« 2006年8月 | トップページ | 2006年10月 »

2006年9月の記事

2006年9月29日 (金)

情報セキュリティ関連イベント(10~11月)

未紹介の主な情報セキュリティ関連イベント(10~11月)を、開催順にいくつか。
(講師業務などで、私はすべて行けそうにありません。残念・・・)

Security Solution 2006
 日時: 2006年10月18日(水)~20日(金) 10:00ー17:30
 場所: 東京ビッグサイト

東京大学CCR 情報セキュリティコミュニティ 第二回情報セキュリティシンポジウム ~ITガバナンス時代に求められる情報セキュリティ~
 日時: 2006年10月25日(水) 10:30~18:00
 場所: 東京大学 駒場リサーチキャンパス 駒場コンベンションホール

 → CISSP Trusted CPE(6credits)対象イベント

JNSA Network Security Forum 2006
 日時: 2006年11月13日(月)~14日(火) 10:00~17:30
 場所: ベルサール神田

 → CISSP Trusted CPE対象イベント

ITガバナンス協会 設立記念カンファレンス
 日時: 2006年11月18日(土)13:00~17:40
 場所: ベルサール九段

 → ITガバナンス協会の設立に関する記事は、こちら

| | コメント (0) | トラックバック (3)

セキュリティ対策まんが「クジョたいさく物語」

なんじゃ、こりゃぁ~!?(おいおい、他のキャラと混じってますよ!)

個人的には、実は結構好きなノリです。(最近のIPAさん、いろいろやりますなぁ・・・)

『セキュリティ対策まんが 「クジョたいさく物語」

このマンガは誰が描いているんだろう?(一説によると、IPA職員の方とか)

で、ほんとに8話で、完結しちゃうのかな?

| | コメント (0) | トラックバック (0)

2006年9月28日 (木)

「ハッカーズ その侵入の手口 奴らは常識の斜め上を行く」

今、読んでいる本です。

4844323164_01__ss500_sclzzzzzzz_v4179667 「ハッカーズ その侵入の手口 奴らは常識の斜め上を行く」

商品の説明

内容(「BOOK」データベースより)
「ひとつ上のハッカー」が認めた「欺術」。騙す。欺く。操る…過信と油断に満ちた企業の弱点を突く巧妙な攻撃が、今ここに初めて明かされる。

著者略歴 (「BOOK著者紹介情報」より)
ケビン・ミトニック
“堅気”になった有名人ハッカー。現在では、類い希なる技能を企業や組織や政府機関のために役立てている。彼は情報セキュリティ・コンサルタント会社、「ディフェンシヴ・シンキング」(defensivethinking.com)を共同設立した。同社は企業と官公庁を相手に、機密情報防御に関するアドバイスを提供している。『グッドモーニング・アメリカ』、『シックスティ・ミニッツ』、「CNN」の『バーデン・オブ・プルーフ』などの番組に出演し、情報保護とサイバー犯罪防止の分野における第一人者の地位を確立した

ウィリアム・サイモン
受賞経験を持つ作家兼脚本家

「欺術」(以前の記事で紹介済み)に続く、ケビン・ミトニック日本語訳本ということで、迷わず買ってしまいました。リアリティあふれるハッカーたちのストーリーとその対策、などから構成されており、興味深いうえに参考になる内容です。

リアリティあふれるストーリーということでは、以下の本(こちらは、インシデントレスポンス)もお奨めです。(アフィリエイトやってるわけではありません、念のため)

「追跡!ネットワークセキュリティ24時」
「追跡!ネットワークセキュリティ24時 第二巻」

こちらの元ねたは、月刊誌「NETWORKWORLD」で、現在も連載中。

| | コメント (3) | トラックバック (0)

2006年9月27日 (水)

NISC第2回 人材育成・資格制度体系化専門委員会についての考察2

前回の続きです。

今回の公開資料の中には、アンケートの回答により現在のセキュリティ資格制度の課題がいくつか挙げられています。

その主なものとしては、
 ・更新の制度がない資格所有者のスキル維持
 ・セキュリティ要員のキャリアパスの不明瞭さ
 ・現状の資格制度で評価できないスキルへの対応

など、があります。

この中でも「セキュリティ要員のキャリアパスの不明瞭さ」は、情報セキュリティ人材育成全体に関わる大きな問題と考えています。情報セキュリティ人材の必要性が認知され、人材育成・資格制度が体系化されたとしても、それを目指す人がいないのでは何もなりません。
「(求められる人材像に)なるのも大変だし、なっても役職も給料も上がらないし・・・」ということになる恐れがあるということです。

そのためにも、「情報セキュリティ人材の地位の向上」というのも、これに関連したNISCでの今後の大きな活動テーマにしていただきたいと思っております。(もちろん、私もそのような訴求活動を何らかの形でしたいと考えています

| | コメント (0) | トラックバック (0)

2006年9月26日 (火)

NISC第2回 人材育成・資格制度体系化専門委員会についての考察

9/22の記事「NISC第2回 人材育成・資格制度体系化専門委員会」の続きです。

ここで公開されている「情報セキュリティ人材の育成方策について」では、人材ごとに教育や資格が示されています。

これを9/8の記事「セキュリティ資格制度の体系化についての考察(続き)」に対応させて、資格を示したいと思います。

①わが国を代表し、世界をリードする高度・先進的な情報セキュリティ技術の研究開発者
 →これって、まさにCISSPでは?(「世界」ってキーワードあるし)
  ただし、CISSP+αのスキルが要求されると思いますが。

→対応の資格は示されていません。

②セキュリティ・プロバイダ(SIer、製品ベンダ、コンサル・監査企業等)における人材
 ア)顧客企業に対してセキュリティ製品・サービス・ソリューション等を提供する人材
 →これは、テクニカルエンジニア(情報セキュリティ)なんでしょうね。
  個人的には、ここのCISSPといいたいですけど。 

→これは、「SE」と「コンサルタント、監査人」に分けられていて
・SE:テクニカルエンジニア(情報セキュリティ)、NISM(サーバセキュリティ実践、不正アクセス監視実践)、CSPM(Technical)、CISSP、GIAC(GCFW、GCIA、GCIH、GCUX、GSNA、GCFA)
・コンサルタント、監査人:情報セキュリティアドミニストレータ、NISM(セキュリティポリシー実践、セキュリティ監査実践)、CSPM(Management)、CISSP、CISM、CISA、公認情報セキュリティ監査人、GIAC(GSEC、GISF、GSAE、G7799、GSLC、GCSC、SANS+S、GSIP)

※ 個人的には「コンサルタント、監査人」が「マネジメント系」と決め付けているのが気にかかります。

③組織(行政機関(政府・地方公共団体)や企業)において情報セキュリティ対策を実施する人材
 ア)幹部(各省幹部・首長や経営者)
 イ)組織内における情報セキュリティ担当者など)
 ウ)一般職員

→情報セキュリティアドミニストレータ、NISM(セキュリティポリシー実践、セキュリティ監査実践)、CSBM、CSPM(Management)、CISSP、CISM、CISA、公認情報セキュリティ監査人、GIAC(GSEC、GISF、GSLC、GCSC、SANS+S、GSIP)

と、なっています。

CISSPはすべてに共通して書かれていますね。(個人的に関係の深い、公認情報セキュリティ監査人、CSBM、CSPMなどもありますし・・・)

| | コメント (0) | トラックバック (0)

2006年9月25日 (月)

時期はずれの夏休み終わる

9月16日(土)から本日9月25日(月)まで、時期はずれの夏休みでした。そのため、このブログの更新も頻度が落ちておりました。この期間は、もっぱら娘といろんなところ(東京ディズニーランド、ディズニーシーとか・・・)で遊んでおりました。(おかげで散財もしました)

明日からはまた普段の生活に戻ります。このブログの更新も今まで通りの頻度に戻る予定です。

10日間も休んだので、明日は調子がでないかも。それに休暇中にいつも乗っている路線のダイヤが変更され、急行電車も走り出しました。ちなみに私の使っている駅は通過駅です。

遅刻しないように気をつけよう、っと。

| | コメント (0) | トラックバック (0)

2006年9月22日 (金)

NISC 第2回人材育成・資格制度体系化専門委員会

現在、季節はずれの夏季休暇の真っ最中のため、久しぶりの更新になりました。
しばらくネットとは無縁の日々を過ごしておりました。

その間に「NISC 第2回人材育成・資格制度体系化専門委員会」が、9月15日(金)に開催されていましたね。

今回は多くの情報セキュリティ関連資格の運営機関や政府機関・地方自治体など、現場へのヒアリングを中心に検討が進められたようです。

情報セキュリティ関連資格の運営機関(及び該当資格)としては、
 ①(ISC)2 Japan・・・CISSP
 ②ISACA・・・CISACISM
 ③JASA・・・公認情報セキュリティ監査人(CAIS)
 ④NISM推進協議会・・・
NISM 
 ⑤NRIセキュアテクノロジーズ(SANS)・・・GIAC
 ⑥SEA/J・・・CSBM、CSPM

が、対象だったようです。

私が関係している資格(資格を所有し、制度に関わり、認定講師をしている)が、3つ(①③⑥)もありましたとりあえずちょっとだけ、ほっとしました

①と②については、運営機関((ISC)2、ISACA)側の資料が公開されていますね。

 ①(ISC)2・・・CISSP
 ②ISACA・・・CISMCISA

ヒアリングの概要と回答は、こちらで公開されています。

これらの公開資料は本日ざっと読んでみましたので、これから内容を吟味してみたいと思います。
その上で、次回以降で私の考えを書いてみたいと思います。

| | コメント (0) | トラックバック (0)

2006年9月15日 (金)

人材が育たない原因についての考察

あちらのブログで書いてたネタですが、これからこっちでも書いていきたいと思います。

とりあえず、バックナンバー載せときます。

人材が育たない理由・その1
人材が育たない理由・その2
人材が育たない理由・その3

とにかく、どこの会社も「『人材』が大事」とか「『人材』ではなく『人財』」なんて、意気込みや所信表明的なことは聞かれるんですが、実践されてなかったり実効性がなかったり・・・

ていうことの続きを書く予定でしたが、昨日の講師(CISSPレビューセミナー)でどっと疲れてしまいまして、頭が働きません。なので「また、次回」ということで。(といいながら、来週はようやくというか、今ごろというか、とにかく『夏休み』→こんなに涼しくなったのにね。ということで、来週は更新頻度が下がります

今日も講師(やはり、CISSPレビューセミナー)です。1名でも多く合格していただけるよう、がんばってきます。

| | コメント (0) | トラックバック (0)

2006年9月14日 (木)

「使う力」を更に考える

以前の記事で書いた「使う力」について、私なりの考え方をちょっと補足してみます。

「つまり、十分な『知識』をつけて、更にこの本に書かれている力を磨けば、私も『結果』が出るんですね」なんて読み方はするべきではないと思います。もちろん「使う力」というのは、どこかで明確に定義されたものではありません。もともと非常にわかりにくく見えにくかったこのスキルを、著者なりに分析して定義したものです。

ですから、もちろん他の視点での分析や定義もあるわけですし、その人に必要な「使う力」とはその人の目指すキャリア像やプラン、求められている「結果」の内容などによっても異なるはずです。(CISSPホルダーの方は、この一文の「使う力」を「CPE」と読み替えてもらうのもいい、と思う

このような本をヒントに、そういうことを考えていくことが「プロフェッショナル」を目指す人にも重要なんだと思っています。(と、今回は自分にも言い聞かせてるんです)

| | コメント (0) | トラックバック (0)

2006年9月13日 (水)

「ザ・プロフェッショナル」

なんと既に読んだ本なのに、このタイトルなのに、今まで取り上げてませんでした。(すいません、そういう性格なんです・・・)4478375011_09__ss500_sclzzzzzzz_v1127961

昨年の秋に読んだのですが、最近また流し読みしました。
大前流ビジネスプロフェッショナル理論のエッセンス集という感じです。
読んで損なし、ってとこです。

この本では「プロフェッシェナル」とは「広い範囲で認められる専門家」というような書き方がされています。大前先生的な言い方だと「それは『世界』だ」って、ことのようです。

「世界」までは行かなくても、「業界」くらいにはならないと「プロフェッショナル」ではないでしょうね。(以前「彼は、うちの会社の『プロフェッショナル』です」なんて言葉を聞いたことがありますが、そんな「プロフェッショナル」なんていう定義と使い方は認められません)

「ザ・プロフェッショナル」

■目次
第1章 「プロフェッショナリズム」の定義(プロフェッショナルを定義する、忘れられた「顧客への誓約」 ほか)
第2章 先見する力(「見えざる新大陸」の登場、戦略論の功と罪 ほか)
第3章 構想する力(先見力だけでは事業は成功しない、構想を実現する必要条件と十分条件 ほか)
第4章 議論する力(非生産的な議論を排す、ロジカル・シンキング、ロジカル・ディスカッション ほか)
第5章 矛盾に適応する力(ビジネスに唯一最善解はない、経営に内包する矛盾 ほか)

さて、ここに挙げられている「プロフェッショナルの4つの力」、皆様は持ってますか?磨いてますか?

さぁ、いかがでしょうか。(ちょっと、自問自答入ってます)

| | コメント (0) | トラックバック (0)

2006年9月12日 (火)

NISC 政府機関統一基準適用個別マニュアル群

本日(正確には昨日か・・・)、内閣官房情報セキュリティセンター(NISC)より公開されました。その数、実に40文書。「読み応えあり」というより「読むのが大変(読めっていのかぁ~)」というのが実際の感想。(まぁ、目は通しますけど)

政府機関統一基準適用個別マニュアル群

政府機関統一基準適用個別マニュアル群とは、各府省庁が「政府機関の情報セキュリティ対策のための統一基準」(以下、政府機関統一基準と呼ぶ)に基づき策定した省庁基準を、実際に適用する際に対策を円滑に実施するための文書(実施手順、規程及びマニュアル等)を作成する際の参考資料として作成したものです。

(注)本マニュアル群に記載された内容は、改良のため予告なく変更することがあります。
また、本マニュアル群は、各府省庁が実施手順等を作成する際の参考資料として提供しているものであり、実際の各府省庁の実施手順等がこれと同一の内容で作成されるものではありません。

ということですが、実際に作成される実施手順や規程は、これらの雛形や手引書の原型に近いものであることは間違いないでしょうね。当面は、これが府省庁における実質的な情報セキュリティ対策のデファクトになるってことですね。(まずは、先日の自己点検とこれらの雛形から始めよう、ってことでしょう)

| | コメント (0) | トラックバック (0)

mixiのCISSPコミュ、100名に

先ほどふと見たら、mixiのCISSPのコミュが100名になってました。(7/4時点では、84名でした)

日本のCISSPホルダーは、現在約600名と推定されます。その6名に1名がmixiのコミュに登録しているという計算になります。この数、多いのか少ないのか・・・

ちなみにCISMのコミュは、5名。テクニカルエンジニア(情報セキュリティ)は、559名。

| | コメント (1) | トラックバック (1)

2006年9月11日 (月)

「使う力」

私はよく「インプット量×アウトプット能力=成果」というような定義をしていますが、この本でも「知識の量×使う力=結果」という定義がされています。とにかく、いくら知識をつけても、使えなければ結果とはならない、ということ。以前に「私は知識はあまりないんですが、勘と要領がいいらしくて、何とか結果が出せています」なんて、謙遜をされている方がいらっしゃいましたが、こういう方は「使う力」が身についているんでしょうね。

いくら知識の量」が多くても、「使う力」がなくては「結果」には現れません情報セキュリティプロフェッショナルなら、知識だけでなく使う力を磨きましょう。(こちらがより重要なコンピテンシー、ヒューマンスキルです)

「使う力 -知識とスキルを結果につなげる」 PHPビジネス新書、御立 尚資 (著)

●目次
第1章 ビジネスリーダーの基本要件(勉強する前に、考えておくべきこと
ビジネスリーダーに必要な四つの要素 ほか)
第2章 「使う力」とは何か(わかったようでわからない「使う力」
目指すべき目標から「使う力」を考える ほか)
第3章 企画という仕事と「使う力」(仕事はすべてが「企画」である
「企画力」を構成する五つの要素 ほか)
第4章 人を動かすコミュニケーションと「使う力」―戦略的コミュニケーション術・会議術(コミュニケーションの基本は「意見の結晶化」
相手を動かし、行動に移してもらうための「使う力」 ほか)
第5章 「楽しむ」ビジネスライフのすすめ(「楽しむ」ことが成果につながるこれだけの理由
「勉強」を楽しむための私の方法 ほか)

| | コメント (0) | トラックバック (1)

2006年9月 9日 (土)

(突然ですが)ブログタイトル変更

ということで、予告もなしにこのブログを変えちゃいました。

実はブログ名の変更は7月くらいから考えていたのですが、先月下旬にもう1つのブログを実質的に休眠状態にした際に変更するはずだったんです。でも、そのまま忘れて、今日までズルズルときてしまいました。

タイトルを変更する理由は、CISSPねたが尽きたとか飽きたとか、そういうことではないんです。あちらのブログで書いていたCISSP以外の内容の記事も、こちらで書いていきたいからなんです。

ということで、今後は(CISSPの記事が中心になりますが、それにこだわらず)情報セキュリティプロフェッショナルを目指す方(もちろん、自分自身も含んでます)のための様々な情報を書いていきたいと考えています。

これからも、引き続きよろしくお願いします。

| | コメント (0) | トラックバック (0)

2006年9月 8日 (金)

セキュリティ資格制度の体系化についての考察(続き)

またまた、前回の続き。

では、このブログの9/1の記事で、書いたNISCの人材育成・資格制度体系化専門委員会での、育成対象と現在の資格で相応しいと思われるものを私なりに当てはめてみましょう

①わが国を代表し、世界をリードする高度・先進的な情報セキュリティ技術の研究開発者
 →これって、まさにCISSPでは?(「世界」ってキーワードあるし)
  ただし、CISSP+αのスキルが要求されると思いますが。

②セキュリティ・プロバイダ(SIer、製品ベンダ、コンサル・監査企業等)における人材
 ア)顧客企業に対してセキュリティ製品・サービス・ソリューション等を提供する人材

 →これは、テクニカルエンジニア(情報セキュリティ)なんでしょうね。
  個人的には、ここのCISSPといいたいですけど。 

③組織(行政機関(政府・地方公共団体)や企業)において情報セキュリティ対策を実施する人材
 ア)幹部(各省幹部・首長や経営者)
 イ)組織内における情報セキュリティ担当者など)
 ウ)一般職員

 → ここは、3つとも違うでしょうね。
 ア)は、つまりCISOで、そういう教育が必要ってことで。ズバッと当てはまる資格は現在ないでしょう。
 イ)は、情報セキュリティアドミニストレータ、なんでしょうね。
 ウ)も、ズバッと当てはまる資格は現在ないでしょう。(だいたい、ここに資格が要るのか?たぶん、教育だけでいいんでしょうね、でも測定・評価は必要でしょう)

| | コメント (0) | トラックバック (0)

2006年9月 7日 (木)

セキュリティ資格制度の体系化についての考察

NISCの第1回人材育成・資格制度体系化専門委員会でも検討されるセキュリティ資格制度の体系化について考えてみます

まずは米国でよくありがちな、初級のIT技術者から上級のセキュリティ技術者になるまでの体系的な資格取得のフローを示すと以下のようになります。

CompTIA A+(ハードウェアテクノロジー、OSテクノロジー)
 ↓
CompTIA Network+(ネットワーク技術)
 ↓
CompTIA Security+(セキュリティ技術)
 ↓
CISSP(→ISSAP/ISSEP/ISSMP)
 ↓
(さらに実践的・専門的知識)
SANS

これを参考にしながら、日本での資格(情報処理技術者試験制度を中心に)で当てはめて、体系化するとどうなるんでしょう?

基本情報処理技術者
 ↓
ソフトウェア開発技術者
 ↓
テクニカルエンジニア(ネットワーク)
 ↓
テクニカルエンジニア(情報セキュリティ)
 ↓

(このあとは? わからん・・・)

ってところでしょうか。

なんだかしっくり来ないし、テクニカルエンジニアは1年に1回しかないからここに到達するの大変かも。そして、これではNISCで目標にしている時期までに十分な量と質の情報セキュリティの専門家は育成できませんね。

情報処理技術者試験制度を中心というのは、やはり無理な気がします。

| | コメント (0) | トラックバック (0)

2006年9月 6日 (水)

セキュリティ資格についての考察・その3

また前回の続きです。

資格の更新、という話になると、よく出てくる代替案があります。
 ①資格の有効期限を設定する
 ②資格の取得(認定)年度を表示する
というようなのが、それらの案です。

②の案などはあちこちでよく言われていて、前回まで取り上げた情報処理技術者試験制度においても、IPAの試験センターの方がその旨の発言をされていたのを、講演やセミナーでも何度か拝聴しております。
確かに「情報セキュリティXX資格(1996)」なんて書けませんよね。10年前だったら、恥ずかしいし、知識が陳腐化・風化しているのを自己宣言しているようなものですから。
しかし、そうはなりませんよね。だって、そういう自分に不利益なことを進んでする人はいませんから。(そんな義務も、風潮もないですし)

①に関しても例えば「3年」と設定すれば、3年後にその試験を受けなおし知識の維持はできる、ということになりますが、ここでの問題は「本当に受け直すのかな」ってことです。その資格の市場価値が非常に高いものであれば、時間やお金をかけて受けなおし、維持しようとするんでしょうけど。そうでなければ、「捨てる」という考えもあり(ということで、私は「捨てた」経験あり)なわけで、そういう人が多いようであれば、この仕組みも成り立ちませんし、この仕組みによってその資格制度自身の首を絞めることになります。

ということで、どちらの案も更新制度(CPEなど)という考え方の代替案には(現状は)なりそうにもないと考えます

※ それから、私は情報処理技術者試験制度を否定しようとしているわけではありません。受験はしていませんが、むしろこの制度の今までの市場への貢献度は高いと考えています。(以上、念のため・・・)

| | コメント (1) | トラックバック (0)

2006年9月 5日 (火)

セキュリティ資格についての考察・その2

さて、前回の続きです。

情報処理技術者試験に更新制度ができるということは、CISSPなどと同様になりますので「失効」と「維持」という仕組みが必要になります。

CISSPの場合は創設当時から更新制度があって、「失効」や「維持」という仕組みは「CPE」という考え方で行われてきたわけです。そのためには、認定を与えた運営機関も、付与されたホルダーも、双方ともに管理を行う必要があります。情報処理技術者制度でそれを実施するとなると、もちろん現在の仕組みや料金では実現できないわけですし、試験センター(IPA JITEC)にもそのためのリソースがあるとは思えません。また現在のホルダーをどう扱うのか(移行の措置と期間が必要でしょうが)を、考えなくてはなりません。ということで、課題と障壁は山ほどあります。

しかし、真にIT人材を育成し確保するということでは、この「更新制度」は取り組まなければならない最重要課題だと思います

| | コメント (0) | トラックバック (0)

2006年9月 4日 (月)

セキュリティ資格についての考察

前回の記事で、情報処理技術者試験でも「更新制度」の必要性が検討されていると書きました。私個人としては「そう(更新制度)でなくてはならない」と考えています。

(私は情報処理技術者試験は受験していませんが)「資格」というものは、本来はその人のそのときのステイタスを示すものでなくてはならないと思っています。つまり、その人がそういう知識や能力を持っているか、現状を表したものでなくてはならないと思っています。

私もかなり以前に取得したベンダーのセキュリティ資格がありますが、そのときと製品のバーションも2世代変わっており、操作や設定できるかどうかはわかりません。これはもう「現状として、使えない資格」と考えていて、この資格の名称は名刺やプロフィールには書かないようにしています。(もちろん、名乗らない)

そういう意味で、「使えない資格」「使ってはいけない資格」というものがあるはずで、「一生ものの資格」などというものはないと思っています。

ちなみに、以下は以前の他のブログで書いていた記事です。私の資格に関する考え方を書いておりますので、ご興味とお時間のある方はちょっとのぞいてみてください。上記のような考えに至ることも書いております。(これらの考え方を継承した記事も、今後ここで書くつもりです)

セキュリティ資格について考える・その1
セキュリティ資格について考える・その2

セキュリティ資格について考える・その3
セキュリティ資格について考える・その4
セキュリティ資格について考える・その5
セキュリティ資格について考える・その6

| | コメント (0) | トラックバック (0)

2006年9月 1日 (金)

NISC 第1回人材育成・資格制度体系化専門委員会

内閣官房情報セキュリティセンター(NISC)で、8/30(水)に第1回 人材育成・資格制度体系化専門委員会が開催され、その資料が公開されています。

その中で、「情報セキュリティ人材の育成に向けた検討」では、この専門委員会で検討される「情報セキュリティ人材」が、どういう人材なのかが書かれています。

それによると以下の3つのようです。
①わが国を代表し、世界をリードする高度・先進的な情報セキュリティ技術の研究開発者
②セキュリティ・プロバイダ(SIer、製品ベンダ、コンサル・監査企業等)における人材

 ア)顧客企業に対してセキュリティ製品・サービス・ソリューション等を提供する人材
③組織(行政機関(政府・地方公共団体)や企業)において情報セキュリティ対策を実施する人材
 ア)幹部(各省幹部・首長や経営者)
 イ)組織内における情報セキュリティ担当者など)
 ウ)一般職員

これについては、だいたい予想通りでした。
私の場合は、(残念ながら、今のところ①ではないので)自身が②に属して、②と③の育成をする、という立場になりそうです。

さらに、これら3つの分類の「質」と「量」の確保、評価方法などの検討について書かれています。

セキュリティ資格としては、具体的に取り上げられていたのは、情報処理技術者試験の「テクニカルエンジニア(情報セキュリティ)」「情報セキュリティアドミニストレータ」だけでした。(CISSPなどがない、これも予想通り・・・)これについては、「情報処理技術者試験制度について」で取り上げられています。

特に取り上げたいところとしては、
①「テクニカルエンジニア(情報セキュリティ)」「情報セキュリティアドミニストレータ」よりも低いレベルの資格制度の必要性
②「テクニカルエンジニア(情報セキュリティ)」「情報セキュリティアドミニストレータ」の資格更新制度の必要性

などについて書かれていることです。

どちらも以前から課題とされていたことで、ここで大々的に議論がされるということになりそうです。

これらに関する個人的な意見は次回以降に書いてみたいと思います。

| | コメント (0) | トラックバック (0)

« 2006年8月 | トップページ | 2006年10月 »