kuzira_diver

情報処理安全確保支援士 オンライン講習（2021年度）単元６：情報セキュリティ関連の標準やガイドライン 日時：2022年5月12日～5月15日 概要 情報セキュリティに関する標準やガイドラインの制定・改廃、社会通念の変化、国内外の動向、それらを活用する理由を学習する １章：セキュリティ対応における標準・ガイドラインの活用 ガイドラインを用いることにより、「自組織が相手に求めること」「自組織が満たしているセキュリティレベル」を共通言語で示すことができる ISMS-T標準化動向と今後 マネジメントコース 情報セキュリティマネジメントの実践ポイント ２章：国内のガイドライン NISC みんなで使おうサイバーセキュリティ・ポータルサイト 国内のサイバーセキュリティに関する公的機関等の施策・取り組みを紹介 サイバーセキュリティ経営ガイドラインVer.2.0および支援ツール サイバー・フィジカル・セキュリティ対策フレームワークの内容と要点を知り組織のガバナンスに有効活用することができる サイバーセキュリティ研修会WG　事務局説明資料 サイバーセキュリティ経営ガイドライン 経営者を対象としたガイドライン 経営者が認識する「3原則」、担当幹部に指示すべき「重要10項目」をまとめている サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 経営者、CISO等、セキュリティ担当者を読者として想定 重要10項目を実践するための考え方、ヒント、実践手順などを記載 サイバーセキュリティ体制構築・人材確保の手引き セキュリティリスク管理体制の構築 セキュリティ対策のための資源（予算・人材等）確保 サイバーセキュリティ経営可視化ツール サイバーセキュリティの実践状況を可視化するためのツール 状況を定量的に把握し、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資の判断につなげる 中小企業の情報セキュリティ対策ガイドライン 情報セキュリティ対策の指針、手順、手法をとりまとめたもの サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）のポイント サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）の概要 サイバー空間とフィジカル空間が融合した産業社会を３つの切り口（「企業間の繋がり」、「フィジカル空間とサイバー空間のつながり」、「サイバー...

情報処理安全確保支援士 オンライン講習（2021年度）単元５：倫理と法 日時：2022年5月8日～5月12日 概要 倫理の考え方、倫理的判断や行動の指針となる規範について学習する 理解しておくべき関連法制度や内部統制などについて学習する １章：倫理とは 倫理とは何か 善悪の判断をするための根拠となる規範を「倫理」と呼ぶ ２章：情報処理安全確保支援士の倫理観 情報処理安全確保支援士について（倫理の観点から） 機密情報に接する機会が多く、技術・知見から高度な技術的攻撃が可能 高い倫理観と規範意識が求められる 倫理的な行動ができるよう内発的・自発的に考えなければならない 無意識のうちに非倫理的な行為を行ってしまう危険も認識する 会社・組織が非倫理的な意思決定を行った場合、自らの倫理観とコンフリクトが起きる可能性がある どのように行動するべきかを内発的・自発的に考えなければならない 以上を認識し、自らの行為を客観視したり、第三者の意見を求めたりすることで、非倫理的な行為の防止に努める 情報処理安全確保支援士 倫理綱領 情報処理安全確保支援士 倫理綱領（説明付き） 安全確保支援士が業務を行っていくうえでの指針 倫理的判断が重要な理由 科学技術の進歩による専門分野の細分化、高度化により技術者の判断が難しくなってきている 相反する事態に遭遇することもある 例）コストの低減と公衆の安全確保、情報公開と守秘義務 判断結果が社会に多大な影響を与える可能性がある、など ３章：コンプライアンス 広義のコンプライアンス 倫理的な判断や行動を主体的に行う 狭義のコンプライアンス 明確化された法や規則に従う コンプライアンス経営 コンプライアンスを基礎に「経営倫理」の確立と実践を目指す経営 コンプライアンス経営の実践は組織の維持発展に寄与する 内部統制 コンプライアンスの目的実現のために、組織が主体的に取り組む手段 法律や内容は多岐にわたるが以下の趣旨・目的を理解しることが必要 会社法：株式会社に適用 金融商品取引法：上場企業等に適用 企業会計審議会による「財務報告に係る内部統制の評価及び監査の基準」 内部統制の基本的枠組み ４つの「内部統制の目的」 ６つの「内部統制の基本的要素」 要素のひとつに「ITへの対応」が含まれる 公益通報者保護法 労働者が、公益のために通報を行ったことを理由として不利...

情報処理安全確保支援士 オンライン講習（2021年度）単元４：様々な脅威への対応 日時：2022年5月5日～5月5日 概要 自組織における外部からの脅威だけではなく内部に潜む脅威や、脅威への継続した相合サイクルについて学習する １章：様々な場所に潜む脅威 情報システムを取り巻く環境の変化 情報システムはセキュリティ対策として内部と外部の境界を分離すること実施してきたが、クラウド化や働き方改革により、オフィス以外の場所での業務、協力会社や取引先とのサプライチェーンなどにより境界があいまいになり、情報システムの防御対策が難しくなっている 多様化した脅威に対応するセキュリティ対策 組織内部のシステムは外部公開システム同様のセキュリティ対策が必要 ゼロトラストのように、全てのアクセスがUntrusted（信用できない）であるという概念から、トラフィックを全て検証・認証していくアプローチもある セキスペが考える脅威への３ステップ 情報の収集と自組織のアップデート（システムや運用ライフサイクルの意識） 脅威の特定（脅威の要因や起こりうるシステムの把握） リスクへの対応（リスク対策の実施） ２章：内部に潜む脅威 テレワーク等のニューノーマルな働き方を狙った攻撃 テレワーク等の環境を考慮したポリシーの作成を行い、被害を受けた場合でも早期検知、対応ができる体制構築を行う 被害の予防 セキュリティ教育の実施 セキュリティに強いテレワーク環境 組織としての体制確立 CSIRTの構築 対策予算の確保と継続的な対策の実施 テレワークのセキュリティポリシー／規定／運用ルールの策定・整備 利用するソフトウェアの脆弱性情報の収集・周知 被害の早期検知 適切なログ取得と継続的な監視 ネットワーク監視、防御 被害後の対応 CSIRT運用によるインシデント対応 内部不正による情報漏えい 内部不正を出来ない環境を構築する、また不正が発生しても早期に検知できるよう対策をする 被害の予防 内部不正対策における基本方針の策定（内部不正チェックシートの活用） 情報資産の把握、体制の整備 情報モラルの向上 コンプライアンス教育 離職者に対する秘密保持義務を課す誓約書 被害の早期検知 システム操作履歴の監視 ログや証跡の監視 被害を受けた後の対応 自組織にて規定している報告先への連絡 影響調査、今後の対策強化 組織に...

情報処理安全確保支援士 オンライン講習（2021年度）単元３：継続して実施していくセキュリティ対応 日時：2022年5月2日～5月5日 概要 システムやソフトウェアのライフサイクルにおいて、開発を中心としてどのようにセキュリティを確保した設計、実装、試験を行うべきか学習する。 1章：変化するIT環境 ITインフラの変化の影響 ネットワーク範囲や防御すべきシステムは拡大しており境界防御が難しくなっている 制御システムの変化 もともとクローズド環境で長期間の利用を想定しており、防御機能が十分でなく、都度のアップデートが難しいことからサイバー攻撃の標的となっている クラウドファーストと安全性の考え方 自組織のシステムに対して システム環境や運用を正しく把握・管理する 適切なセキュリティ対策を実施する クラウド・バイ・デフォルト原則とは クラウド利用を第一候補と考え、クラウドの有効性を活用する政府方針 クラウドサービスの有効性（ 政府情報システムにおけるクラウドサービスの利用に関わる基本方針 ） 2章：IT環境の把握 資産と構成を把握し、最新の状態に維持することはセキュリティ対策を行う基本となる。 資産管理情報⇒絶対数の管理 IT資産やライセンスなどの管理 構成管理情報⇒構成物・数の把握 ITサービスを構成する要素の管理 その他管理情報⇒リスク・影響の把握 ネットワーク情報（全体ネットワーク図、ルーティング、ファイアウォール設定など） 機器同士の相互関係 システム・ソフトウェアのライフサイクル 正確に把握できない場合 脆弱性の影響を受ける機器の把握ができない セキュリティ対策の実施が徹底されているか把握ができない 緊急時の影響範囲の特定、予測ができない 情報システムの導入に際し、必要なデータを管理するルール・仕組みが必要 情報システムや新規に導入するシステムの管理情報を適切に収集・登録する仕組み 情報システムのライフサイクルを意識し、適切なシステム更改計画を立てる サポート終了を見据えた計画を IPA システム再構築を成功に導くユーザガイド 継続的なセキュリティ監視の重要性 自組織の状況を正しく理解する必要がある。継続に情報を収集・分析し、システム全体が正常であること、事象分析に必要な情報が収集できていることを確認し、状態を維持することが重要。 「正常である状態」を監視する...

情報処理安全確保支援士 オンライン講習（2021年度）単元２：セキュア開発 日時：2022年4月27日～5月1日 概要 システムやソフトウェアのライフサイクルにおいて、開発を中心としてどのようにセキュリティを確保した設計、実装、試験を行うべきか学習する。 1章：システムライフサイクルとセキュリティ 政府機関等のサイバーセキュリティ対策のための統一基準群 システムライフサイクルの企画・設計（早い段階）でセキュリティを意識して高める「セキュリティ・バイ・デザイン」「ビルトイン・セキュリティ」 企画・要件上の問題として、発注側もセキュリティ要件を定義すること システムライフサイクルを考えて、企画。要件定義、設計、製造などの開発プロセスを進めることが重要。 運用終了時には確実な廃棄を実施し、その証明を求める。 ２章：セキュアな企画と要件定義 セキュリティ・バイ・デザイン 企画段階からのセキュリティ確保 手戻りが少なく納期が守れる 最終的にコストを少なくできる 保守性の良いソフトウェアができる IPA セキュリティ・バイ・デザイン入門 発注側からセキュリティを意識 業務要件の検討 守るべき情報資産を洗い出す 環境やインシデント時の影響など業務要件を詳細化 セキュリティ要件の策定 業務要件からリスク評価し、対策方針を検討 費用対効果や優先度を考慮し対策要件を決定 発注仕様に具体的な対策要件を記載 セキュリティ要件に基づいて予算化・発注 企画段階から各段階においてセキュリティ対策を組み込み不可欠なものであると受注側に示す 予算や期間、人材などのリソースを確保 機能要件と非機能要件 機能要件 ステークホルダーがシステムの目的に対して意図した機能を実現する要件 発注側も意識してこの要件を受注側に提示 非機能要件 ステークホルダーが意図しない機能以外の当然対応されるべきものと考えられる要件 快適に利用できる、安全に利用できるなどの期待、セキュリティ要件も含まれる 非機能要件の課題 発注側が当然と考える非機能要件を機能要件として的確に定義することは難しい 発注側が意図したセキュリティ対策になっていない 運用監視ができるログが出力されない 非機能要求グレードの活用 IPAから提供されているツール群 システム構築の上流工程強化（非機能要求グレード） 残存リスク 組織の資源や目的に対する悪影響...

情報処理安全確保支援士 オンライン講習（2021年度）単元１：情報処理安全確保支援士に期待される役割と知識 日時：2022年4月10日～4月27日 1. 情報処理安全確保支援士に期待される役割と知識 1章：情報処理確保支援士の人材像 安全確保支援士が活躍する場面は情報システムのライフサイクル全般 ①経営課題への対応 ②システム等の設計・開発 ③運用・保守 ④緊急対応 「情報処理安全確保支援士　倫理綱領」役割と責任を果たすために従うべき規範（１．公正と誠実、２．秘密保持、３．法令等の遵守、４．信用保持、５．自己研鑽） 【倫理が重要な理由】 ・専門分野の細分化、高度化により、技術者に要求される判断が難しくなっている ・相反する事態に遭遇することがある ・判断結果が、社会に多大な影響を与える可能性がある 【倫理と法律】 ・倫理的問題に対し、妥当な結論を導くための「考える力」が必要となる ・一定の「法律」の知識も必要 ・「法律」は倫理の内容として重要な位置を占める ・組織の「内部統制」「公益通報」に関し、法律は多くの規定がある 2章：情報処理確保支援士に期待されること DXが加速しサイバーセキュリティが経営課題と認識さえっる企業や組織において、必要不可欠な存在     ・技術を安全に事業に活かすという視点をもった専門家     ・セキュリティリスクを経営層、事業部門にも平易に説明し、必要な支援、協力、連携を取り付ける     ・セキュリティ事故発生時も必要な専門家と連携しながら早期に回復できるよう、経営層、事業部部門、情シス部門の橋渡しを推進 必要な情報を組み合わせ、活用できるように伝える セキュリティ対応サイクル（導入、実行、運用、対応、見直し）の中で様々な支援を求められる（ セキュリティ対応組織の教科書 ） 3章：情報セキュリティを取り巻く環境の変遷 OT・IoTへの広がりにより「境界防御」の概念が曖昧に、セキュリティ確保が難しくなっている。 サプライチェーンの弱点を悪用した攻撃も2019年からランクイン 攻撃者の主な分類：金銭、ハクティビズム、愉快犯、諜報 4章：セキュリティ対応　導入フェーズの知識 ■「導入」の場面で必要となる知識　～必要性～ 「サイバーセキュリティ経営ガイドライン」 経営者が認識すべき「3原...