Scribble at 2023-12-27 19:16:21 Last modified: 2023-12-29 14:23:15
資格試験を受けるつもりはないが、情報セキュリティマネジメント試験のテキストは、だいたい3年おきくらいで買い直して通読するようにしている(*)。ジジイでも、それくらいのことはするのだ。いまのところ、インプレスから販売されている本書はコンパクトによく整理されていて、使いやすいテキストだと思う。
なお、本書ではむやみに過剰なイラストや図表は使われていないのだが、昨今はイラストや図表が少ないというだけで欠陥があるかのような、想像力に欠けた子供や未熟な成人のレビューが多いので、良い子のみんなは、そういうレビューは無視しよう。なぜなら、そういうことを脊髄反射のように書いている連中は、どのみちイラスト付きのテキストを読んでも試験には合格しないし、百歩譲って合格したとしても、現実のビジネスの現場で、まともな情報セキュリティマネジメントなどできないからだ。想像力に欠けた人間、あるいは言葉だけで概念を正確に理解できない人間が、企業の情報セキュリティ対策を適正に設計したり実装する素養など身につくわけがない。これは、電通や博報堂案件も含めた大企業の受託案件で20年近くの実績をもっている情報セキュリティマネジメントの実務家として明言できる。ビジュアル、つまり表面的なことでしか物事を理解したり判断できない人間は、情報セキュリティの人材としては「欠格」とすら言える。
(*) さきほど読み返してすぐに訂正したが、「かいなおして」と入力して「書い直して」などという奇妙な表現が優先されていたとは驚きだ。「かう」と言って「書う」などと表記する人が日本にいるのだろうか。「書」の訓読みが「か」であることは確かだが、これに「く」ではなく「う」が続くというコロケーションを許容する方言だとか業界表現があるのか。これは Google IME のバグとして思えないが、やはり過信していると機械ごときに自分自身の言葉を歪められてしまう一例だ。
[追記:2023-12-29] 情報セキュリティマネジメント試験で難しいのは、もちろん B 試験と呼ばれている実地に即して対応を問われる設問の方だ。知識だけを問う A 試験なら、本書に収められた練習問題を解いた印象で言えば、僕はいますぐに受験しても全問正解で合格する自信はある。でも B 試験は簡単には解けないと感じた。その理由として、やはり自分自身の現実の業務経験とか社内規程に引きずられてしまい、業務ではよくあることだが原理原則を必ずしも貫徹できないで、要するに甘い基準で運用しているようなところがあるからだ。
本書は(というか、この試験がそうなのだが)ISMS に多くを負っていて、もちろん僕も15年くらいは ISMS の認証を維持するためにマネジメントシステムを構築・運用してきた知識も経験もあるわけだが、JIS Q 27001 や JIS Q 27002 で規定されている要求事項を、何でもかんでも十分な水準で達成しているわけではないし、そうするべきだとも思っていない。はっきり言って予算が潤沢ではなく人員のスキルが未熟な零細ベンチャーでは、十分なレベルで達成することが難しい要求事項だってある。たとえば内部監査にあたってのインプットになる従業員の力量測定などは情報資産の管理者としてリスク・オーナーの部門長が各部を代表して行うことが望ましいとされているが、事業規模や業種に限らず、われわれエンジニアやセキュリティのプロを除いて、たいていの事業部の部門長に、部下の力量を見積もれるほどのセキュリティの知識や技能なんてあるわけないし、そういう力量を測れるだけのスキルを事業部長に要求する企業だって殆どないだろう。売上高数兆円の大企業や上場企業ですら、営業部や総務部の部長なんて専門学校の学生以下のスキルや知識しかない。現実には情報システム部や情報セキュリティの部署が代行しているだろうし、それでも(不十分だが)構わないというのが ISMS の監査の現実である。
するとそういう現実に引きずられて、甘い基準で情報セキュリティを理解してしまうことになり、そこを基準にして回答を考えてしまうと、やはり原理原則で問うている試験では不適切な答えを導いてしまう場合がある。僕ですら、ISMS の原則ではこうだが、現実にはこういうものだという経験に引きずられて、つい甘い基準で回答してしまいがちであり、解答の解説を眺めて「まぁ、原則で言えばそうだよな」ということになる。でも、当たり前だが原理原則を知っていないと、最初から甘い基準だけで教え込まれたら、それ以上の考え方ができなくなる。したがって、「ムラの掟」を社内研修で教えるだけではなく、こういう客観的な(つまりは御社の事情など屁とも思っていない)基準で問われるような試験を受けることにも意味があるのだ。