「セキュリティ」というと、「なんかとっつきにくい」「こわい人たちばっかりなんじゃ」というような話ばかりが取りざたされます。
たしかに「いかつい言葉ばかりでとっつきにくい」とか「何かあるとうるさいこと言う人ばっかり」という話もあるかもしれないのですが(あえて否定はしません)、そうしなければならないだけの理由はあります。
そこで、今月は「読んでおいたほうがいい」文書をいくつかと、絶対にやるべき(守るべき)ことを挙げてみましょう。
興味が出たら、本格的に学びはじめるなりセミナを受講するなりして、造詣を深めていくのがよいでしょう。
各企業で行われる基本的なセキュリティ関連の研修資料
昨今のIT関連企業などで、入社してからセキュリティ関連の研修を「行わない」ところはまずないでしょう。まとまった時間の研修を行わなかったとしても、少なくとも「情報を無断で持ち出さない」「私物のPCを業務に使わない」などの話は普通になされるはずです。
これは、たとえば個人情報漏えい事故に焦点を当てた調査結果からもよく見えます。
本文中、「「情報通信業」は、「不正な情報持ち出し」の比率が約33%と、他の業種に比べて高い。」とありますが、これはまさに「無断で持ち出さない」ルールが遵守されなかった結果ともいえます。
- 2013年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~(本編)
- http://www.jnsa.org/result/incident/data/2013incident_survey_ver1.2.pdf
皆さんは、そのような研修をきちんと受講し、資料をよく読み直して、自分がやってはいけないことや、情報の取り扱いを行う際に留意すべきことをよく確認して、少なくとも自分が事故の当事者にならないように気をつけましょう。
なお、そのような研修資料は、市販の書籍などを使っていない限り、「その企業の外には持ち出してはいけない」としていることがあります。勉強熱心なのはよいのですが、勉強のためにルールを逸脱しないように気を付けましょう。
ルールを守るのは誰のため?~会社のためでもあり、自分のためでもある
「ルールを逸脱しないように」と書きましたが、ルールは一体何のために守るのか?も少し述べておきます。
まず、「ルールを守ること=『自分の身を守る』こと」と認識してください。
ルールを守っていて事故が起きた場合には、(場合にもよりますが)あなたに不利益が及ぶことはありません。その場合は「ルールが悪い」ということで、ルールの見直しを行う方向に話が行くことでしょう。
一方、あなたがルールを守らずに事故が起きた場合には、あなたに対して何らかの罰則が科せられる可能性が出てきます。
なお、罰則についても通常はルールがあります。セキュリティに関するルールを破った場合には、最悪の場合解雇などもありえますが、それでも起こってしまった後に適切な連絡と対応を行えば、比較的軽い罰則で済む場合もありえます。
「たかがルール」とか思わず、真摯にルールと向き合ってみてください。とくに自分が所属する会社のルールは、あなたに科せられた新たなルールです。身近な行動にかかわるルールは、時間を見て確認するよう心がけましょう。
書籍類で学ぶ情報セキュリティ
セキュリティに関するオンラインリソースは非常に多いのですが、まだいろいろと知識や実践が追い付かない状態では、繰り返し読むために情報は手元に持っておきたいものです。
そんなときに役立つのは、製本された書籍です(もちろん電子書籍でも構わないが)。
世の中いろんな書籍が刊行されており、非常に難しいところですが、「筆者だったらこれを選ぶ」という本を2つほど紹介しておきます。
『情報セキュリティ読本 四訂版』
- https://www.ipa.go.jp/security/publications/dokuhon/index.html
これは、独立行政法人情報処理推進機構(IPA)がリリースしている書籍です。
内容もコンパクトで理解しやすく、価格も500円(税別)と安価なので、何を読んでいいかわからないという方は、まず最初の一冊として読んでも損はないでしょう。
具体的に何をどう解説しているかを知りたい方は、解説スライドも公開されているので、そちらを読んでから入手するか否かを決めてもよいでしょう。
- 情報セキュリティ読本 教育用プレゼン資料
- https://www.ipa.go.jp/security/publications/dokuhon/ppt.html
『サイバーセキュリティ入門―私たちを取り巻く光と闇―』
- http://www.kyoritsu-pub.co.jp/bookdetail/9784320009066
これは、セキュリティに関する入門書とありますが、いきなり「セキュリティ」について論ずるのではなく、通常の(セキュリティがとくに絡みそうなネットワーク分野の)技術解説から始まり、なぜセキュリティなのか?というところに繋いでいる、王道な内容を扱っています。
筆者は、この類の書籍を著者買いする傾向が強いのですが、本書籍は東京電機大学の猪俣敦夫教授によるものであり、筆者がこの方面で最も信頼する人物の一人であることもあって、この場を借りて紹介させていただきました。、
前述の読本と比較して、少しお値段も高いですが、その分内容も充実しているので、「迷った時の2冊目」として紹介しておきます(もちろん、気合を入れて1冊目、でもいいですが)。
セキュリティ十大脅威~最近のセキュリティ事故や脅威事項を俯瞰する
この文書は、セキュリティに造詣が深い人たちがさまざまな企業や団体から集まり、前の年に発生した事件や事故、そしてその原因となる事項を見ながら「昨年はどういう傾向だったか」というのを順位付けした結果を扱っています。
現在発行されているものは、総合順位以外にも、「個人別」と「組織別」の順位が表記されていますが、これは「個人が直面したら大きな脅威となりうる」ものと「組織が直面したら大きな脅威となりうる」ものが違うという仮説のもと、このように分けられています。
- 情報セキュリティ10大脅威 2016
- https://www.ipa.go.jp/security/vuln/10threats2016.html
情報セキュリティマネジメント試験~セキュリティ関連の知識を確認する
情報セキュリティマネジメント試験(SG)は、情報処理技術者試験のうち、初心者/初学者向けの内容となっています(とはいえ、ベース知識がない人は、ちゃんと勉強しないと受かりません)。レベル感は、基本情報技術者試験(FE)などと同じように設定されています(共通キャリア・スキルフレームワーク(CCSF)レベル2)。
- 共通キャリア・スキルフレームワーク
- https://www.ipa.go.jp/jinzai/itss/csfv1.html
範囲は広いのですが、難しい/深堀りした内容は問うておらず、まずはおおまかな概念や考え方、そして用語を広く押さえておけば、合格できる試験内容となっています。
これまでのセキュリティ関連の試験は、情報セキュリティスペシャリスト試験(SC)やCISSP試験をはじめとして、少し敷居が高いものばかりが目立ったのですが(情報セキュリティスペシャリスト試験は、CCSFレベル4)、この試験が開始されて、やっと筆者も「まず初心者が合格を目指すべきもの」を紹介できるようになりました。
- 情報セキュリティマネジメント試験
- https://www.jitec.ipa.go.jp/sg/
社会人として絶対守るべきこと~まずいことが起こった時の上長への報告
冒頭で述べた「研修」などで、「報連相」という言葉を聞く方も多いと思いますが、(仕事上のミスなどもそうですが)セキュリティ事故の懸念があったり、何か情報を紛失したりという時には、気づいた後の極力早いタイミングで(それこそ夜中にわかったら夜中のうちにでも)上長に連絡しましょう。「何が起こったらどちらへ」という連絡方法がすでに明示されている場合には、そちらに従ってください。
連絡するためには、当然上長の連絡先を知らなければいけないことから、上長の連絡先も極力早めに確認をしておきましょう。
逆にやっちゃダメなことは「まずいことが起こってもそれを隠す」ということであり、「必死で事故を解決しようとする」前に、とりあえず上長に連絡を入れて、その後の対処を考える(考えてもらう)ようにしましょう。
それでは、留意すべきところには留意しつつ、楽しい社会人ライフを楽しんでください。