先日、待望だった情報処理安全確保支援士の実践講習に参加しました。
初回向けなので、まだまだ初歩の初歩ですが、それでも非常に勉強になりました。

まず、情報処理安全確保支援士に認定されているということは、専用の筆記試験に合格しています。
つまり、一定程度の知識や着眼点は持っているわけです。

ですが、普段の業務が情報セキュリティ業務でない場合、実践的な考えは中々養えません。
今回の実践講習は、それがとてもよく分かる内容でした。

特に、『運用業務の実務経験の乏しさ』については、改めて痛感させられました。
グループディスカッションでも気づきがありましたし、講師の方々からも中々手厳しいご指摘をいただきました。

『「開発業務」での視点は悪くないが、「運用業務」での視点は全然足りない』
結果として、自身のスキルについて、そのようなイメージを抱くようになりました。

もっとも、それ自体は、当然の結果であるとは思います。
なぜなら、私のシステムエンジニアとしての経歴は、そのほとんどが「開発業務」だからです。
これまで経験してきた業務の能力が高くなるのは、自然なことだと思います。

ただ、今回の講習を受けて、『運用では使い物にならないな』という感触があります。
「情報処理安全確保支援士」という肩書に期待される一番の役目ではありますが、そこでは十分な能力を発揮できそうにありません。

それならば、いっそ「開発業務」に重点を置いたほうがよいかなと、最近の私は思っています。

何も運用業務が情報セキュリティのすべてではありません。
開発業務にだって、情報セキュリティ上の注意ポイントは山ほどあります。
開発の段階から情報セキュリティに気を配り、運用側にできるだけ安全なシステムを提供することも、情報処理安全確保支援士の大切な「仕事」だと思います。

さて、これで情報処理安全確保支援士の初年度の講習はコンプリートです。
今回の実践講習は3年に1回ではありますが、初年度に受講しておいてよかったと思います。

問題は、この経験をどう活かすか。
特に、普段請け負っている「開発業務」に、どのような形でフィードバックできるかがカギになります。

やはり、基本に立ち返り、まずは「セキュアプログラミング」。
同時に、設計面から、セキュリティと利便性のトレードオフについて、もう一度考えを巡らせるのがよいでしょうか。

あるいは、実践講習でも例示された、『問題が起きた時のシミュレーション』をしてみるのもいいかもしれません。
思えば、安全な構造に気を遣うばかりで、それが突破された時の「訓練」は、結構疎かになっている気がします。
開発を行いながら、『この防御策が突破されたらどうするか』を考え、訓練までやってみるのは、結構面白いかもしれません。
防災訓練と同じですね。

それでは、ようやく情報処理安全確保支援士のスタートラインに立てた気がする、山本慎一郎でした。