IT入門お役立ち情報:情報処理安全確保支援士試験受験編(その2)
序盤:基礎知識固めとして参考書を勉強しました(1)
参考書の章立てに沿って、次の内容について勉強しました。そこで、気づいたことや感じたことを少し述べてみます。
- 情報セキュリティの基本的な考え方
セキュリティとは何かに始まり、情報セキュリティのCIAや基本的な対策の考え方を改めて学習できました。ここでは、そもそもセキュリティはなぜ必要か、あるいはどのような考え方で対策するべきかなど、抽象的な概念の整理ができました。セキュリティ担当者としては、普段はあまりこのようなことは意識していないと思うのですが、振り返るとこれらの基本的な考え方に則って仕事をしていることに気づかされます。
- ISMSに関する規格と制度
ISMSの元になっているISO/JIS規格の役割や内容とその認証制度について学習しました。27000シリーズがベースになっていて、その概要を知る機会になりました。ISMSはセキュリティ対策を実装するだけではなく、PDCAサイクルを導入することが重要なようです。また、認証のプロセスは、一般的な監査手順と似ていますので、監査対応などの経験があれば、理解しやすいと思われます。
- TCP/IPの仕組み
現代のネットワークの基本的なプロトコルであるTCP/IPの仕組みに関する基礎的な内容について学習しました。純粋にネットワークの学習で、セキュリティに関する詳細ではありませんが、昨今のセキュリティではネットワークが重要な役割を果たしており、また基本的な仕組みはほとんど変わらないので、それらを理解しておくことはとても大切です。今回は、自分の知識の整理になりましたし、新たな知識の習得にもなりました。
- クラウドと仮想化技術
近年活用が進んでいるクラウドサービスに関する学習です。サービスの提供形態の違いやセキュリティ上の留意点が学習のポイントです。仮想化技術については、サーバの仮想化だけではなく、クライアント端末の様々な仮想化技術についても学びました。このあたりは、日々進歩している領域だと思いますので、新しい技術についてもチェックしておく必要がありそうです。
- 脅威の分類と概要
情報セキュリティを脅かし、損失を発生させる原因となるものが脅威ですが、まずは脅威にどのようなものがあるのかを知らずして、セキュリティ対策を考えても万全とは言えません。脅威といえば、悪意のある攻撃など意図的な人の脅威を真っ先に思い浮かべがちですが、操作ミスなどの偶発的な人の脅威も考慮する必要があります。また、災害や人為的な脅威だけではなく、障害も脅威の一つとして考えることも大切だと改めて認識しました。
