【完全初心者向け】セキュリティの勉強は、IPAから

　今日から、君は「セキュリティ担当」だ！と辞令をもらったあなた。
きっと何から手を付けていいのか分からなくて途方にくれてしまうでしょう。

　勿論、大企業であれば、最初から一人でセキュリティ部門を立ち上げるということはないでしょうが、中小企業であればまだまだそういうケースは多いと思います。

　この記事では、そんなアナタ向けに、セキュリティの勉強はIPAからというタイトルでIPAでどれくらいセキュリティの勉強ができるか、逆にいえば、IPAがどんなに多様なセキュリティ情報を提供しているかを説明していきます。
　
　大企業でセキュリティを担当している方にとっても、え！そんな情報まで提供されているの？ときっと驚くことでしょう。

　では、早速みていきましょう。

✔　IPAとは？
✔　どんな情報があるの？
✔　もう少し詳しく
✔　個人の方：社員に理解してほしい内容
✔　経営の方：経営に理解してほしい内容
✔　システム管理者：セキュリティ担当が読むべき内容
✔　まとめ：

✔　IPAとは？

　IPAとは、経済産業省配下の独立行政法人情報処理推進機構（Information-technology Promotion Agency,Japan）のことです。英語の頭文字をとってIPAですね。
　IPAは、情シスにはお馴染みの「情報処理試験」を運営していることでも有名です。
そのIPAが実は、情報セキュリティでも大きな役割を果たしているのです。　

✔　どんな情報があるの？

　IPAのサイトを見ると、なんと情報処理試験のメニューより情報セキュリティの方が目立つ場所に置かれています。それだけ重要な活動となっているわけです。

　情報セキュリティに関して、数多くの情報が提供されていますが、まず抑えたいのが以下の３つです。

１．重要なセキュリティ情報

　ここには、即座に対応が必要な情報が掲載されています。「緊急」と「注意」に分類されておいます。主な内容は、以下の２点
（１）ソフトウェア事の最新の脆弱性情報、つまりどのソフトにセキュリティ上のバグが見つかり、セキュリティパッチを当てないといけないかが分かります。
（２）ソフトウェアのサポート修了、つまり「マイクロソフトのWindows7は、いつまでしかサポートされませんよ」といった情報です。　

２．情報セキュリティの啓発

　ここには、思った以上に充実したセキュリティ教材が掲載されています。社員へのセキュリティ教育は、やって当たり前と思われるのですが、マンネリ化せず、タイムリーなセキュリティ社員教育を行うことは、セキュリティ担当の悩みの一つではないでしょうか？
　ここには、毎年出される「情報セキュリティ白書」や「映像で知るセキュリティ（動画コンテンツ）」等がそろっており、多くのヒントをもらえます。

３．情報セキュリティ対策

　最後に、情報セキュリティ対策です。
　ここには、「情報セキュリティ対策のキホン」から「IoT」まで、実際に対策を行うための基本的な対策が載っています。
　大変、やさしい表現で記載されていますので、セキュリティに初めて取り組むかたにはきっと役立つ内容だと思います。

✔　もう少し詳しく

　これまで、見てきたとおり、IPAのサイトには、セキュリティ担当者に役立つ情報が多く掲載されているのですが、ちょっとお役所的といいますが、あまり分かりやすく、読みやすいサイトとはいません。正直、読んでいてあまり面白くはありません。

　そこで、以下のように読み替えて掲載情報を活用してみましょう。

　IPAのサイトで「情報セキュリティ」を選ぶと、そのページの真ん中あたり、「読者層別メニュー」があります。
　サイト内の情報を読者層別にまとめてくれているのですが、セキュリティ担当者は、結局すべてを見る必要があります。
　何故かといると、経営の方は、自分でこのサイトの「経営の方」向けサイトを読むことは殆どなく、「個人の方」もなかなか読みません。
　つまり、セキュリティ担当のあなたが、「システム管理者の方」の内容を読むのは勿論、「個人の方」「経営者の方」向け、コンテンツも読むのです。
　ただし、読み方を変えると少し気が楽になります。つまりセキュリティ担当のあなたが、社員に教育すべきことは、「個人の方」の中に、毛経営に理解してもらう必要がある内容は、「経営者の方」にあるとして活用するのです。
　ここで「技術者・研究者の方」向け、コンテンツは、一旦、読まなくて大丈夫です。

✔　個人の方：社員に理解してほしい内容

　このページの特に「知る」の部分を活用しましょう。
　IPAが個人に理解してほしい情報が載っていますので、これを社員に教育するのです。
　https://www.ipa.go.jp/security/personal/index.html
　

✔　経営の方：経営に理解してほしい内容

　ここでも、特に「知る」の部分を活用しましょう。
　例えば、「経営における情報セキュリティの意義」というコンテンツがあります。これを経営層向けの説明資料にするのです。
　https://www.ipa.go.jp/security/manager/know/meaning/index.html

✔　システム管理者：セキュリティ担当が読むべき内容

　ここには、「対策実践情報」等が掲載されていますので、是非、セキュリティ担当自身がよんで活用しましょう。
　https://www.ipa.go.jp/security/sysad/index.html

✔　まとめ：

　IPAのサイトは、セキュリティ担当者にとって、情報の宝庫であることが理解いただけたのではないでしょうか？
　中小企業のセキュリティ担当者にとっては、勿論、大企業のセキュリティ担当者にとってもベンダーやコンサルか入手する情報より分かりやすく的確な情報も多いと思います。
　少なくとも１週間に一度はアクセスして、最新の情報を入手しましょう。
　脆弱性情報の部分は、毎日チェックが必要だと思います。