また起きてしまった個人情報流出と今秋最後!?の情報セキュリティスペシャリスト
また大企業の個人情報流出事故がおきてしまいました。
この事故について、現在報道されている標的型メールが原因だったとすれば、企業にとって対岸の火事ではなく、明日は我が身であるこということです。
今春初の実施の試験、情報セキュリティマネジメント午後問題でも標的型メールの問題が出題されていました。(以前のブログ情報セキュリティマネジメント合格証はきたけれど・・・合格率88%って?でも触れましたが、合格率は高かったです。)
情報セキュリティマネジメント試験の午後問題1の設問1(4)では、標的型メールによくみられる特徴を選ぶ問題でした。
この問題のケースで、受信メールにみられる特徴では「差出人のメールアドレス(しかもフリーメールアドレス)と末尾の署名のメールアドレスが異なることと、実行形式ファイルが添付されていることが解答になっていました。
しかし、今回の事故の標的型メールの手口はこの問題で出題されたレベルより巧妙でした。メールアドレスのドメインは、実在する取引先企業のものであり、@前の名称も日本人の名前になっていたといいます。また添付ファイルはpdfに偽装したexeファイルだったようです。(2016/6/15現在の情報)
情報セキュリティに関する知識はできるだけ多くの人が持っていてほしい知識でしょう。利用者としてなら、情報セキュリティマネジメント、IT技術者だったら情報セキュリティスペシャリストの知識をもっているとよいでしょう。
さて情報セキュリティといえば、情報処理技術者試験に情報セキュリティスペシャリスト(以下SC)がありますが、この資格名の試験は今秋の試験が最後になり、平成29年度からは情報処理安全確保支援士としてスタートします。
試験ワーキンググループ取りまとめ資料より
(出所:経済産業省 http://www.meti.go.jp/press/2016/04/20160427006/20160427006-1.pdf)
もちろん現在SCを持っている方や、今秋に取得する方には登録によって、情報処理安全確保支援士としての資格が与えられます。さらにこの資格を維持するために講習の受講などによって、資格を名前だけのものにしないように、義務づけられています。
試験名称が変わっても、試験はSCをベースにすると取りまとめ資料には記載されているので、大きな変化はないと思われます。
試験が変わった新試験はねらい目だ!という人もいます。
しかし、試験最後の情報セキュリティスペシャリストと目指すというのも、いいと思います。
対策には過去問題をやるのが近道です。
手前味噌ですが、今回解説を一部書かせていただいた、過去問題集です。
まだSCを取得してない方はこの秋の試験でSCをめざしてみませんか?