登録セキスペ オンライン講習2021

今年で登録3年目の講習です。 今年はオンライン講習のほか、実践講習（リモート講習）もあり、ちょっと楽しみです。 単元のラインナップは見たことある感じですね。 もしかすると今後毎年同じような内容なのかもしれません。 2021年度講習 単元 ・情報処理安全確保支援士に期待される役割と知識 ・セキュア開発 ←[今回目新しいのはこれ] ・継続して実践していくセキュリティ対応 ・様々な脅威への対応 ・倫理と法 ・情報セキュリティ関連の標準やガイドライン

未来のIT技術、続々と実用化されているようです

先日、大学院の授業で、「Society5.0」なるものを学習しました。2021年に科学技術イノベーション基本計画の中で情報技術発展の促進のために日本政府が打ち出した方針で、今や小学校の授業でもこの内容を学習するらしいです。Youtubeにいくつか政府や経団連、その他機関が作成した関連動画があるのですが、その中のひとつがこちら→ https://www.youtube.com/watch?v=xQnnAih8KIo これは紹介動画の中でもかなり前衛的な内容で、アニメに出てくるようなバーチャルを駆使した生活を紹介していますが、今日スマホのケータイサイトを見ていたらこれに登場している翻訳機にそっくり…

JASA 情報セキュリティ内部監査人能力認定制度

すっかりご無沙汰しています。 今年は春から学校が始まって忙しかったこともあり、実は先々月のIPA試験はちょっと大変残念なことに…。 授業の中で学びなおすことも新しく学ぶこともあるので、しばらくは授業に専念しようと思います。 さて。 3月に、昨年受講したセキュリティ系講義の先生の紹介で、JASAの「内部監査人」試験を受けました。レベルは内部監査のメンバーレベル=社内システム担当相当なのですが、さらに研修＆試験を受けるとその上位資格「外部監査人補」「外部監査人」にチャレンジすることができます。 授業内容と範囲が重なるところが大きかったのでよい復習になりました。セキュリティ監査の基本的な部分を掴むと…

IPA 2021年度春試験対策

色々とごたごたしていてスタートが遅くなりました。 春試験対策を始めています。 昨年GWに手を付けたR1午後問題の出来（と自分のコメント）がひどいですね。 午後Ⅰ・Ⅱはやはり複合問題なので難しいです。 ちびちび書いていきます…。

登録セキスペ オンライン講習2020 6/6

6つ目、今回最後は「情報セキュリティに関する法令と契約」です。 前半は情報処理の促進に関する法律（情促法）に記載された支援士に関する事項の詳細説明や復習、後半は業務で出くわす可能性のある主要な法律や規則などでした。 初めて見た内容も多く後半は複雑だったので後でよく目を通しておきます(_ _: 目新しかったところでは「NOTICE」という取り組みの紹介がありました。総務省が2019年2月から実施しているIoTデバイスの脆弱性テストで、NISTやインターネットプロバイダと連携し、IoTデバイスにアクセスすることで、サイバー攻撃に悪用されるリスクのあるデバイスを調査し、また機器の利用者への注意喚起を…

登録セキスペ オンライン講習2020 5/6

五つ目は「情報処理安全確保支援士の倫理」です。支援士として、技術者として、社会人として、気をつけなければいけないことは何か、がテーマでした。昨年度の講習でも同じようなテーマを学習した記憶があります。 「職業倫理」（特定の職業に資格を保持し従事する者の倫理）を持って職務にあたる必要がある、という内容でした。業務遂行の上で指針とすべきは下記の倫理要綱になるので知っておいてください、とのこと。 https://www.ipa.go.jp/files/000073809.pdf 今回は難解な部分は特になく、資料も読みやすかったです。

登録セキスペ オンライン講習2020 4/6 おまけ

章末の理解度テストで腑に落ちない設問があったのでメモ。 システムAのインシデント対応中に、よりインシデント対応優先順位が高いシステムBにおいてインシデントが検知された。現在、2つのインシデントを並行して対応するリソースは無い。この場合、取りうる対応として、適切なものはどれか、全て選べ。 ・リソースは不足するが、頑張ってシステムAとシステムBを両方対応する ・システムAの対応を完了させるまでは、システムBの調査は保留する ・システムBの調査を直ちに開始し、システムAの対応は一時中断する ・現場の判断としてシステムAの対応継続とシステムBの対応保留を上申する 答えは下2つ（3つ目と4つ目）が○、ら…

登録セキスペ オンライン講習2020 4/6

四つ目は「インシデント対応の全体プロセス」です。3/6では平常時に実施すべきことを学習しましたが、今回はインシデントハンドリングの対応として下記NISTのSP800-61 Rev.2に基づき流れを学習しました。 https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final インシデントハンドリング自体はCSIRTの事後対応型サービスとして位置付けられています。 尚、自社内のシステムに対するセキュリティ部隊CSIRTですが、下記の活動が一連の業務として説明されています。 ・事前対応型サービス…平常時に行うサービス ・品質管理サービ…

登録セキスペ オンライン講習2020 3/6

三つ目は「平常時の対応」です。 インシデント発生時の対応は、平常時にどれだけ準備ができているかにも依存しており、平常時に活動を正しく定義し実施していない場合、インシデント発生時に混乱が起こり対応が後手に回りかねません。登録セキスペは平常時にセキュリティ対応組織の設計や活動の支援を行うなど、活動が求められることになる…とのこと（‘o‘ : !! 脆弱性対応、事象発生の際の事象分析、ユーザ教育の方法などについて説明されています。 6章の「その他インシデント関連業務」に興味をひかれたのでこちらについて少し。 昨今、どこの現場でも「標的型攻撃メール訓練」が行われています。（訓練期間はいつもドキドキして…

登録セキスペ オンライン講習2020 2/6

二つ目は「セキュリティ体制の構築」。 社内CSRITを立ち上げた時の体制図例や、組織のセキュリティ計画の立て方などをひととおり学習しました。 ちなみに、1-2章で、登録セキスペは、経営層と現場をつなぐ「経営層の右腕」としての活躍が期待されるとの記載があります。セキュリティの体制構築について提言・または推進していくことが求められることもある…そうです。重要な任務ですね！ さてさて、内容について。 予算と人材の確保については、経営層に「対応優先度」と「費用」を繰り返し報告するプロセスが重要との記載があります。セキュリティ対策の費用対効果は見えにくいため、経営者からサイバーセキュリティ対策の予算確保…

登録セキスペ オンライン講習2020 1/6

法改正により、オンライン講習の名称が少々変わったようです。 （A・B…→年度の数字へ） お正月早々ですが、今年度分を実施したいと思います。 各講習の見出しを見る限り、今年の講習はマネジメント系と法律・倫理系が多そうです。第1章は「情報処理安全確保支援士に期待される役割と知識」ということでした。章末の確認テスト（満点以外は不可）を5回もチャレンジしてしまいました(^^; 時事ネタとしては、今年のセキュリティ10第脅威。 サプライチェーンやIoT,業務サービス等脅威の発生範囲は広がっており、守るべき領域も広く煩雑になってきているとのこと。ちなみにコロナの話は特にありませんでした。（来年度はあるかも…

IPAと関係ないのですが

私事ですが、先日大学院の入試に合格しました。Congratuation!! まだ他の大学も検討中ですが、順当にいくとこのまま春から正規学生です。 今年度はこちらの科目履修生としていくつか講義を受講しています。 夏にはISO27001を用いた社内システムのセキュリティ評価に関わる講義などを受けていました。 お世話になっているのはこちら→https://aiit.ac.jp/ この辺の話もいずれまた。

2020年秋季試験が見送りになりました

https://www.jitec.ipa.go.jp/1_00topic/topic_20200918.html なんと今年は秋季試験が実施見送りになりました…！ ちなみに私は3.と4.が該当します。 午前Ⅰ免除も次回春で切れてしまうので、 今後を考えると春は 午前Ⅰ＋午前Ⅱ～NWです（とほほ）

令和2年度の試験日程

申し込みそびれた！と顔を青くしていたら春季試験の振り替えの案内でした。 https://www.jitec.ipa.go.jp/1_00topic/topic_20200324_2.html 今年度の秋季試験は11月以降に行われるようです。 試験自体は11月以降とのこと、HPをマメにチェックするようにします（＾＾；

R1.NW午後問題

まだ家時間があるので、今回は「ネスぺR1」です。昨年のうちに「ネスぺの基礎力」に目を通しておけたので、不明点を確認しながら進んでいます。 昨年は午後Ⅱの社内LAN再構築で、VoIPの設定がババンっと出ていますね。実務で電話線まで含めた設計構築に関わることが全く無いのでなかなか入って来ないのですが「もし私がこの会社のシステム部だったら…」と頑張って考えて覚えることにします。（ちなみに現在の知識だけで挑んだところ、11/100点でした…--;）NWまで取得できていれば、社内のテクニカルな業務は一通りOKなはず…！将来はどんな会社で働こうかな♪ 夢は膨らみますね♪ …ということで、まずは午後Ⅰからで…

登録セキスペ オンライン講習A 3・4 追記2 - セキュリティに関する各種機関

セキュリティに関する各種機関についての学習メモ。 ※各項目は講習教材より抜粋し、編集しています。 ＜セキュリティ対策方針を立てる機関＞日本国内のセキュリティ対策方針について確認したい場合、下記のような情報を参照することになります。 IPA： https://www.ipa.go.jp/ 重要なセキュリティ情報、脆弱性情報、その他のコンテンツ 経済産業省：https://www.meti.go.jp/policy/netsecurity/ 情報セキュリティ対策 総務省：https://www./soumu.go.jp/main_sosiki/joho_tsusin/security/ 国民のため…

登録セキスペ オンライン講習A 3・4 追記1 - 各種脆弱性調査ツール

下記の4つが脆弱性の調査に有用なツールが紹介されていました。 少しだけ触ってみたり調べてみたのでメモです。 Fiddler ネットワークキャプチャツールです。クライアントPCへインストールし、通信先に対するHTTPリクエスト／レスポンスなどがチェックできます。https://www.ipa.go.jp/files/000077215.pdf ツール名で検索したら2019年度のIPAの集合講習用教材が出てきました。とりいそぎ試してみる分にはとても分かりやすかったです。どうも集合講習だと実際に手を動かしての学習があるようですね。 OWASP ZAP オワスプ社のウェブアプリケーション脆弱性ツールで…

登録セキスペ 法改正について

最近法改正されて現在は不要となっているようですが、私が申請したH30年度は登録時にIPAへ提出する書類に法務局発行の「登記されていないことの証明書」、本籍地発行の「身分証明書」がありました。（取り寄せが大変でした） 「登記されていないことの証明書」は青年被後見人、被保佐人ではないこと、また「身分証明書」は禁治産宣告・後見人登録通知・破産宣告を受けていないことを証明する書類です。せいぜいこの書類で証明できるのは「知的障害・精神障害がないこと」「痴呆でないこと」「判断力が低いために自己破産を起こしていないこと」くらいですが、要は「自分の財産を守るための判断力が無い」と法的に判定されている人はセキス…

登録セキスペ オンライン講習A 5・6

倫理性に関する話です。この章では、技術者の意思決定は社会に多大な影響を与える故に、倫理を徹底することの重要さが強調されていました。企業や個人の不正に直面したとき、私たちは適切な行動を起こし問題の解決を試みないといけません。 内部告発のための公益通報の要件に関する項目が興味深かったので載せてみます。※下記講習教材より抜粋 De George R.T. " Business Ethics" (1989)による定義： 1．一般大衆に被害が及ぶか 2．上司へ報告したか 3．内部的に可能な手段を試みたか ＜社会人として通報→1～3を満たすとき、公益通報は道義的に許されるといえる＞ 4．自分が正しいことを…

登録セキスペ オンライン講習A 3・4

Japan Vulnerablility Notes（JVN）概説【全編】【後編】を受講しました。 主なトピックはこんな感じです。 ・脆弱性周知のための各種サイトとその特性 ・CVSS値の決定方法 ・各脆弱性チェックのためのツールとその使い方 各セクション受講後に確認テストがあるのですが、なかなか合格できず何回も再チャレンジすることになりました。ソフトウェア製品開発をしている会社さんなんかで就労しようと思うとフル活用しそうな知識です。 脆弱性チェックのためのツールは個人でも使用して良いそうなので自分でやってみたいです。 「受講目安は6Hだから1～2日で済むかなー」と思っていたのですが、ことのほ…

登録セキスペ オンライン講習A 1・2

「情報セキュリティ早期警戒パートナーシップ」 という長い名前の協定があります。 日本国内の脆弱性関連情報の対策の普及を図るため、2004年からIPAにより運用されているものです。 今回の講習では、この協定における登録の流れについてひととおり学習しました。 びっくりしたのは、ソフトウェア製品については、脆弱性の発見があっても公表タイミングがずいぶん遅くなるケースが想定されていることです。 安全性を考慮すると発見者がIPAに連絡したら即時で「調査中だが危険性が高い」等のステータスで公表してしまって良いように思えます。 が、実際のビジネスシーンではそのようにはいかないものなのでしょうか。そのあたりは…

登録セキスペ オンライン講習Aの受講

登録セキスペ オンライン講習A を受講しています。 普段の現場業務であまりセキュリティの分野はやっていないので、年1講習が受けられると定期的に情報収集ができて良いなーと思って登録しました。 ちなみに去年はスマホアプリのシステムのセキュリティソフトのエラー対応とかしていましたが、「脆弱性」「攻撃の脅威」らしいものには一切出会いませんでした。（少なくとも表面上。） 現在オンライン講習Aを受講していますが、備忘録残したいのでメモ。 IPAによると、2004年以降日本で検挙されている脆弱性としては、今までに14,000件程の報告があるらしいです。 ソフトウェア製品開発のシステムチームの方はこういった案…