといいでしょう。

>・やはり、人的セキュリティは難しいですね。
>逆に言えば、ここがしっかりすれば、強固なものになりますね。

　最大のセキュリティホールは「人」であると言われるように、人的セキュリティは重要です。
　日本の企業の中にはまだ組織の外部から脅威ばかりを気にしており、
　内部の人の脅威について意識が薄いですから、組織内の人の管理をいかに実施するか
　ということは課題として挙げられます。
　⇒セキュアド試験で出題される可能性が高い。

　なお、セキュリティ対策としては、人的（管理的）、物理的、技術的（論理的）観点から
　実施される必要があります。

>情報システム部門に勤務する人達は平気で専門用語を使いがちですよね。
>これが周りの人達にとっての分かり辛さを助長しているのだと思います。
>かく言う私もそういう言葉を平気で使っていますが（笑））
>そういえば、情報処理の試験では専門用語を別の言い方（表現）に直して
>みる訓練も役に立つ気がします。午後問題で字数制限がある場合、その
>言い換えができるか否かで違ってくるケースもあると思います。

　セキュリティについて知識がない人に理解してもらえるように
　自分の言葉で説明できるか訓練しておきましょう。

　セキュアドの試験では専門用語を使用して解答していいです。
　もし、文字数が足りなかったり、多かったりした場合は、書く要素に過不足が
　ないかをまず疑ってみましょう。その後、字数の調整をした方がいいと思います。

>見たことのある問題だと思いました。今年情報セキュリティ試験を受験し
>ましたので、その問題を見返してみたら、同じ問題が出題されていました。
>ちなみに解答速報によりますと、その部分だけは正解でした。
>他の問題は散々でした。

　ご自分がセキュリティに関して理解している部分と理解が不十分な部分を
　明確にしておくといいでしょう。

　これからどの分野の知識や経験を身に付ける必要があるか意識することにより、
　弱点を強化することができると思います。

利用者教育：情報セキュリティアドミニストレータ試験対策