この連載「情報セキュリティマネジメント試験とは?」では、情報セキュリティマネジメントの資格が、今の世の中でどう必要とされているのか、どう役立つかについて、社会人になってから独学で合格した筆者が全3回で解説しています。
第2回の今回は、私が担当するクライアントの企業で、情報セキュリティ上の大きな問題に発展することを防止できた事例を2つご紹介します。また、そのうえで、情報セキュリティマネジメント試験に合格することで得られるメリットについてもお伝えします。
なぜ情報セキュリティマネジメントは必要なの?
現代では個人情報や会社のデータは、紙などのアナログベースではなく、パソコン内やネットワーク上など、デジタルで管理されているものがほとんど。
しかし、これらは紙と違い、どこからでも侵入のリスクがあると言えます。その脅威から情報を守るために必要なのが、情報セキュリティマネジメントの知識です。
この情報セキュリティマネジメントを勉強するうえで知っておきたいのが「インシデント」という言葉。
情報セキュリティインシデントとは、情報セキュリティ上の脅威になる事柄のことで、例えば、“個人情報の流出”や“社内データの消失”などが挙げられます。
これらは日々発生しており、ニュースなどでも聞いたことがある人もいるのではないでしょうか。
情報セキュリティインシデントは、一度発生してしまうと、解決するまでにかなりの期間と費用を要します。
また、インシデントの発生の影響により、解決まで仕事を中止せざるを得ない・サービスを終了せざるを得ないなどといった、大きな被害が生じることも。
情報セキュリティマネジメント試験で得られる知識を活用すれば、トラブルが重大なインシデントに発展する前に、その原因を取り除いたり、改善したりすることができるのです。
次からは、私が資格を取りセキュリティエンジニアとして対応したクライアントの企業で実際に起こった、インシデントになることを防いだ事例をご紹介します。
事例① そのメール、本当に取引先のもの?
A社では、資材の発注や納品書の送付といった仕事上の取引先とのやり取りを、メールを使って行っています。
ある日、経理担当者の元に取引先企業から「資材発注内容のご確認のお願い」というタイトルのメールが届き、「資材発注内容確認書」というExcelファイルが添付されていました。
しかしその会社では、「資材発注内容確認書」という書類は使われていません。不審に思った経理担当者は、社内でセキュリティ監査を依頼したのです。
私が実際にそのメールを確認したところ、送信元のメールアドレスはフリーメールアドレス(誰でも簡単に取得できるアドレス)で、取引先企業の担当者のアドレスではありませんでした。
また、添付されていたExcelファイルにはマクロと呼ばれる操作を自動化するプログラムが含まれており、不正な操作を行うものだったのです。
今回の事例では、通常と異なるメールを不審に思った経理担当者がセキュリティ監査を依頼したことにより、情報セキュリティインシデントに発展することを防止できました。
もしメールを受信した人が情報セキュリティマネジメントに関する知識を持っていなければ、メールに添付されていたファイルを開いてしまい、顧客情報などが漏洩していたかもしれません。
事例② 退職者から情報が漏れるかも?
B社では、IT部門で顧客の個人情報や企業内部の技術情報などを管理しています。管理のしやすさを重視して、IT部門のスタッフには、データベースやシステム全体にアクセスする権限が与えられていました。
ある日IT部門の社員の退職に伴い、貸与していたノートパソコンのログを確認したところ、顧客の個人情報や技術情報がノートパソコンからUSBメモリに書き出されていることが発覚。その社員に確認したところ、ノートパソコンで取得した情報を仕事のためUSBメモリに書き出していたことを認めました。
B社では、仕事上であってもデータの書き出しを禁止していたため、この社員は内部規定違反で懲戒処分となったということです。
今回の事例では、顧客情報や技術情報が外部に持ち出されることはありませんでしたが、USBメモリの扱い次第によっては、危うく情報セキュリティインシデントに発展するところでした。
このインシデントを防げたのは、企業が情報セキュリティの実施計画を立てて(今回でいうと、ログの確認)きちんと実施していたからです。この計画を立てるために私も協力しましたが、情報セキュリティマネジメント試験で得られた知識が大いに役立ったと思っています。
情報セキュリティ対策を必要としない企業はない
実務例を2つご紹介しましたが、このような事例はどのような企業でも発生しうるものです。
また、情報を守ることは、情報化が進む現代において社会から求められていることであり、今の企業にとって非常に重要なことです。
仕事を行ううえで情報セキュリティ対策を必要としない企業はない、ということをおわかりいただけたでしょうか。
1つの情報セキュリティインシデントが大きな被害をもたらしかねない現代で、企業は情報セキュリティ対策を急ピッチですすめています。情報セキュリティについて知識を持っている人は、多くの企業に求められる存在になれるでしょう。
情報セキュリティマネジメントの知識を持つメリットとは
メリット① 社会から求められる人材になれる
情報セキュリティの知識を持つ人材は、2016年時点で13万人が不足していると推計されており、特に地方の中小企業での不足が目立っています。
また、2020年には19万人ものセキュリティ人材が不足するとされており、今後企業の規模を問わず大きな需要があるといえるでしょう。
出典:総務省 サイバーセキュリティ人材育成分科会第1回 配布資料 「我が国のサイバーセキュリティ人材の現状について」(PDF)
情報セキュリティマネジメントの知識を持つということは、必然的に、今後の世の中に必要な人材になれるということなのです。
メリット② 就職・転職時に有利になる
これまでお伝えしたように、情報セキュリティマネジメントの知識を持つ人は、社会や企業から必要とされています。そのため、その知識を認定する資格を持っていれば、就職・転職時に自分をアピールするに十分な材料となります。
メリット③ 自分自身を守れる
情報セキュリティマネジメントの知識は、仕事に役立つ一方で、自分自身を守ることにもつながります。先に事例で紹介した、ウイルスに感染したメールを開くか開かないかの判断も、知識があるとないとでは変わってくるでしょう。
このように情報セキュリティマネジメントの知識は、現代社会で生きていくうえで、持っておいて損のない知識と言えるのです。
連載「情報セキュリティマネジメント試験とは?」、第2回の今回は、実務例を2つご紹介したうえで、情報セキュリティ人材の必要性と、情報セキュリティマネジメント試験に合格することで得られるメリットをご紹介しました。
実例を読んで、情報セキュリティの知識を持つ重要性やメリットを感じていただけたのではないでしょうか。
さて実際に就職・転職するにあたり、この試験はどのように役立つかも気になるところだと思います。次回は、情報セキュリティマネジメント試験に合格すると就職・転職でどう役立つのか、履歴書に書くメリットとあわせて解説していきます。
参考URL:
情報処理技術者試験 情報処理安全確保支援士試験 試験要綱 ver.4.6
https://www.jitec.ipa.go.jp/1_13download/youkou_ver4_6.pdf
無料登録でオンラインの資格講座を体験しよう!
資格受け放題の学習サービス『オンスク.JP』では様々な資格講座のオンライン学習が可能です。
最短20秒の無料会員登録で、各講座の講義動画・問題演習の一部が無料体験できます。
※自動で有料プランになることはありません。
関連する記事が他にもあります
情報セキュリティマネジメント試験とは?
- 情報セキュリティマネジメント試験は転職・就職で役立つ?履歴書に書くメリットとは?
- 情報セキュリティマネジメント試験の知識は仕事上どう役立つ?学ぶメリットとは?
- 情報セキュリティマネジメントとはどんな試験?類似資格とはどう違う?
