今日はセキュリティについて、思いつくまま適当に書きました。
タイトルは後付けです。本当に適当なので、真面目に受け取らないでください*1。
IPAのセキュリティ試験についてあれこれ
5月初めに、新資格「情報処理安全確保支援士」についての記事を書きましたが、それなりに関心が高いのかコンスタントにアクセスがあります。
私も気にはしているので、時折、続報が無いか確認するのですが、今のところ動きはありません。
ちなみに、ググってみた感じだと、やはり名前が気に食わないという意見が多いですね。試験制度の中身にツッコまれないよう名前をひどくしたのでは無いか、とかそんな感じの陰謀論が出そうなレベル。
話は変わって、情報セキュリティマネジメント試験について。
結構前の話になりますが、情報セキュリティマネジメント試験の合格率が88%とエライことになってました。
問題を読んだ時の感想通り、やはり簡単すぎたように思います。
IPAのプレスリリースでは「社会人としての経験が豊富な層の受験者が多かったことから、合格率が高い水準になったと考えられます」と述べられています。確かにそういった側面はあったのでしょうが…。
簡単すぎるという人と、そんなことは無いという人がいて、一部で紛糾することもあったようですね。
次回試験での難易度がどうなるか、気になるところです。
そうそう、私の勤め先では当該試験の取得者に報奨金を出すことになりました。金額は未定ですが。
あと、私が取得してもお金はくれないそうです。Damn it.
個人の所感です。
情報処理安全確保支援士では2020年までに3万人の登録者を目指す、という話があります。
おそらく情報セキュリティマネジメント試験も、有資格者を増やしたいという思惑があるのではないでしょうか(個人の所感です)。
両試験ともなんとなく、有資格者は増やしたい、さりとて簡単すぎるとありがたみがなくなる、という運営側の葛藤のようなものを感じます(個人の所感です)。
あまり有資格者数にこだわるとろくな結果にならないように思うのですが(個人の所感です)、色々しがらみもあるでしょうし、そうもいかないのでしょうね。たぶん。
現状の情報セキュリティマネジメント試験、情報セキュリティスペシャリスト試験とも、レベル差はあれど網羅的にセキュリティを勉強するには良い題材だと思うので(個人の所感です)、妙な方向にいかないよう切に願います。
試験に出ない脆弱性
と、網羅的に勉強できると書きましたが、ここで一点、情報処理技術者試験には出てこないセキュリティ上の脆弱性に思い当たりました。
それは"思い上がり"。人間の心理あるいは人格面から生じる脆弱性です。
(いきなり話が飛びましたが、今日はそういう気分の日ということで、ひとつ。)
人間、思い上がると、現実よりも自分がどう思っているかを重視するようになります。もっと言うならば、自分が考えていること=真実だと思ってしまうのです。そんな状態なので、色々とミスしたり問題を起こしたりします。
ろくに利害関係者へのヒアリングもせず、利便性無視のセキュリティ強化策を打ち出したり*2、効果検証もせずに対策を策定して、結局同様のセキュリティインシデントが発生したり*3。
ついでに、これらの問題が発生しても自分に原因があると思わず、さらに明後日な方向に対策を推し進めることもあります。
まあ、こういった話はセキュリティに限らないのですが、とにかく思い上がると色々まずい事態が生じてきます。
私は、セキュリティに関わるものは謙虚さを忘れてはならないと思っています。
一人よがりの自信家は、的確な現状把握が出来ず、適切なセキュリティ対策も取れません。
謙虚さを失わないよう自省したいものです。
などと、思い上がった人に振り回されがちな私は、後始末に奔走しつつ思うのでした*4。