ゼロからはじめるシステム開発

　こんにちは！
　ナビゲータのEVEです。

　システム監査技術者試験の勉強を本格的にし始めてから、情報処理安全確保支援士の勉強がなかなか進みませんが、今月いっぱいで終わらせるようにスケジューリングして頑張っています。
　中の勉強を見ると、監査に関する項目もあり、現在しているシステム監査技術者試験でも役に立ちそうな情報も入っているので、試験に無駄ということにはならないようです。

　システム的な監査には、二種類あり、システム監査と、情報セキュリティ監査があります(監査という意味では、他に会計監査や業務監査などがあります)。現在、オンラインで勉強をしているのは、情報セキュリティ監査なのですが、システム監査と、手法という意味では重なる点が多く、その手法について、詳しく勉強でき、そして、それに関するいろいろな情報を提供している組織などにも触れることができ、非常に助かっています。試験の時は技術的な部分が大きかったのですが、このオンライン学習では、情報セキュリテイ監査がメインといっていいかもしれません。

　そのような中記述の中で、注意喚起を促すという部分にも多くのページをさいています。
IPAとか、JPCERT/CCなどは、情報処理安全確保支援士で勉強している人なら当然触れているとは思うのですが、面白いと思ったのは、警察庁も情報セキュリティに関する情報を流しています。当然、不正アクセスとか、機密情報を盗むとかは、犯罪なので、このような情報を扱うのは当然なのですが、違和感を感じました。なぜなら、警察って事件にならないと動かないから、事件になっていない、事前の情報を発信してるのを見て、今までと体制が変わったのかなと思わせます。オレオレ詐欺みたいな部分でも積極的に防止策などをながしていますしね・・・。
　アメリカで銃乱射事件とか頻発していますが、殺人事件は、以前聞いた情報では、10分に1度発生し、アメリカの警察官は常に、命の危険にさらされています。そのため、交通事故なんていう事件は、1人の警察官がきて処理をするそうです。そんなアメリカからしたら犯罪件数が少なく、聞いている話の範囲内では、日本の方が給料がかなり高く、かつ、仕事の仕方を見ると、人的にかなり余裕があるように見えます。だったら、事前の対策にも、もっと踏み込んでやってほしいです。
　以前の話になりますが、ストーカー殺人事件がありましたが、対策をもっとしっかりやっていれば、防げた犯罪です。ストーカー殺人は、情報セキュリティとは違いますが、いろいろな方面での事前の対応をお願いしたいと思います。

　今回勉強して、初めて知った情報として、公開日一致の原則というルールがセキュリティ業界にあるそうです。無断転載禁止とかいろいろ書いてあるので、話しづらいのですが、いただいた資料には、IPA、JPCERT/CCなどが記載されています。多分、警察庁も同じ扱いになるのでしょうね？だから、事案が発生して、その事案を分析、調査して、対策案ができてから、情報公開日を決める。そして、情報公開日に各機関が一斉に情報を公開するといった感じになるのでしょうか？私は資料から、そのように理解しました。理解が違っていたら申し訳ございません。
　なぜ、公開日一致の原則なるものがあるかも書いてありますが、それについては、また後日お話ししましょう。

　いろいろなサイトに触れて、セキュリティに関するシステムも作らないといけないと思っていましたが、この情報を信じるなら、IPAのサイトだけを見ていれば、大丈夫っていうことになるのでしょうか？
　まっ、ちょっと、普段から複数のサイトに注意を払って、更新状況を見ていきたいと思います。

　では、また！

・IPA
https://www.ipa.go.jp/security/announce/20191202.html

・JPCERT/CC
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

・警察庁
https://www.npa.go.jp/cyberpolice/