求められるセキュリティ専門家

大河内智秀 NTT コミュニケーションズ株式会社

2005/10/07 16:50-

共通して困っているのは人材育成．学生をどうやって育成しているか，学校も頭を抱えている．そういうことを前提に話をする．
確認の内容．ISO17799 ISMS 取得されていると思うが，127 項目の対策が出てくると思うが，例えば，情報漏洩対策のためのアクセス権を設定することなど．やらなきゃいけないのはわかっているが，プロシージャまで落とし込んでいないものが多く，人間が対処しなければならないことが問題．

企業，公官庁様のシステムの管理者がいて，部門のセキュリティ担当者がいて，利用者がいる．
(資料)
管理者，担当者，利用者

情報セキュリティの五つのフェーズ，勝手に分けてみた．設計，構築，運用，管理，利用．

プロフェッショナルとスペシャリストという単語が良く出てくる．
5つのフェーズすべてを計画できる人：プロフェッショナル
この5つのフェーズを実装する専門スキルを持った人：スペシャリスト

組織全体：統括責任者
委員会，WGメンバー，情報セキュリティ監査の責任者，がごく一般的な体系．
技術系のスペシャリスト，マネジメント系のスペシャリスト，監査系のスペシャリスト

現在の IT セキュリティの資格試験．情報セキュリティプロフェッショナルは「ジェネラリスト」である．

セキュリティプロフェッショナルの育成の仕方が経済産業省のホームページにでている．資格の相関図．

経産省の情報セキュリティアドミニストレータは入門に近い位置．これから紹介するのは CISSP．結構上の位置づけ．

情報セキュリティアドミニストレータ説明省略．

CISSP: Certified Information Systems Security Professional
グローバルで最も認められている試験の一つ．約 4 万名くらいが世界に散らばっている．2004 年以前は英語しかなかったが，現在は英語との併記．ISO 17024 認証．試験運用におけるグローバル・スタンダード．

申し込み受付，試験の運用，発表などがグローバル・スタンダードである．10ドメイン．

フォレンジックの部分には証拠保全から裁判まで含まれる．250 問4択．6 時間．試験自体には2度メイン，3ドメインにまたがった問題が含まれている．物理セキュリティでは消火器の種類など．日本人にはなじみがないが，ガバナンスの話．Bell-La-Padulla なども．ポートフォリオでの位置づけ．かなり広い範囲をとっている．

サンズの GCFW ファイアウォール．監査の CISA．Security+, CISM など．図はグローバルに通用する資格．

国内400 名．韓国は 1000 名，香港 1500 名など．グローバルの知識を持っていても，日本でどのように使うの？法の部分で民事やイスラム法など，日本で持つためには足りない．JNSA の WG で CISSP の上位資格として日本特有のモノを作ろうとしている．

人材育成の観点から，JNSA の推奨教育 WG が，目指すべき職責職務，例えば，フォレンジクスの専門家になるためにはどうすればよいの？というマップを作り出している．来年くらいには完成させていきたい．

IT 業界図鑑からの引用．SE おキャリアパス．ユーザ企業とベンダー企業で持つべき機能が違ってくるので．具体的にわかりやすく書いていく．

結論：ユーザ企業とベンダー企業の共通言語を作ろう．例えば，資格試験をベースをやっていくのが手っ取り早い一つの方法だと思っている．

以上

BCIと日本における BCM(事業継続管理)

副島聡 NTT コミュニケーションズ株式会社

BCM と BCI の紹介という形で進めさせていただく．BCP の方がなじみが深いかもしれない．BCM はさらにプロセスとして回していくためにマネジメントも含めて．BCM は，受身のような捉え方をするが，企業や組織のための施策だと思っている．

BCI は，Buisiness Continuity Institute で，英国の BCM 世界最大の NPO．日本にも BCI ジャパンアライアンスがある．
米国では，様々なガイドラインがあり，BCI のような NPO もある．DRII はドメスティック．だが，BCI と一緒に．

BS7799 の中でも少し触れているが，あまり踏み込んでいない．これを BCI が作ろうとしている．PAS56 というところまで来ている．BCI のホームに行っていたところ来年には BS, 再来年には ISO にしたい．

BCM は：組織の脅威となる潜在的な影響を特定し，．．．(資料)

業務に組み込まれた管理プロセスとして統合されていなければうまく回らないと，このガイドラインはいっている．

BCM には5つのライフサイクルがあるといっている．組織の実現したいことは何か．大きなことが起きたことにどれだけ耐えられるのか．ビルに入れない状況が発生したら，一週間保てるのか，つぶれるのか，2時間も入れないとつぶれないのか．この分析が非常に重要．最大許容停止時間．
戦略を決定する．重要プロセスを特定したり．
計画を立てる段階．BCP 具体的にどうするかという計画を立てる．個々の事業単位での BCP の公もきめる．

４．BCM にたいする意識の向上と文化
いくらシステムや文書をつくっても，カルチャーとして寝ずいていなければうまくいかない．個々の人員が尊重しなければならない．重要なサイクル．

５．BCM の実践．
メンテナンス，監査．一度作ったら終わりというわけではない．継続的に見ていかなければいけない．年に4回(重要業務)．

Ⅱ．社会を取り巻く環境の変化．

ISO や，国際会計基準，環境規制など．
特徴：外国人投資家が活躍し始めた．そういう人たちは今までの日本のローカルなルールでは認めないといっている．Sox 法など．これまでのやり方では許されない状況になってきている．BCM が必要であるという社会の認識．
しょっちゅう起きて，強度も強い：まず対処．頻度が低いものは，しかたがないとしてしまうのも戦略の一つ．

計算の仕方の提示．最初の一つは規定されている．

BCM の効果を表した図(資料)．危機発生から回復までのが BCP その後の継続までを BCM は含める．RTO はある事業をするときにどのくらいで復旧させる必要があるか．RPO どの時点の状態に復旧させる必要があるか．この二つがキーワード．

Ⅲ．日本の現状．
BCP 事業継続計画を策定している企業は，上場企業 10% に満たない．海外は40% 以上．9.11 があってから急激に伸びている．BCP を対象とした策定した理由として，緊急時の対応という狭い範囲でやっているところが多い．

事業継続を妨げられた経験の理由：日本では，自然災害が高い．海外では IT トラブル，通信トラブルが多いが，やはり，米国ではわりと立派な企業でもインターネット接続が出来ないなどのことが日常茶飯事になっている．そういう違いはあるだろう．日本は，自然災害が大きなファクター．

基幹業務が停止したときにどのくらい耐えられるか．一日未満は 50.1%．

日本でも政府も日本企業に普及させないと，国として国際競争力が落ちると考え，経産省の研究会，中央防災会議など．

日本は自然災害の中でも自身のリスクが高いというアンケート結果が出ている．30 年以内に震度6の地震が起きる可能性が高い場所．(資料)
海外投資家の関心．災害多いので心配．

ISO 化が進んでいるが，欧米が作ったものを押し付けられてはたまらんということで，日本の考えを取り入れてもらうための活動も経済産業省が行っている．

メリルリンチはBCM がうまく機能していたので 9.11 の翌日から事業再開．

事前に準備した費用よりも大きくなることが多い．文化として BCM をやっていかなかければならない．

計画のための計画になってしまっては何にもならない．

最後に，この資料を提供してくれた BCM の 12/6 に一日セミナーを開く．手法を米国からコンサルタントを呼んで説明するという機会がある．IPPG のサイトに近々案内されると思う．

以上

質疑応答
Q. 最初の大河内さんの方：JVスキルの仕事をしている．情報セキュリティというとトップダウンでやらないと進まないのでは．
A. ISMS, CISSP, BCM はトップが承諾しないと進まない．予算もトップが理解しないと進まない．ちなみに，米国では CISSP は，CIO, CISO や政府のトップが取った資格．ベンダーが何を言っているあのわからないというところから始まっている．

Q. BCM について．ビジネスインパクト分析であって，BCM は予期せぬ事態が起きたとときにどうするかということ．リスク分析を BCM のなかでどのように利用するのか？
A. リスクはすべて予測できるわけではない．事態が起きたときに経営者が瞬時に判断して活動するためのもの．BCM は BCP を含んだマネジメントという意味で使われている．

以上