セキュリティの実態を踏まえた 登録セキスペへの期待と役割 情報処理安全確保支援士 集合講習講師 藤井仁志 All Rights Reserved, Copyright IPA

セキュリティの実態を踏まえた

登録セキスペへの期待と役割

情報処理安全確保支援士

集合講習講師 藤井仁志

第１部：サイバーセキュリティの実態

1. 日本におけるサイバーセキュリティ政策

2. サイバーセキュリティ攻撃事例にみる特徴

3. サイバーセキュリティ人材

日本のサイバーセキュリティ政策の経緯

サイバーセキュリティ戦略・サイバーセキュリティ2018

新たなサイバーセキュリティ戦略(2018年７月)は、2020年以降の目指す姿も念頭に、我が国の基本的な

立場等と今後３年間（2018年～2021年）の諸施策の目標及び実施方針を国内外に示すもの。サイ

バーセキュリティ2018は、同戦略に基づく初めての年次計画であり、各府省庁はこれに基づき、施策を着実

に実施。

サイバーセキュリティ経営ガイドライン

経営層に対するサイバーセキュリティ投資の必要性を認識させるのに貢献。

第１部：サイバーセキュリティの実態

1. 日本におけるサイバーセキュリティ政策

2. サイバーセキュリティ攻撃事例にみる特徴

3. サイバーセキュリティ人材

サイバー空間の脆弱性

インターネットは開かれた世界で、透明で、相互干渉が可能であるように設計された。

セキュリティとプライバシーの管理はシステムの設計において二義的であった。

インターネットの初期設定での安全を軽視したこの考え方は、攻撃者にとって潜在的な利点

となっている。

（元U.S.国防副長官 ウィリアム・リン）

サイバー空間が抱える脆弱性

1. 匿名性が高く攻撃者の識別が困難

2. 正当な通信・処理と攻撃の識別が困難

3. 個人・弱者であっても大規模企業、国家に対して攻撃できる

4. 国境がなく光速で世界中に攻撃できる

サイバー攻撃の変遷

個人的な悪戯ではなく、金銭奪取や軍事・政治目的達成のための手段としてサイバー攻撃は行

われている。

稚拙な攻撃者

（スクリプトキディ）

洗練された攻撃者

（ハッカー）

産業スパイ

（悪意ある内部者）

組織犯罪

（犯罪者集団）

国家が支援する

何者かの新しい

タイプの攻撃

（APT）

スクリプト キディ ハッカー 悪意ある 内部者 犯罪者 集団 APT 娯楽 実験 迷惑行為 悪評 金銭 困惑させる 政治的・社会的・ 環境問題等の理由 復讐 個人的利益 株価操作 現金/Bitcoin クレジットカード ID 組織内部の情報 国家が支援するスパイ活動 市場操作 競争優位の獲得 軍事・政治目的

Marriot、United Airlines、OPMが繋がると

https://seekingalpha.com/article/4293174-united-airlines-riskier-bet-ahead-of-earnings

https://wired.jp/2018/12/01/marriott-hack-protect-yourself/

セキュリティ侵害の実態

情報漏洩を自ら発見するのは困難、インシデント未発見期間は数か月の単位

情報漏えいを発見する主体

法的機関 第三者 不正利用検知 内部

出典: Verizon 2016 Data Breach Investigation Report

70%を超える情報漏えいが法的機関や外部の

専門家による指摘による発覚

インシデントの所要時間

秒 分 時 日 週 月 年 感染（対象＝127） 発見（対象＝390） 侵入（対象＝140） 脱出（対象＝87）

出典: Verizon 2019 Data Breach Investigation Report

個人情報漏洩の状況と原因

漏えい人数

561万3,797人

インシデント件数

443件

想定損害賠償総額

2,684億5,743万円

一件あたりの漏えい人数

1万3,334人

一件あたり平均想定損害賠償額

6億3,767万円

一人あたり平均想定損害賠償額

2万9,768円

漏洩原因

個人情報漏えいインシデント概要データ

（出典）https://www.jnsa.org/result/incident/2018.html

情報漏洩だけを見ても莫大な損害が推定されているが、原因は“ヒト”が大半。

盗まれた個人情報の闇市場価格

多くのユーザーが複数のサイトで同じパスワードを使用しているという事実を逆手に取り、入手した

認証情報を使って、人気のEコマースサイト、送金サイト、ゲームサイトなど別のサイトで不正利用

して利益を得ようとしている。

第１部：サイバーセキュリティの実態

1. 日本におけるサイバーセキュリティ政策

2. サイバーセキュリティ攻撃事例にみる特徴

3. サイバーセキュリティ人材

日本のセキュリティは低予算、人不足が課題

日本はセキュリティにお金を掛けていないにも関わらず、他国に比べてセキュリティ人材の不足を懸

念している。

0％

20％

40％

60％

80％

100％

10％未満 10％以上 不明 【凡例】

IT予算に占めるセキュリティ予算の割合（％）

経営層がCISO

セキュリティ人材の

_不足

35.5

%

71.2

%

68.5

%

70.5

%

71.8

%

86.9

%

16.2

%

10.6

%

14.3

%

10.4

% （出典）https://www.nri-secure.co.jp/report/2018/analysis_global2018.htmlをもとに作成

無理解との闘い：セキュリティプロフェッショナルの置かれる環境

私は何もしていません

業務があるので早く

作業を終えてもらえませんか

（予算、要員の依頼を無視していたのに）

今まで何をやっていたんだ！

300

万人

今後2年間の

要員不足

66

%

ストレスによる

新たな職探し

51

%

ストレスが

少ないなら

減給OK

（出典）RSA Conference 2019 Ann Jonson氏講演をもとに作成

セキュリティ自動化の遅れが対応費用の明暗を分ける

0％

20％

40％

60％

未導入 【凡例】

セキュリティ自動化の未導入割合（％）

51％

42％

46％

44％

48％

(出典）https://www.ibm.com/downloads/cas/ZBZLY7KL?_ga=2.178520740.1027700476.1577855539-887529877.1575095829をもとに作成

情報漏洩時の対応費用

2.65MUS＄

5.16MUS＄

セキュリティ自動化

導入済

セキュリティ自動化

未導入

ASEAN

不足しているセキュリティ人材とは

インシデント対応とセキュリティ企画の要員が不足が人材面の課題。

57%

53%

44%

0% 20% 40% 60%

ログを監視・分析して危険な

兆候をいち早く察知できる

セキュリティ戦略・企画を策定

する

インシデントへの対応・指揮が

できる

日本（n=93)

自組織に不足していると考える人材種別

セキュリティ担当者として最も困っていること

セキュリティインシデント発生時

の緊急対応

自社セキュリティ対策の遅れ

（最新技術・動向の未反映）

グループ会社・国内外拠点の

セキュリティ統制・管理

サイバー攻撃高度化への対応

https://www.nri-secure.co.jp/report/2018/analysis_global2018.htmlをもとに作成

サイバーセキュリティ人材育成取組方針

（出典）https://www.nisc.go.jp/conference/cs/jinzai/dai09/pdf/09shiryou0201.pdf

経営層

戦略マネジメント層

実務者層・技術者層

• ビジネスやサービスの着実な遂

行（任務保証）が重要

• 事業継続と価値創出のための

リスクマネジメントの一環として、

対策を推進

• 事業継続と価値創出に係るリ

スクマネジメントを中心となって

支える役割

• 経営層の方針を踏まえた対策

立案、実務者・技術者の指揮

• 方針を踏まえたセキュリティ対策

の企画・構築・実施

役割

課題

• リスクマネジメントに向けた、経営

層の理解と意識改革の推進

• 業種・業態の違いを踏まえた、サ

イバーセキュリティの位置付けの

明確化とリスクマネジメントの浸

透

• 取組に対する経営上のインセン

ティブ付与

• マネジメント機能の中でサイ

バーセキュリティリスクの考慮

• 戦略マネジメント層向けの適

切な教材やプログラムが存在し

ない

• 経営層・戦略マネジメント層を

支え、他の専門人材とチームの

一員として対処できる人材の育

成

• 新たな技術やシステム開発手

法の知識・スキルの育成

登録セキスペはセキュリティ専門職、実務者・戦略マネジメント層をカバー

（出典）https://www.nisc.go.jp/conference/cs/jinzai/dai09/pdf/09shiryou0201.pdf

経営層

戦略マネジメント層

実務者層・技術者層

演習

教育

資格・

評価基準

NISC 重要インフラ分野横断演習

金融庁Delta Wall III演習

警察庁重要インフラ業者等との共同対処訓練

IPA産業サイバーセキュリティセンター責任者向け短中期プログラム

NICT CYDER、サイバーコロッセオ

東京電機大 Cysec

IPA産業サイバーセキュリティセンター中核人材育成プログラム

IPA情報処理安全確保支援士

IPA情報セキュリティマネジメント試験

セキュリティ人材への将来・期待は多様、登録セキスペはゴールでありスタート

• 人材の可視化

• 安心感の提供

専

門

性

の

進

化

・

深

化

専門性の広域化

＋

・・・

・・・

会計

法務

_広報

従来IT・先端技術との組

み合わせ

企業・組織運営に必要な技

術との組み合わせ

試験合格者＝レベル４の実力あり

トップガン人材

登録

CISO

セキュリティにも強い経営者

✓ 講習・研修の受講

✓ 実務経験

✓ サイバー演習

✓ CTF、

✓ 外部発表 等

＋

＋

AI

✓ IT戦略

✓ アーキテクチャ

✓ PM

✓ システム開発

✓ システム運用

✓ ネットワーク

・・・

（参考）セキュリティ関連の年俸は幅広く、上限も他職より高い傾向

500

800

1100

1400

1700

2000

単位：万円 情報セキュリティ

（銀行・証券・投信以外のサービス）

プロジェクト・プログラムマネージャー （銀行・証券・投信以外のサービス）

データアナリスト・サイエンティスト

（銀行・証券・投信以外のサービス） セキュリティ・エンジニア （ベンダー・コンサルティング） システム・エンジニア （ベンダー・コンサルティング） RPAコンサルタント （ベンダー・コンサルティング） （出典）https://www.robertwalters.co.jp/content/dam/robert-walters/country/japan/files/salary-survey/J-Book2019.pdfより一部抜粋

転職会社調査結果（2019）にみる国内正社員年俸レンジの一例

1.

講習の目的と内容

2.

講習受講の特徴

3.

受講者の声

安心・安全なシステムを支える仕組みに必要な人材

安心・安全なシステムはセキュリティ専門家とセキュリティ以外の専門家がそれぞれの専門性を連携

して発揮することで実現できる。

登録セキスペに要求されるスキルは双方の“共通言語”

である。

安心・安全なシステムの企画・開発・運用

セキュリティ専門家

セキュリティ以外の専門家

自らの専門的な知識、経験、技能、

倫理観を活用し、貢献

専門家と協力しながら、セキュリティ

以外も加味しながら貢献

役割

期待

共通

スキル

安心・安全の実現に必要な経営課題の対応、システムの設計・開発、

運用・保守、緊急対応の支援に必要なスキル

高度専門

スキル

（一例）

• セキュリティに関する意思決定

• リスクストラテジー

• 脆弱性診断

• セキュリティ設計

• セキュアコーディング

• CSIRT

• フォレンジック

• IT全般に関する意思決定

• ITストラテジー

• システム監査

• ITアーキテクチャー

• プログラミング

• システム管理

• プロジェクトマネージメント

ゴール

（受講義務）

第26条

情報処理安全確保支援士は、経済産業省令で定めるところにより、

機構

※

_{の行うサイバーセキュリティに}

関する講習

（第28条において単に「講習」という。）

を受けなければならない

。

※独立行政法人情報処理推進機構

【情報処理の促進に関する法律】

（講習）

第34条

法第26条に基づき

機構の行うサイバーセキュリティに関する講習

（以下単に「講習」という。）を受講する情

報処理安全確保支援士は、法第23条第2項において準用する法第11条に定められた登録事務規程に従わ

なければならない。

（講習の実施形式）

第14条

法第26条の規定により支援士が受けなければならないサイバーセキュリティに関する講習（以下「講習」とい

う。）は、

オンライン形式及び集合形式により実施

する。

（講習の時間）

第15条 講習の一回当たりの時間は、原則として次のとおりとする。

一 オンライン形式による講習（以下「オンライン講習」という。）

６時間

二 集合形式による講習（以下「集合講習」という。）

６時間

情報処理の促進に関する法律 施行令（政令）・施行規則（経済産業省令）

情報処理安全確保支援士登録事務規程

登録セキスぺ資格維持のための法定講習

「オンライン講習」と「集合講習」

◆集合講習

受講頻度

：3年に1回

受講日数

：1日間

開催場所

：全国主要8都市他（東京、大阪、名古屋、札幌、仙台、広島、高松、福岡、他）

開催時期

：1年間の受講期間中、随時開催

受講人数

：1回あたり 10～30名程度 （5～6名/グループ×5グループまで）

講師構成

：メイン講師、サブ講師の2名体制

修了条件

：理解度確認テストを受験すること

集合講習に100％参加すること

グループ演習に積極的に参加すること

◆オンライン講習

受講頻度

：1年に1回

標準学習時間 ：6時間

開催時期

：1年間の受講期間の間、受講したいタイミングで開始できます

学習期間

：申込後３ヶ月間

（ただし、最大1年間内容の参照が可能です）

集合講習の目的・タイムスケジュール（2019年度）

オンライン講習で学習した知識を実践で使えるよう、レベルアップし、定着させる

⚫

シナリオに沿った演習に取り組むことで、情報セキュリティインシデント対応の検知・分析から再発防止までの

一連の流れの理解を深め、実業務への応用のための“気づき”を得る

⚫

情報セキュリティインシデントの原因に対し、情報セキュリティ技術のみならず、組織内で対策を推進するた

めの実践的な知識・知見を駆使し、実効性のある対策を取りまとめする

⚫

情報セキュリティ関連業務に従事する者として、倫理・コンプライアンス上の責任を理解し、それに基づく判

断及び行動ができるようにする

時間 講習内容 9:45～12:00 （途中休憩10分） オリエンテーションなど 事前チェック 理解度確認テスト 講義（インシデント対応手法、情報セキュリティにおける倫理） トピックス検討ワーク 12:00～13:00 昼食休憩 13:00～17:00 （ケーススタディ毎に休憩10分） ケーススタディ概要 ケーススタディ① インシデント対応 ケーススタディ② 予防策の検討 ケーススタディ③ 倫理的な判断・行動に関するケース 17:00～17:30 まとめ・質疑応答 事後チェック・アンケート等

情報セキュリティ対策を担う実践的な能力の習得・維持・向上をはかる

目

的

タ

イ

ム

ス

ケ

ジ

ュ

ー

ル

集合講習のケーススタディ

⚫

ケース１、２ テーマ：組織におけるセキュリティインシデントの対応・予防策

• ある企業を想定して発生したインシデント状況をもとに、「発生時の対応」及び「再発防止策」を検討する

• 社内のCISOに報告することを想定して、優先順位や意思決定に必要と思われる事項等を短時間でまとめる。

• 「CISOへの報告」を含むインシデント対応を疑似的に、安全な環境で体験できます。

• 普段の業務では得られにくい、他社の取り組みや異なる立場からの意見が得られます。

• インシデント対応の経験者、未経験者ともに新たな“気づき”を得て、今後の業務に活かせます。

⚫

ケース３

テーマ：倫理的な判断・行動

– 実際に発生しうる倫理的な問題を題材に対応方針をディスカッションする

• 実際に起こり得て、「教科書的な判断」だけでは対応できない状況を体験できます。

• 登録セキスペとして求められる倫理原則に基づく、考慮事項に沿った考え方を体得できます。

• グループによって導き出す判断が異なることもあり、実務で発生した場合の選択肢を増やせます。

＜設問の一例＞

• 顧客企業のシステム検査中に、システムの重大な脆弱性を発見。

• 当該脆弱性は広く世の中で共有すべきものであったが、顧客企業からは事前に締結した守秘義務契約を理由

に脆弱性の公表をしないよう求められた。

1.

講習の目的と内容

2.

講習受講の特徴

3.

受講者の声

本日のアジェンダ

講習受講の特徴

サイバーセキュリティ分野の高度な知識・技能

の習得だけでなく、講習で学んだことを登録セ

キスペとして日常の業務に活用できることに重

点を置いた内容となっています。

倫理観の醸成にも重点を置いています。

これまでの主な教材改訂内容 ・実践的な事例を追加 ・いくつかの箇所で、役割別の学習内容を追加 ・集合講習のケーススタディの実施において、 「CISOへの報告」形態を強化

業務に活用できる内容に重点

毎年の講習内容の見直し

認定された講師が2人体制で

受講者同士の相互交流による学び

オンライン講習・集合講習ともに、毎年内容の見直

しを行い、さらにサイバーセキュリティ等の専門家の監

修を受けた内容となっています。

これにより、最新の情報や、今セキュリティ人材に求

められている内容を学べます。

⚫

セキュリティや人材育成の専門家によって構成さ

れる有識者委員会にて認定された講師が担当し

ます。

⚫

セキュリティ分野の第一線で活躍し、ファシリテー

ターとしても高い実績を持つ専門家です。

⚫

常に2人の講師が担当します。様々な経験を持

つ講師の知見に触れられます。

⚫

講師勉強会を定期的に開催するなど、講習品

質向上のための取り組みを行っています。

⚫

集合講習は、ケーススタディ形式のグループディス

カッションが中心となります。1つの正解を学ぶこと

ではなく、様々な立場の受講者の考えを引き出

すことに重点が置かれています。

⚫

ユーザ企業の方のご意見や、他社の取り組みを

知る機会として活用される方もいます。

集合講習

集合講習

登録セキスペとしての義務遵守

法律で定められた制度であるため、義務、罰則の影響を気にされる声もあるようだが、

内容は常識的なものに限定されており、

この内容の理解も講習で深めることになって

いる。

情報処理の促進に関する法律 該当条項

内容

罰則

（第51、53条）

取り消し・

名称使用停止

（第19条）

第24条

信用失墜行為の

禁止

情報処理安全確保支援士の信用を傷 つけるような行為をしてはならない

第25条

守秘義務の違反

第26条

講習の未受講

第27条

名称の使用制限

正当な理由がなく、その業務に関して知 り得た秘密を漏らし、又は盗用してはな らない。情報処理安全確保支援士で なくなった後においても同様 経済産業省令で定めるところにより、機 構の行うサイバーセキュリティに関する講 習を受けなければならない。 情報処理安全確保支援士でない者は、 情報処理安全確保支援士という名称 を使用してはならない。

○

○

○

ー

○ 1年以下の懲役 または50万円以下の罰金

ー

○ 30万円以下の罰金

ー

登録セキスペ

上記以外

（取り消し、使用停止 該当者含む）

教科書だけで学べない倫理を身に付ける

登録セキスぺには遵守すべき倫理要綱が定められている（次ページ参照）。

集合講習では、同じ倫理原則が求められる登録セキスペ同士が、講義で復習した原則を活用しつつ、

受講者・講師の知見、経験、議論からの“気づき”を、現場での課題解決のヒントとして得られる。

「基本原則」

1.公正と誠実

2.秘密保持

3.法令等の遵守

4.信用保持

5.自己研鑽

偏見

利益相反

専門性・

経験の

不足

他者からの

干渉

倫理原則の

“衝突”

守秘義務

の壁

講義で復習

登録セキスペを悩ます倫理の課題

• 他登録セキスペの知見・経験

• 講師の知見・経験

• 受講者同士の議論による

“気づき”

グループ演習で獲得

課題解決のヒント

（参考）情報処理安全確保支援士倫理綱領

【前文】

情報処理安全確保支援士は、社会的通念やモラルに従い、情報セキュリティの専門家としての矜持を保ちつつ、サイバーセキュリ ティの確保を通じて、公衆の生命・安全・財産を保護し、安全・安心な社会の維持に貢献する。 情報処理安全確保支援士は、その使命を全うするため、品位を保ち、技術の研鑽に励み、 国家資格「情報処理安全確保支援士」として、この倫理綱領を遵守し、公正・誠実に行動する。

【基本原則】

１．公正と誠実 情報処理安全確保支援士は、業務上の判断を行うにあたり、先入観をもたず、他者からの不当な影響を受けず、常に公正 な立場を堅持し、公正・誠実に業務を遂行しなければならない。 ２．秘密保持 情報処理安全確保支援士は、正当な理由がなく、その業務に関して知り得た秘密を漏らし、又は盗用してはならない。 ３．法令等の遵守 情報処理安全確保支援士は、法令等や専門職としての倫理を遵守しなければならない。 ４．信用保持 情報処理安全確保支援士は、専門家としての自覚をもち、信用を失墜する行為をしてはならない。 ５．自己研鑽 情報処理安全確保支援士は、専門家としての能力を必要とされる水準に維持し、かつ自らの知識・技能を 高めなければならない。

情報処理安全確保支援士が、その役割と責任を果たすために従うべき規範

登録セキスペのスキルレベルに対する講師からの期待

セキュリティの支援には広範なスキルが要求されるため、登録セキスペと言えども一人ですべてのスキルを

独力で出来るレベルで保持するのは困難。ただし、他の専門家と連携、協力するためのポイントは網羅

的に理解していることが期待される。

活用・連携

技術動向・

活用例

コミュニケー

ション

業界・業務

知識

評価・

監査

開発・

導入

運用

企画

下支え

倫理

セキュリティ

セキュリティ

以外

知識の不足 支援・助言が あればできる 独力でできる 指導できる 企画 開発・_導入 運用 評価・_監査 倫理 業界・ 業務 知識 技術動向 ・活用例 コミュニケ ーション

登録セキスペの保持スキルレベル（例）

登録セキスペに期待されるスキル

登録セキスペA氏 登録セキスペB氏 【凡例】 ス キ ル の 段 階

登録セキスぺの活躍への道

「サイバーセキュリティは経営課題」と言われる時代を迎え、セキュリティを更に極めたい方、セキュリティ以外

の専門家のいずれとしても活躍の道が開かれている。

ス

キ

ル

レ

ベ

ル

ユーザ企業 情シス部門 ITベンダー

技術重視

マネジメント重視

Level4

セ

キ

ュ

リ

テ

ィ

ア

ー

キ

テ

ク

ト

セ

キ

ュ

リ

テ

ィ

エ

ン

ジ

ニ

ア

セ

キ

ュ

リ

テ

ィ

ア

ナ

リ

ス

ト

フ

ォ

レ

ン

ジ

ッ

ク

エ

ン

ジ

ニ

ア

C I S O

C

S

I

R

T

コ

マ

ン

ダ

ー

リ

ス

ク

ス

ト

ラ

テ

ジ

ス

ト

Level7

登録セキスペ

I

T

ス

ペ

シ

ャ

リ

ス

ト

I

T

ア

ー

キ

テ

ク

ト

I

T

ス

ト

ラ

テ

ジ

ス

ト

プ

ロ

ジ

ェ

ク

ト

マ

ネ

ー

ジ

ャ

監

査

セキュリティを更に極める

1.

講習の目的と内容

2.

講習受講の特徴

3.

受講者の声

本日のアジェンダ

登録セキスぺの業務分類

登録セキスペはセキュリティを専門としている方以外も多数登録している。

登録セキスペの

セキュリティ対策

関連業務の分類

※「情報処理安全確保支援士(登録セキスペ)の活動に関する実態調査」調査報告書 P77 「3.2.2 役割の分類とレベル」をもとに作成

集合講習の様子と満足度

集合講習の参加者は毎回25名程度。業界の第一線で活躍する講師が2人体制で手厚く指導を行います。講

習の中心となるグループ演習形式のケーススタディでは、参加者がそれぞれの知見を持ち寄りながら議論し、相互的

に新たな視点や知識を習得することを狙いとしています。

被害の拡大防止だけでなく、それに伴 う経営・運用への影響、ポイントなどを 学んでいきます。 講師も参加者の要望に合わせ、自身 の経験や過去の事例などを交えながら 丁寧にアドバイス。 「顧客企業のシステム監査で重大な 脆弱性を発見したが、顧客企業から 公表を控えるよう指示された。」など、 実習で直面しがちな業務上の役割と 倫理の相反をテーマに議論。 企業でのウイルス感染による情報漏え いを想定し、対策をディスカッション 倫理的な判断・行動に関するディス カッション

講習の満足度

4.3

/5

多岐多様な場で活躍する登録セキスぺから高い評価 （次ページ参照）

集合講習受講者の主なコメント

集合講習は、セキュリティの理解や対応力の向上だけでなく、

セキュリティ対策を実際に推進する際に必要となる、異なる立場の人の観点を理解する、

登録セキスペ同士の繋がりを作る場としても、効果を発揮している。

未経験業務の疑似体験

• 資料での学びに加え、経験者の意見を聞 きながら、インシデント対応を体験できた • 当事者ならパニックになってしまい、間違っ た対応をしてしまうかもしれない事案を講 習で試せた • 具体的なインシデントを想像したポリシー 改訂やセキュリティ設計に繋げられる

異なる視点からの考え・“気づき”

• 最新のセキュリティ対策の進め方を経験 者から聞くことが出来た • インシデント対応に関連する異なる立場 の方の考え方を知ることが出来た • 技術だけなく、コストとリスクのバランス、情 報公開の判断といったビジネス判断に必 要な観点を得られた

登録セキスペの繋がり

• 受講者間の交流が期待以上だった • 倫理上の現実的にあり得るグレーゾーン の体験談を具体的に話を聞くことが出来 た • 技術だけはなく、倫理知識が必要である ことが分かった

集合講習受講者アンケートのコメント（抜粋）

⚫

インシデントハンドリングを学べて／試せてよかった

– 具体的・客観的な情報分析に基づき、正しいプロセ

スを踏んで、日々変化する脅威に対応できる自信が

ついた。

– インシデントという速やかに対応しなければいけない

事例に対して短い時間で問題や解決策を考えていく

ということで、良い経験ができた。

⚫

実務で活用できるヒントが手に入った

– 実際に自分ならどうするのか考えられたので、とても良

い機会になりました。

– 支援士として押さえるべきポイントを学んだのでシステ

ム設計に盛り込みたい。

– 実運用でのイメージが想像できた。

⚫

違う視点が手に入った

– 自分では思いつかないヒントを得られました。

– なかなか話し合う機会の少ないインシデントレスポン

ス部分を他社の人と話すことができて良かった。

– 他業種の方のセキュリティについての目線の違いが得

られ、考え方の幅が広がった。

– CISO視点で考えるということも大切だと思いました。

⚫

様々な視点を生かす有益さを実感した

– 意見を出し合うことで、解決に導くプロセスを実感で

きた。

– 実際に話し合いしてみると、知識のみとは違ったもの

であることが分かった。

– 様々な会社、業務に携わる方々とディスカッションす

ることで、自分にない視点での気づきが得られたこと

は非常に有意義だった。

⚫

受講者間の交流が有意義だった

– 具体的な事例をもとに意見交換が行えたことは大変

勉強になりました。

– 様々な立場の方と話すのは良い経験になった。他者

に説明する中で、セキュリティ知識の理解できている

点、不足点に気づけた。

⚫

講師の指導

– 受講者にはなかった意見の補足があってありがたい。

– 一般論ではなく具体的な技術等について言及されて

いる点が役に立った。

⚫

倫理を意識していきたい

– 倫理に基づいて行動する事で、長期的な信頼関係

を作ることが出来ると思います。

– 同じ事象でも、捉え方が変わった気がします。特に倫

理面に関しては、時々振り返るようにしたいと思いま

す。

– 登録セキスぺとしての倫理面での責任を改めて感じ

ました。