どうもこんにちは、MD(@digitalgakari)です。
前回、情報処理安全確保支援士を持っていると「いいこと」があるよ、という記事を書きました。
どうもこんにちは、MD(@digitalgakari)です。なんだかんだで情シスを10年以上やらせてもらっています。
要するに、国の機関であるIPAから仕事をもらえるって話で、今回は実際にどんなことをするのか自分自身の経験も含めて具体的に書いてみます。
もくじ
情報処理安全確保支援士はお金がかかる
前回の記事のリンクを張ったけど要約すると、情報処理安全確保支援士って試験合格したあとに登録するかどうか選べて、登録すると晴れて「情報処理安全確保支援士」って名乗れます。
ただ、登録するのに2万くらいかかって、さらに毎年更新するのにお金がかかるので、情報処理安全確保支援士の試験に合格しても登録しない人が多い。
国としては登録者を増やしたいので、情報処理安全確保支援士の資格を持っている人がいないと公共事業が受注できなかったり、少しずつ独占業務っぽい感じの仕組みを作ろうとしているけど、労働者的には出費を上回るメリットが見いだせない状況で。
情報処理安全確保支援士を使ってお金がもらえるようになった
だからなのかわからないけど、2019年度から「中小企業の情報セキュリティマネジメント指導業務」って名称で、中小企業への専門家派遣っていうのをスタートさせて、参加者に謝金が出るようになりました。
もちろん表向きは中小企業のサイバーセキュリティ対策をすすめることです。社内にIT専門家がいなかったり、外部にコンサルを依頼する費用がないなどの理由でセキュリティ対策が進んでいない中小企業を募集して、IPAから委託された業者が専門家(情報処理安全確保支援士)を斡旋するという仕組みです。
専門家派遣は実施期間があって、事業として2回目の昨年度は2020年9月~21年2月まで実施され、その事業に関する振り返り的なレポートが先日出ました。
情報処理推進機構(IPA)の「「令和2年度中小企業の情報セキュリティマネジメント指導業務」報告書について」に関する情報です。
「中小企業の情報セキュリティマネジメント指導業務」の経緯
私自身2020年度から参加したので前年の内容が分からないため比較ができませんが、このレポートによると前年の課題として、
・指導先企業が3大都市圏に偏っていること
・専門家自身のコンサル業務への不安
があり、2020年度はそのあたりを考慮して、指導先企業を全国から募集し、コンサル業務で使える指導ツールの提供を行われるようになりました。
実際問題、コロナ禍ということもあり、2019年度は対面での実施だったのがオンラインでも実施可となり、私が担当した1社は東北の企業でした。
また、指導ツールのおかげで、計4回ある講習で何をすべきかが示されており、それをなぞるだけで成果物ができて、指導先企業も達成感のある形に着地するという仕組みになっています。
ここから計4回実施したコンサルの具体的な内容を書いていきます。
「中小企業の情報セキュリティマネジメント指導業務」の具体的な内容
まず最初にお伝えしたいことは、この指導ツールは公開されているということ。
(このPDF、144ページ、6MB弱あるので通信環境がいいところで見たほうがいいかもです)
令和2年度中小企業の情報セキュリティマネジメント指導業務 指導要領(指導ツール)
https://www.ipa.go.jp/files/000091424.pdf
この資料で、指導業務の1回目から4回目で具体的にやることが書かれていますが、ざっくりと1回目から4回目まで個別に書いていきます。
実際に指導に入る前に、情報処理安全確保支援士が本指導業務に申し込みする際に研修を受ける必要があり、そのなかでも指導業務の進め方について説明があって、申し込んでからの辞退も可能なので、まずは研修を受けてみるのがいいかと思います。
1.企業の事業や情報システム環境の理解と情報セキュリティリスクの洗い出し
まず初回で指導先企業の環境をヒアリングします。指導ツールにも書かれていますが、何の情報も入れずに初回の面談を迎えるのは失礼なので、指導先企業のホームページなどからわかる範囲で情報収集をしておきます。
「指導先企業の事業内容」や「指導先企業のIT環境など」の項目が書かれたヒアリングシートがもらえるので、それを埋めていけばいいのですが、指導先企業も「中小企業の情報セキュリティマネジメント指導業務」に応募する条件として、自社診断を行うことになっているので、初回からお互いのコミュニケーションが取れないということはなさそうです。
1回あたり、だいたい2~3時間を想定されているのですが、指導先企業のIT環境をヒアリングしていると初回はそれだけで終了します。
相手が答えられなかったりした部分については、次回までに教えてくださいという形で次につなげます。
2.情報セキュリティ基本方針や関連規程整備の検討と重点改善領域の絞り込み
第2回の指導内容としては、前回のヒアリングのなかに指導先企業内でITセキュリティに関する規程類があるかどうかも聞いており、指導業務計4回の成果物として規程類を整備するために、現状の規程類をチェックします。
そのなかでも「情報セキュリティ基本方針」というものはマストになっていて、とはいっても「当社は以下の情報セキュリティに取り組みます」的なA4用紙1枚モノの書面を作る必要があるのですが、ひな形が配布されるのでそれを指導先企業に当てはめて作成するだけで、「情報セキュリティ基本方針」は完成します。
完成したら、先方のホームページのどこかに掲載してもらうか、自社パンフレットに追記してもらうように依頼をします。
関連規定についてもひな形があるので、それを指導先企業と照らし合わせて行く感じで、こちらはもともと先方に規程類がない場合もあり、完成がマストではないです。
3.コロナ禍の情報セキュリティ対策を含む、重点対策の検討と優先順位付け
第3回目はコロナ禍の事業継続として実施された対策をヒアリングします。具体的にはリモートワークの環境やWeb会議のツールについてなど、平時の業務に追加されたIT環境を確認して、セキュリティ的に問題がないかチェックします。
こんな状況ですので、突貫工事でリモートワーク環境を構築した企業もあり、今回だけでなく全体を通してですが、ダメ出しをするのが目的ではなくてどのようにすれば改善できるかをこちらからアドバイスことになります。
当時はZoomのセキュリティに不安があるなど報道されていたので、そういったことをご存知かどうか聞いてみたり、突然知らない人が会議に参戦してくることを避けるためにURL接続時にパスワード必須にするなどの対策をお伝えする感じです。
4.情報セキュリティ対策の成果物レビューと訪問指導全体のまとめ
最後に今回の指導内容をまとめていきます。成果物として「情報セキュリティ基本方針」の作成と、「関連規程」の整備の状況を確認するのですが、「関連規程」については先方で作ってもらうので、その優先順位などを確認します。
ちなみに「関連規程」を簡単に説明すると、ITセキュリティに関する規程類のことで、例えばITの機器の利用ルールについて定めた規程や、情報資産に対するアクセス制御のルールなどを明文化したものをジャンルごとにまとめたものになります。
私が担当した企業はそもそも規程がないという環境もあったので、支援ツールとして提供される「関連規程」のひな形を渡すだけで喜んでいただけました。
「中小企業の情報セキュリティマネジメント指導業務」をやってみよう
というわけで、私たち情報処理安全確保支援士は、
・申込み期日までに専門家登録を済ませて(研修を受けて)
・IPAから委託された業者からマッチング先企業(指導先)を紹介してもらい
・その指導先企業と初回の日程を決めて
・指導ツール通り進める
ことで、「中小企業の情報セキュリティマネジメント指導業務」が完了します。これで計18万円いただけることになります。
もちろん指導先企業、個々の会社で事情が違うため、「簡単なので気軽にやりましょう!」とはとてもではないですが言えませんが、こんな機会を得るチャンスはなかなかないですし、他社の環境を知って改善策を一緒に考える経験は専門家にとっても価値のあることかと思いますので、興味がある人は次回是非参加してみてください。
21年度も実施されるようであれば私も確実に参加しますので、もしよかったら一緒に案件持ち寄って相談しあいましょう。お気軽にお声掛けいただければ嬉しいです。
まとめ
「中小企業の情報セキュリティマネジメント指導業務」について具体的に書いてみました。
この記事で「中小企業の情報セキュリティマネジメント指導業務」の中身が分からないとなかなか手を挙げづらいかもしれませんが、そんなにハードルは高くなさそうということを感じてもらえれば幸いです。
前回の記事をまだ読んでいなければあわせて読んで頂ければ、情報処理安全確保支援士に登録しようかなと心変わりしてくれるかもしれません。
2021.06.04
情シスが情報処理安全確保支援士を取得したときの隠れたメリット
どうもこんにちは、MD(@digitalgakari)です。なんだかんだで情シスを10年以上やらせてもらっています。 数年に1度IP...
次回の記事では、「中小企業の情報セキュリティマネジメント指導業務」を実際にやってみて感じたこと、私の今後のキャリアに影響を与えそうな「継続コンサル」について書く予定です。最後までお読みいただきありがとうございました
コメント