情報処理安全確保支援士になって2年目の春が来ました。
4月登録者の講習が始まる時期ですね。
というわけで、今年は2年目になるので講習Bを受けました。講習Bの軽いまとめと感想です。
講習Aの感想はこちら(1年前のブログです) ultrabirdtech.hatenablog.com
講習Bの学習内容
2019年度春季のものは下記のようなものが学習内容にありました。
上記サイトより引用
講習Bなので技能の教科がテーマとなっております。
セキュリティ設定共通化手順SCAP解説【前・後編】
SCAPとは情報セキュリティ対策の自動化と標準化を目指した「セキュリティ設定共通化手順」のこと。
要素として下記のようなものがある。
| カテゴリ | 名前 | 概要 |
|---|---|---|
| 脆弱性管理 | CVE | プログラム自身に内在するセキュリティ問題に一意の番号を付与 |
| CVSS | 脆弱性自体の特性、パッチの提供状況、ユーザー環境での影響度などを考慮し影響度を評価するもの | |
| 資産管理 | CPE | 情報システムを構築するハードウェア、ソフトウェアに一意の名称を付与する |
| 構成管理 | OVAL | プログラム上のセキュリティ問題や設定上の問題をチェックするための使用 |
| CCE | プログラムが稼働するための設定上の問題に一意の番号を付与する | |
| XCCDF | セキュリティチェックリストやベンチマークなどの文書を記述するための仕様 |
CVE、CVSSは以前ハニーポットを運用しているときに、取得した脆弱性情報をもとに調査していたことはあったので知っていた。 ultrabirdtech.hatenablog.com
他のOVALやXCCDF などは初見でした。
ユーザ教育と内部監査
内部監査は学生時代にISO14000の内部監査員資格持っているので感覚はつかめていた。
監査に関する基準とか証拠、監査人を務める時はどういう特性があるべきかなどがテーマになっていた。
法律遵守・契約履行
個人的に一番嬉しかった学習テーマ。
最近coinhive事件とかアラートループ事件とかでセキュリティ関連の法律は気になっていたので勉強になった。
サイバーセキュリティに関する法律や履行される契約についてわかりやすくまとめてもらえていたのでとてもありがたかったです。
サイバーセキュリティ基本法からウイルス作成罪、作業の請負、委託、派遣の違いなどにも触れらていました。
個人的に気になったセキュリティ関連の法律は下記でまとめました。 ultrabirdtech.hatenablog.com
まだまだセキュリティに関する法律は勉強続けたいと考えております。
感想
講習Bを受けてみて、難易度とともに有用度とかも個人的には上がった気がしました。
特にSCAPに関しては新しく学び直しを行わなければいけない分野だったので、スキル4レベルの維持には貢献できているかなと思います。
あとやはり法律、契約に関する部分がとても有用に感じました。
来年の講習Cと集合研修が楽しみです。
