スキップしてメイン コンテンツに移動

情報処理安全確保支援士 オンライン講習Bを受けた備忘録 2020年度版(5)~情報処理安全情報確保支援士の倫理~

情報処理安全情報確保支援士の倫理

情報処理安全確保支援士の倫理と倫理的判断や行動の指針となる規範について学習する。

第1章 倫理とは

  • 「企業倫理」消費者や社会からの信頼に答える為に遵守すべき規範
  • 「技術者倫理」技術者が作り出したモノやサービスによって「公衆の安全、健康、福利」に貢献すること
  • 「企業倫理」と「技術者倫理」の対立 個々の技術者が持つ「価値」と企業がもつ経済原理等の「価値」の対立
  • 『倫理』とは、何らかの責任のある者が、その役割に応じた責務を果たす際の行動規範。
    • 判断に迷うような事態に行動規範は判断基準(Criteria)として不適切な行動を取らない。
  • 不適切な行動をとってしまう要因
    • 概念の不備
      • 概念を知らない
      • 誤った概念の認識と行動
      • 上司等の指示・依頼が誤っていると気づいているにも関わらず行動する
    • 判断基準の不備
      • 概念は理解しているものの、必要な知識・スキルが不足する為、適切な判断ができず、倫理の概念を適切かつ十分に適用できない。
    • 上記の複合
  • 法:国家等の権力によって矯正される他律的な規範
  • 倫理:自主的に遵守するように期待される自律的な規範
  • コンプライアンス(法令遵守)=法律の遵守(法的責任)+倫理の遵守(倫理的責任)
  • 社会環境の変化、組織としての役割変化、技術革新、と様々な変化の中で適切な行動をとることを要求されている。情報処理安全確保支援士は技術的な観点だけでなく、倫理観も持ち合わせて、適切な判断をしサイバーセキュリティの確保を支援していく役割をもつ。

第2章 情報処理安全確保支援士の業務と倫理

  • 安全確保支援士は「技術者倫理」と「職業倫理」の双方を理解する必要がある。
  • 「職業倫理」特定の職業に資格を保持し従事する者の倫理
  • 想定される業務
    • 経営課題への対応
    • システム等の設計・開発
    • 運用保守
    • 緊急対応
  • 安全確保支援士の責任
    • 「法的責任」
      • 職業上の責任が法的に定められ強制されるもの
        • 「 情報処理促進法」の24条 信用失墜行為の禁止、25条 秘密保持義務、26条 受講義務
      • 業務上の責任として法令遵守が要請されるもの
        • 個人情報保護法、不正アクセス禁止法、不正競争防止法、著作権法、刑法等
    • 「社会的責任」
      • プロフェッショナルとして、高度な専門知識や技術を修得し、実務経験を積んでいること
      • 専門分野の知識や技術経験を最大限に活用してサイバーセキュリティ分野での社会貢献を担うこと
  • 安全確保支援士の義務
    1. 注意義務:一定の注意をしなければならない義務。注意を怠ることは過失となる。
    2. 忠実義務:信用されて任された者が、職務などを忠実に行う義務であり、任せた者に対して負う。
    3. 守秘義務:業務の過程で得た情報の秘密を保持し、情報を他の目的に利用しない義務。
    4. 信用保持:自分が所属する組織や自分の職業の信用を棄損する行為を行わないこと。
    5. 協力義務:共通の目的のものに業務を行う者たちが、目的達成のために、互いに協力する義務。
    6. 規範遵守:法令や所属する組織の内部規定を遵守すること。
    7. 説明責任:信用されて任された者が、任せた者に対し、情報を開示し、経過や成果を説明する責任。
    8. 継続学習:専門職の専門的な知識・経験・能力が、常に最新であるように学習を継続すること
    9. 自己規制:業務に対し、自らの発意で節制する。他からの支配や助力を受けず、自分の行動を自分の立てた規律に従って正しく規制すること(自律)。
    10. 公衆保護:公衆の安全、健康及び福利を保護すること。
    11. 社会的責任:自己の利益優先ではなく、他の関係者の立場を思いやり関係規範を準拠し、社会の持続可能な発展に貢献すること。

第3章 情報処理安全確保支援士の倫理規範

  • 社会環境の変化に伴い、様々な価値観、課題が混在するなかで、不適切な行動をとらないようにする「行動規範」としての倫理綱領が求められる。
  • 『なぜ倫理綱領が必要か』
  • 倫理綱領の機能
    1. 社会に対する専門職の責任の表明
    2. 専門職が目指すべき理想の表明
    3. 専門職にもとめられる倫理的な行動に関する実践的なガイドライン
    4. 専門職を教育するためのツール
    5. 専門職の在り方そのものを議論・自省する機会の提供
  • 安全確保支援士の倫理綱領(解説付き)
【前文】
情報処理安全確保支援士は、社会的通念やモラルに従い、情報セキュリティの専門家としての矜持を保ちつつ、サイバーセキュリティの確保を通じて、公衆の生命・安全・財産を保護し、安全・安心な社会の維持に貢献する。
情報処理安全確保支援士は、その使命を全うするため、品位を保ち、技術の研鑽に励み、国家資格「情報処理安全確保支援士」として、この倫理綱領を遵守し、公正・誠実に行動する。
【基本原則】
1.公正と誠実
情報処理安全確保支援士は、業務上の判断を行うにあたり、先入観をもたず、他者から
の不当な影響を受けず、常に公正な立場を堅持し、公正・誠実に業務を遂行しなければ
ならない。
2.秘密保持
情報処理安全確保支援士は、正当な理由がなく、その業務に関して知り得た秘密を漏ら
し、又は盗用してはならない。
3.法令等の遵守
情報処理安全確保支援士は、法令等や専門職としての倫理を遵守しなければならない。
4.信用保持
情報処理安全確保支援士は、専門家としての自覚をもち、信用を失墜する行為をしては
ならない。
5.自己研鑽
情報処理安全確保支援士は、専門家としての能力を必要とされる水準に維持し、かつ
自らの知識・技能を高めなければならない。
  • 安全確保支援士に求められる倫理的行動
    • 平常時:「知識」として理解するだけでなく「行動」として示す
    • インシデント発生時:迅速かつ冷静に判断し行動する
    • 対応完了時:業務習慣として、行動を見直しカイゼンを行う
  • どの場面においても判断基準(criteria)として、倫理綱領に照らし、事実に基づいた判断と行動をとる必要がある。

第4章 倫理の適用

  • 倫理的判断が重要な理由
    • 技術の進歩による専門分野の細分化、高度化により技術の判断が難しくなっている。
    • 相反する事態に遭遇することもある。(「コストの低減」と「公衆の安全確保」等)
    • 判断結果が、社会に多大な影響を与える可能性がある。
  • 求められるバランス
    • 許容可能な安全性
    • 法令・基準への適合
    • 合理的な水準の技術
    • 妥当なコスト設定
  • 倫理的問題に遭遇したときに的確な意思決定を下すためのステップ
    • Step1:事実を観察し、問題点をつかむ
    • Step2:関連事実を捉える
    • Step3:関係者を特定する
    • Step4:複数の選択肢を挙げる
    • Step5:選択肢を査定する
    • Step6:選択肢案を選ぶ
    • Step7:最終の選択肢と効果(再発防止に向けた対策検討)
  • 簡易的な倫理問題へのアプローチのステップ
    • Step1(Problem)問題の認識:今何が問題や争点か、また将来、何が問題になるか。
    • Step2(Detail)関連事実の整理:どんあ事実が関連しているか。
    • Step3(Check)倫理問題の特定:倫理綱領に照らしてみたらどうか。
    • Step4(Action)具体的行動の選択:具体的にどのような行動をとるのか。
ラベル:

コメント

コメントを投稿

このブログの人気の投稿

sendmailでの転送設定

某システムにてメールを配信する機能を開発へ依頼。 受け取った後、PHPの mb_send_mail はsendmailが無いと動かない事実を伝えられる。 うちのメールサーバはPostfixですよ。。。 Σ(|||▽||| ) 仕方が無いので、WEBサーバにsendmailを立て DMZ 内のpostfixへリレーするようする。 意外と内部のメールサーバに転送する文献がなかったので、備忘録として残すことにした。 ■sendmail-cf-8.13.8-8.el5.i386.rpmのインストール 設定ファイルをコンパイルするm4コマンドを使う為に必要。     ・モジュールの確認           # rpm -qa | grep sendmail         sendmail-8.13.8-8.el5         sendmail-cf-8.13.8-8.el5         「sendmail-cf-8.13.8-8.el5」がインストールされていなければ以下を実施     ・パッケージのインストール           # rpm -ivh sendmail-cf-8.13.8-8.el5.i386.rpm     ・再度モジュールの確認           # rpm -qa | grep sendmail         sendmail-8.13.8-8.el5         sendmail-cf-8.13.8-8.el5 ■hostsファイルの確認           ・hostnameの確認           # hostname        ...
コメントを投稿
続きを読む

Android端末の操作を自動化する

システムの運用保守をやってると、必ず実機確認(サービス正常性確認)というモノをやらされる訳であります。 スマホアプリ操作なんかだと、複雑なうえに素早く実施しないとイケない。 はっきり言って、アラフォー男子には限界があります。そこで 自動化 を思いつきます。 FRep - Finger Replayer が有力そうだけど、Root化しないとイケない?業務端末では無理です!! 有償で良さ気なソフトもありそうですが、まずは自力でチャレンジ。調べて見るとadbコマンドを使ってタップやスワイプのイベントを端末に送信できることがわかりました。早速、作業に取り掛かります。 2015/05/05 時点でリリースされている最新版を使って開発環境を構築します。 開発環境となるPCのOSはWindows7 Professional SP1 64bit。 作業は全て管理者権限が付与されたユーザで実施しています。 1. Android SDK をインストール ここ からAndroid SDKをダウンロードします。 サイトの下の方に「SDK Tools Only」があるので、そこから[installer_r24.2-windows.exe]をダウンロードしてインストールします。 次にシステム環境変数の中の[Path]変数を編集し、以下のパスを登録します。 "C:\android-sdk-windows\platforms" "C:\android-sdk-windows\tools"    ※"C:\"はご自身のインストール先によって異なります。 2. PCにAndroid端末を繋げる ①Android端末本体の「設定」から「アプリケーション」>「開発」>「USBデバッグ」にチェック。 ②Android端末をUSBでPCに接続。 ③コマンドプロンプトを立ち上げ、adbコマンドで端末の接続を確認。  > adb devices 以上で準備が整いました。 3. 画面キャプチャを撮って、座標を調べる 次に画面を操作する為、座標を調べます。画面キャプチャをペイント等のアプリで開いてみましょう。図の左下に座標が表示されます。ここではFace...
コメントを投稿
続きを読む