こんにちは。はなくとです。
今回は先日IPAより発行された「情報セキュリティ白書2018」の第2章について気になったことを書いてみます。
また、原本の入手にはIPAの会員登録の上、アンケートに回答する必要があります。
どなたでも入手できますので是非読んでみてください。得るものはきっと多いと思います。
原本入手したい方はこちらから(IPAのサイトに飛びます)。
https://www.ipa.go.jp/security/publications/hakusyo/2018.html
2章で気になった箇所
2章では、国内外のセキュリティ関連法案、人材育成、情報セキュリティマネジメント、国際標準化、普及活動等について状況が記載されていました。知らない用語や気になった箇所を書いていきます。
・サイバーセキュリティエコシステム
機器、ネットワーク、人、組織の相互作用によって自然とサイバーセキュリティが強化され
る仕組み(と理解しましたが調査中です)。
・情報銀行
個人から収集した行動履歴等の個人情報にひも付いたデータを管理し、他事業者に提供する
事業者
・J-CRAT
サイバーレスキュー隊。Windows標準ツールで感染を見つける方法等を公開している。
詳細は下記のリンクより(IPAのサイトに飛びます)
https://www.ipa.go.jp/security/J-CRAT/index.html
・刊行物
①IoTセキュリティガイドライン(NISC)
②サイバーセキュリティ経営ガイドライン Ver2.0
③サイバーセキュリティ人材育成プログラム
④橋渡し人材のスキル認定の基本的な考え方
⑤サイバー攻撃(標的方攻撃)対策防御モデルの解説 (総務省)
⑥テレワークセキュリティガイドライン(第4版)
⑦SSL/TLS暗号設定ガイドライン 第2.0版 (CRYPTREC)
・日本の情報セキュリティ関連法案の整備状況
①サイバーセキュリティ基本法の改正
サイバー攻撃に関する情報を迅速に共有する官民の協議体である、「サイバーセキュリテ
ィ協議会」を設置。諸外国の行政機関やセキュリティに関連する民間企業と情報交換、サ
イバー演習、人材育成によるグローバルな連携を行う。
②不正競争防止法
データ保護の対象として他者との共有を前提となっているデータを追加。
暗号化等の技術的制限手段を無効化する機器や役務の提供も不正競争行為とみなされる。
・国別・地域別の情報セキュリティ政策 ( )内は国・地域名
①NIST CybersecurityFramework v1.1(USA)
サプライチェーンのセキュリティマネジメントにより、全政府機関の調達において同レベ
ルのサプライチェーンセキュリティを担保。
②GDPR(EU)
EU域内だけでなく、個人データが移転される第3国にも同等の保護を求める。
③ネットワーク安全法(中国)
情報ネットワーク運営者、重要情報インフラ運営者に対する義務を定めている。
当局は強い権限を持ち、通信の遮断やデータ削除を求めることが可能。
ただし、文言が曖昧なため、対応が難しい。
④CSERT間連携
アジア太平洋地域でCSIRTコミュニティであるAPCERTの活動。
・情報セキュリティ人材の現状と育成
①企業の経営戦略を具体的な業務課題としてとらえることができる橋渡し人材の不足。
②産業サイバーセキュリティセンターの設立
・その他の情報セキュリティの状況
①第四次産業革命を踏まえた秘密情報の管理と利活用におけるリスクと対策に関する調査
新しい基盤・環境(※)において秘密情報管理上の課題やリスクを抽出。
※クラウドやテレワーク、サプライチェーンマネジメントを含む。
所感
2章を読んで、自身の情報収集力の甘さを痛感しました。
情報収集先、情報収集対象や刊行物など、自分が知らないことが多々あり、今後の勉強の参考となる記載が盛りだくさんでした。特に刊行物については優先順位をつけて読んでいきたいと思います。
もう1つ興味をもったのが、サイバーセキュリティ人材の中でも特に「橋渡し人材」が不足しているという点でした。
はなくとが新卒で入った会社では入社してから2年後に成果発表会なるものが催され2年の活動と今後の目標について発表する機会がありました。
発表会では今後の目標として「経営とITを結び付ける人になりたい!」という主旨の発表をしました。当時はインフラエンジニアであり、「どうやって?」が曖昧でした。(コンサルとか言うとややこしそうだったので遠慮したのもありますが)
しかし、「橋渡し人材」となれば、十数年越しにその目標を実現できることが分かりワクワクしてきました。今後は、「橋渡し人材」に注目して勉強してみたいと思います。
第1章についてはこちらから
第3章についてはこちらから
おしまい。