今日はちょっと難しいお話し。
解らない方にはちんぷんかんぷん。
けれども解る方には刺さるお話し。
企業や官公庁の情報システム部を悩ます、悪意のあるハッカー達。
これには面白半分でシステムに侵入して来る個人から、国をあげて他国の情報を盗み出すプロの集団まで様々。
そんな攻撃からコンピュータシステムを守ろうと、既存のシステムに隙は無いのか、どこか侵入出来る入り口は無いのかと探し出すのがIT業界の脆弱性診断です。
要はハッカー達に侵入されないように、事前にシステムの戸締まりを確認しておく作業ですね。
現在、星の数ほど登場した脆弱性診断を謳う各企業。
自分は、これに5年ほど前から警鐘を鳴らしておりました。
なぜなら、その手法や持っている情報が診断を行う企業によってマチマチであり、そもそも診断を行う企業が秘密を守れるのかという心配があったからです。
国立研究開発法人情報通信研究機構、通称NICTのサイバーセキュリティ研究所のM所長には、数年前からそれらに関する懸念事項を相談させて頂いておりました。
海外では既に脆弱性診断を行う企業、及び実作業を行うエンジニアには明確な規定と資格が存在します。
NIST
National Insutitute of Standards and Technology
アメリカ国立標準技術研究所
この組織が発表した脆弱性診断に関するフレームワークが、ようやく日本でも受け入れられて来たようです。
(それでも最初に制定したのは2014年、10年も前よ)
フレームワークとは、その診断に関する手法、つまり作業に関する手順のことです。
だから5年以上前から言って来たじゃん。
何も資格を持たず、根拠も無い自信を持っている会社に任せると、良い時で何も診断が出来ていない。
もっと酷いと、そのテストエンジニアが情報を持ち出すって。
最悪の場合、泥棒に家の鍵の開け方と、キャッシュカードの暗証番号を教えてやるようなものですよね。
認定資格は国によって様々ですが、世界のデファクトとなろうとしているNISTのフレームワークや、イングランド銀行とイギリスサイバー庁が規定したCRESTなどが存在します。
CREST
Council of Registerd Ethical Security Testers
欧米での金融機関は、この資格認定を受けていない企業やエンジニアにはシステムを触らせません。
すごく当たり前の事なのに、なんで日本は性善説でセキュリティを考えるんでしょうね。
他にも色んな資格があるんですよ。
2024年、ようやく日本のIT業界が追いついて来たような気がします。
各企業の情報システム部の皆さん、誰に任せるかは明確な基準があるんですよ。
ランキングに参加中。クリックして応援お願いします!
