セキュリティ技術者教育：情報セキュリティアドミニストレータ試験対策

>1.どのような攻撃の可能性があるかをきちんと評価すること。
>2.サイバーテロを予防し、防御すること。
>3.サイバーテロ後の影響を最小限にすること。

>１．攻撃の可能性を評価すること。（１４字）
>２．攻撃を予防し、防御すること。（１３字）⇒（１４字）
>３．攻撃後の影響を最小限にすること。（１６字）

>１・・・どの様な攻撃の可能性があるかをきちんと評価する事。
>２・・・サイバーテロを予防して防御する事。
>３・・・サイバーテロ後の影響を最小限にする事。
>これらの対処を徹底して企業のネットワークソースをテロ
>活動の一部に使われない様に適切なリスク評価を実施して
>実現可能なテロ活動の脅威や脆弱を洗い出しておき、
>必要な対処を講じておく。

　企業のネットワークリソースがテロ活動の一部に使われないように
　注意しなければなりません。
　企業は国のために防御を固めながら、自社の情報資産を守ります。

　ここではサイバーテロについて考えましたが、セキュリティインシデントや
　地震や風水害による自然の脅威や機器の故障や誤作動についても考える必要があります。

>(1)情報システムの状況を把握し、想定されるリスクを分析する。
>(2)費用対効果を意識して想定されたリスクへの対処を行う。
>(3)想定されたリスクが発生した場合に、影響を最低限にする対策を行う。
>
>以上が記事から読み取れることですが、僕としては(1)と(2)を合成して、
>次の２点を追加すべきだと思います。
>・セキュリティに関する人的教育を行う。
>・実施しているリスクへの対処に関して技術面・運用面から定期的に監査する

　上記の(1)～(3)はPlan(計画)－Do(実施)－Check(監視)（－Act(改善)）
　の部分ですので、重要な柱となります。
　また、追加すべきと考えて頂いた２点も重要な作業ですね。
　人的セキュリティはDo(実施)とCheck(監視)、監査はCheck(監視)とAct(改善)
　に関わってきます。

>社内外での啓蒙、教育活動。

>人為的なリスクも含めた情報セキュリティ教育の実践。（２５字）

>社内外での啓蒙、教育活動であり、人為的なリスクも含めて情報
>セキュリティの教育を実施する

>ウィルス対策やファイアーウォール、ＩＤＳ等を構築する事は当然の事で、
>それよりも企業に存在する人材に対してのセキュリティーに対するスキルの向上を
>最優先して行うべきである。

>社内外での啓蒙や教育活動を行い、人為的なリスクを含めて情報セキュリティーを
>教育する事。
>また、エンジニアにおいては米国のＳＡＮＳ等のセキュリティーに関する
>教育プログラムを使って理解を深めたり、自己啓発により自分自身で学んだり、
>実際に使われている不正なアクセス手法を実際に試してみて深い理解を得る事も
>必要である。

　セキュリティ技術者教育については組織内で技術的に不足している場合がありますので
　外部の教育サービスを利用することも考慮に入れます。

>人的セキュリティ教育。
>以上のように文面からは読み取れますが、個人的には次のようだと思います。
>業務・社会情勢から情報セキュリティの必要性を明確にし、保護すべき情報資産
>を明らかにする。その情報資産に対して、情報セキュリティポリシーを策定し、
>社内・外の関係者に明示する。
>教育はこの後かと、、、教育をするための基準がないと、しにくいのでは、、、

　人的セキュリティにはセキュリティ技術者教育と一般利用者教育など
　それぞれの立場（階層別）での教育訓練があります。
　ここではセキュリティエンジニアを育てる教育訓練についても言及されています。

　セキュリティに関して十分に理解していないと
　情報セキュリティポリシ、スタンダード、プロシージャの精度を高めることができない
　ということになります。

　◇情報セキュリティ基本方針　とは。。。

　　情報セキュリティに対する組織としての統一的かつ基本的な考え方や方針を示すもので、
　　単に「ポリシ」または「基本ポリシ」とも呼ばれます。
　　広義の情報セキュリティポリシの最上位に位置付けられており、
　　目的、対象範囲、維持管理体制、義務、罰則などが記述されます。

　◇情報セキュリティ対策基準　とは。。。

　　情報セキュリティ基本方針を実践し、適切な情報セキュリティレベルを
　　確保・維持するための遵守事項や基準であり、「スタンダード」とも呼ばれます。

　◇情報セキュリティ対策手続、規程類　とは。。。

　　情報セキュリティ対策基準を実施するための詳細な手続や手順であり、
　　「プロシージャ」とも呼ばれます。各スタンダードをより具体化し、
　　各部署において実際に運用するための手続や手順が記述されます

>・経営陣がセキュリティへの理解を深めること。

>経営者がセキュリティ対策の重要性を認識すること。（２４字）

>経営陣が古い考えにとらわれず、セキュリティへの理解を深めることが
>重要であり、セキュリティが、将来、投資額の１０倍にもなる損失を
>防いだり、苦境になった会社を救うかもしれないという、保険と同じような
>認識が必要である。

　情報セキュリティの取組みは経営戦略や事業方針などに大きく関与するため、
　経営者が判断し定めるべき性格のものです。

>経営者に情報セキュリティの重要性を認識してもらい、費用的な側面だけ
>ではないことを説明する。そして、保険のようなリスク移転の効果もある
>ことで投資効果を理解し、人的リソースの適切な確保を促す。

　情報セキュリティポリシを社長名で公布する理由の一つに費用面の決定が挙げられます。
　情報セキュリティ対策には費用がかかるので経営者は費用対効果を十分に考慮した上、
　承認しなければなりません。

　そしてセキュリティエンジニアの作業量を考え、とシステム管理者やネットワーク管理者との
　職務分離を図る必要があるかどうか判断し決定する必要があります。

>サイバーテロ：
>　インターネット等の情報インフラに破壊活動を行うこと。
>ホームページの改ざんやデータの破壊などのネットワークへの不正侵入、
>大量の接続要求を送りサーバをパンクさせる「サービス許否(denial-of-service )」
>攻撃、コンピューターウィルスが主な手口。

　ありがとうございます。サイバーテロという言葉もよく聞かれるようになりました。
　意味もしっかり押さえておきましょう。

>・またもや、「人」ですね。
> 破るのも「人」、守るのも「人」という事ですかね。
>・私はセキュリティ関係には携わっていませんが、携わっている
> 人が経営陣に理解して貰うのはとても大変だという話を聞いた事があります。
> 実際に被害を受けて見て初めて重要性が分るというケースも多いと聞きます。
> 世間で色々と言われ始めて来ましたので今後、情報セキュリティ
>　については一般的な話になって来るでしょう!!
> そうなるとますます「セキュリティエンジニア」が重要になって来ますね。

　情報セキュリティ対策は費用対効果が見えにくい部分ですから、実際に被害に合わないと
　重要性が分からないというのが現実なのでしょうが、情報セキュリティ事件が
　起きてしまってからでは遅いのですから、しっかりと企業として情報セキュリティ対策を
　とらなければなりません。

>今回の感想ですが、やはり現実の問題として経営者のＩＴに対する意識や
>スキルが低すぎる事が非常に多く見うけられる。
>セキュリティーの意識を社内に浸透させるためには、まず、それらの必要性や
>適切な対策を行わなかった場合の具体的脅威を社内全員に周知徹底させなければ
>ならないが、それを率先して行うためには、経営者の権限をもってトップダウンにて
>行う事が望ましいと思われる。その為の経営者はＩＴに関する理解を早急に深める
>必要があると思います。目に見える物理的なセキュリティーしか目に止まらない
>経営者はその存在意義までも問われ様な状況になりつつあると痛切に思います。

　まさしくその通りです。日本の企業のほとんどがこのような状況であると考えられます。
　そういった状況を改善していくためにもあなたが情報セキュリティの重要性を
　社会に広めていく必要があります。
　最近は情報セキュリティ事件が起きるとニュースで取り上げられることが多くなりましたので、
　経営者の情報セキュリティに対する意識が上がってきていますが、なぜ費用を出してまでも
　効果が見えにくい情報セキュリティ対策が必要なのかを理解してもらえるよう
　説明ができなければなりません。

>セキュリティ対策を施さずにネットにつなぐとはどういうことか？
>　例えるならば整備不良の自動車で高速道路を走るようなものではないかと思います。
>　自動車なら点検整備をし、保険をかけ、交通ルールを遵守し、運転中も危険予知を
>　しながら走りますよね？
>　この例えを出して説明したら納得してくれた経営者の方がいらっしゃいました。
>　しかし、セキュリティ対策の重要性を認識していない経営者のほうが多いのは事実です。

　分かりやすい例ですね。
　経営者にセキュリティの重要性を理解してもらうために自分だったらどのように
　説明するか章立てして考えてみましょう。