IT人材育成本部 - ipa.go.jp · 「itによる対策（技術面の対策）」だけではなく、適切な情報管理や従業員の意識向上等の「人による対策（管理面の対策）」についての

All rights reserved, Copyright © IPA 2015

IT利用部門における

情報セキュリティマネジメント人材の重要性

～機密情報を脅威から守るために～

IT人材育成本部

情報処理技術者試験センター


複雑・高度化するセキュリティ脅威

2

標的型攻撃による内部情報漏えい

内部不正による情報漏えい

インターネットバンキング等による金銭被害

Webサービスへの不正ログイン


情報セキュリティに係る現状と課題

我が国のサイバー攻撃は増加傾向であり、あらゆる分野が対象

被害が連鎖的に拡大し、我が国の産業基盤や個人の生活基盤が著しく損なわれるおそれがあり、あらゆる分野で早急に対処が必要

標的型サイバー攻撃の手口は更に巧妙化しており、関連企業から侵入するなど、自社取組みだけで未然防止可能な攻撃ではなくなっている

情報セキュリティ製品も進化しているが、一方で、情報セキュリティに関するリスクを認識し、情報セキュリティ製品を適切に活用しなければ速やかな対策が出来ない

ITを利用する部門や業務委託先等での守りも固めることが必要

情報セキュリティ製品等による「ITによる対策（技術面の対策）」だけではなく、適切な情報管理や従業員の意識向上等の「人による対策（管理面の対策）」についての取組みが重要

現状：課題：あらゆる組織・部門での情報セキュリティマネジメントに関する人的取組み

サイバー攻撃の増加・巧妙化自社技術面だけの対策では不足

3


情報セキュリティについて企業の関心ごと

自社の「セキュリティマネジメント（運用・体制）」と

「攻撃」に関心あり

4

ユーザー企業

出典：IPA IT人材白書2015


IT企業の半数近く、ユーザー企業の７割超が、

人材育成を実施していない。

ユーザー企業ＩＴ企業

情報セキュリティ人材の育成状況


5


情報セキュリティ人材育成を検討・実施していない理由

6

ユーザー企業

投資ができない、必要性を認識してい

ない



「情報セキュリティ人材」の対象

※IT人材白書の人数推計による

区分業務分類必要なスキルの例

IT人材（エンジニア）約107万人※

ITベンダー企業（エンジニア対象）

他者に安心・安全な情報サービスを提供する上で必要なスキル

情報セキュリティ専門企業（エンジニア）

セキュリティ脅威をビジネスチャンスに変える高度なスキル

ユーザー企業の情報システム部門

自社に安心・安全な情報サービスを提供する上で必要なスキル

IT人材以外の全般

ユーザー企業（業務担当）社会人としての

情報セキュリティリテラシ

現場部門の情報セキュリティ管理者部門のセキュリティ管理スキル

学生・非社会人一般的な情報セキュリティ

リテラシ

強化ポイント「情報セキュリティマネジメント人材」のターゲット

7


情報セキュリティの人的な対策とは… ユーザ企業を中心とした情報セキュリティ人材マップ

事業部門、管理部門

情報システム部門

情報セキュリティ推進組織、自社内SOC

情報セキュリティポリシ・関連規程

情報セキュリティ要件の提示

（課長）

（係長／主任）

・・・

（部員）

IT技術者

報告・相談

必要に応じて規程の見直し調達・委託、

契約管理

機密保持の教育訓練等

機密情報等の管理

監視等による不正防止

事後対応

セキュリティ専門家

情報セキュリティ管理者（情報セキュリティマネジメント人材）

下記のセキュアな提供

情報システム開発・運用

ＩＴ機器、ソフトウェア

クラウドサービス

ユーザ企業（IT利活用企業）外部のSOC

ベンダ系企業（IT開発・提供側）

業務委託先

情報管理の要

全ての組織で、全ての部門で、

機密情報を守り、ITの安全な利活用を

推進する「情報管理の要」となる存在が

今最も求められています！

8


ところで、情報セキュリティ管理者って誰？・・・まわりにもいらっしゃいますよね？

ITを利用するあらゆる部門において、セキュリティポリシーやルールの徹底などの取り組みを推進する

「情報セキュリティ管理者」が必要です。まもるくん

怪しいメールに気をつけて！

IT詳しそうだから教えて

セキュリティ委員会に出てくれる？

ソフトウェアのアップデ－トをしてください！

課内のセキュリティ向上のためスキルアップしたい！

9


「情報セキュリティ管理者」の位置づけ

企業・組織における情報セキュリティ管理プロセス

現場部門（業務部門・管理部門）で情報セキュリティマネジメントの役割を担う人材。情報セキュリティに管理責任を持つ上位者からの指示を受けながら、各部門でのルールの理解やその徹底のための呼びかけ、部門のセキュリティ状況を調査したりする現場部門の推進リーダ。

情報セキュリティマネジメント

情報セキュリティ管理者

出典：「情報セキュリティスキルアップハンドブック」

10


IPAからのご提案

情報セキュリティマネジメントスキルを高めるには？

11


情報セキュリティマネジメント人材像～求められるスキルは？～

経済産業省産業構造審議会商務流通情報分科会情報経済小委員会 IT人材WG（第5回）資料を抜粋

12


情報セキュリティの知識・スキルを高めるなら国家試験情報セキュリティマネジメント試験

経済産業省所管の国家試験である「情報処理技術者試験」の新たな試験区分として創設。

試験の位置づけ

情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的スキルを認定する試験。

出題の特色

新試験

・業務部門・管理部門で情報管理を担当する方（情報セキュリティ管理者）

・業務で個人情報を扱う方など

対象者

平成28年度春期より開始予定！

共通キャリア・スキルフレームワークのレベル2に相当

身近な事例をベースにした実践的な出題！

国際・国内標準や公的ガイドラインに基づく出題！

13


試験活用のメリット

組織

情報セキュリティマネジメントの知識を身に付けることにより、

次のような組織作りに貢献できます。

情報セキュリティ推進組織

人事部門

部門の情報セキュリティ

管理者

その他の部員

製造部門


管理者

その他の部員

営業部門

その他の部員

委託先

セキュリティベンダ企業

業績UP

①

連携対処


管理者

③情報セキュリティを確保することで、より安全で積極的なIT利活用を実現する！

②万が一トラブルが発生しても、適切な事後対応により、被害を最小限に食い止める!

①部門全体の情報セキュリティ意識を高め、情報漏えいリスクを低減する！

トラブル発生！

周知啓発

安全性確保 IT利活用促進

安全性を考慮した調達・管理

② ③

14


情報セキュリティマネジメント試験で問われる知識

経済産業省産業構造審議会商務流通情報分科会情報経済小委員会 IT人材WG（第5回）資料を抜粋

情報セキュリティマネジメント試験を通じて確認する、情報セキュリティマネジメントを行う上で最低限必要な「知識」内容は以下のとおり。

１．情報セキュリティマネジメントの計画、情報セキュリティ要求事項に関すること

２．情報セキュリティマネジメントの運用・継続的改善に関すること

３．外部委託、コンプライアンス（遵守指導等）に関すること

４．（上記１～３の前提となる）情報セキュリティマネジメントの基礎知識に関すること

ITシステム外部記憶媒体事業関連情報など

ガイドラインなどを参考にして、ITシステムなど情報セキュリティ対策をすべき対象を特定し、業務継続等に配慮しつつリスク評価を行い、戦略の立案に参画。

機密保持の

教育訓練等

機密情報等

の管理監視報告・相談

・・・

契約通りにセキュリティ対策してますか？

勝手に再委託してないでしょうね？

必要に応じて

規程の見直し

関連法規

ガイドライン

セキュリティ

対策技術

セキュリティ

管理・監査手法ＩＴの

基礎知識

事後対応

15


出題内容・出題形式

出題内容

午前

午後

時間区分午前午後

試験時間 90分 90分

出題形式多肢選択式 (四肢択一)

多肢選択式

出題数解答数

50問 50問

3問 3問

基準点 60点

(100点満点) 60点

(100点満点)

出題形式

業務の現場における情報セキュリティ管理の具体的な取組みについてケーススタディによる出題により実践力を問います。

16

✓多肢選択式（マークシート）

✓年2回実施（4月・10月第3日曜日）


情報処理技術者試験の特徴・メリット

社会人として備えておくべきＩＴに関する基礎知識を問う試験から、高度プロフェッショナル試験まで、対象別、レベル別に１３の試験区分で構成

（参考）情報処理技術者試験

5名以上は

団体申込みが便利

【試験日】平成２８年４月１７日（日）（予定）

【申込期間】平成２８年１月中旬～2月中下旬

※決定次第、Web等でご案内いたします

【申込み方法】インターネット又は郵便

詳細はこちらから！（http://www.jitec.ipa.go.jp/）

○IT技術力の指標としてIT業界で高く評価

○社員教育・報奨金制度等で、多くの企業等で活用

○官公庁、地方公共団体等における調達要件に活用

○情報セキュリティに関する出題を強化

○幅広い普遍的な知識が身に付き、業務に活きる実践力を養うことが可能

○開催時期

春期4月、秋期10月の年2回実施

※ITパスポート試験のみCBT方式で一年中実施

実施概要

【２８春期試験】

17

ITのプロフェッショナル

全ての社会人・学生を対象

IT技術者を対象

IT技術者の登竜門 (スタートライン！)

IT技術者として

レベルアップ！


（参考）情報処理技術者試験情報セキュリティ人材育成の取組み

・情報セキュリティの重要性の一層の高まりや情報セキュリティ人材が不足している状況を踏まえ、情報セキュリティ人材の育成に資する活動を実施。

情報セキュリティに関する知識を含め、国民全体のＩＴリテラシーの向上を図ることが必要（世界最先端IT国家創造宣言 ※ ２０１３年６月１４日閣議決定）

情報セキュリティ人材の発掘、育成、活用を進めることが必要（サイバーセキュリティ戦略 ※ ２０１３年６月１０日政府公表）

「iパス」をはじめとする情報処理技術者試験の全試験区分において、「情報セキュリティ」に関する出題の強化・拡充を実施

i パス情報セキュリティに関する出題比率の大幅な

引き上げ（2倍）

基本情報技術者試験（FE）応用情報技術者試験（AP）

午前試験において「中分類11 セキュリティ」の出題比率を引き上げ

午後試験において「情報セキュリティ分野」を選択問題から必須問題に変更

高度試験

午前Ⅰ試験（共通知識）、午前Ⅱ試験において、「中分類11 セキュリティ」の出題比率を引き上げ

ITストラテジスト試験（ST）、プロジェクトマネージャ試験（PM）において、午前II試験の出題範囲に新たに「中分類11 セキュリティ」を追加（高度全区分で出題）

（※）ｉパスは平成26年5月7日以降、ｉパス以外は26春試験から適用

（ご参考）情報セキュリティスペシャリスト試験

情報セキュリティの専門的な知識・スキルを問う試験。情報システムや組織に対する脅威や脆弱性を評価し、技術面・管理面での有効な対策を遂行できるセキュリティエンジニアや情報システム管理者を目指す方に最適。

新試験

18


IPAからのご提案

更に組織的にセキュリティマネジメントを

高めるには？

19


・情報セキュリティマネジメント試験の学習の指針として定価1,000円(税込)

Amazonで販売 ISBN:978-4-905318-33-0 （※一部Web上で無償公開）

http://www.ipa.go.jp/jinzai/hrd/security/index.html


「情報セキュリティスキルアップハンドブック」

対象者像や求められる技術水準等を記載

平成28年度から開始予定の情報処理

技術者試験の新試験区分「情報セキュリティマネジメント試験」の対象者像を踏まえ作成しています。同試験の受験をご検討の方の学習の指針としてご活用いただけます。

20


・情報セキュリティ管理者を育成するために

研修ロードマップを作成

コースの構成

説明

ケーススタディ

ケーススタディ

ケーススタディ設計の考え方

ケーススタディのサンプル

各コースの設計書


「情報セキュリティスキルアップハンドブック」

21


タスク大分類タスク中分類対応する主なスキル項目

システム企画立案情報セキュリティ要件定義

情報セキュリティ管理手法

システム要件定義・方式設計

システム化要件定義情報セキュリティ管理手法

IT運用コントロール

IT運用管理運用オペレーション手法

情報セキュリティ管理

暗号技術、セキュリティと個人情報、情報セキュリティ管理、セキュリティ技術の理解と活用、セキュリティ方針の策定、セキュリティ対策基準の策定、情報セキュリティ対策セキュリティシステムの計画策定、セキュリティシステムの要件定義、情報倫理とセキュリティ

システム運用管理セキュリティ障害管理セキュリティ障害（事件事故/インシデント）管理

資産管理・評価

資産管理規定の策定

資産管理に関する手法

資産管理プロセスの実施

資産管理に関する手法

事業継続マネジメント

事業継続計画の策定

BCP策定手法、災害対策管理手法


情報セキュリティ戦略と方針の策定

リスク管理手法

情報セキュリティの運用

情報セキュリティ管理手法

情報セキュリティの見直し

リスク管理手法

契約管理契約締結管理契約事務手法

コンプライアンス管理方針と体制内部統制

実施と評価セキュリティ関連法規

調達・委託委託業務管理セキュリティ関連法規

冊子の紹介（つづき）研修コースのつくりかたを紹介

22

独自スキルカテゴリ

①情報セキュリティ技術の概要

②情報セキュリティマネジメントの構築

③情報セキュリティマネジメントの運用

④情報セキュリティマネジメントの評価・改善

タスク大分類タスク中分類

システム企画立案情報セキュリティ要件定義

システム要件定義・方式設計

システム化要件定義

IT運用コントロール IT運用管理

情報セキュリティ管理

システム運用管理セキュリティ障害管理

資産管理・評価資産管理規定の策定

資産管理プロセスの実施

事業継続マネジメント事業継続計画の策定


情報セキュリティ戦略と方針の策定

情報セキュリティの運用

情報セキュリティの見直し

契約管理契約締結管理

コンプライアンス管理方針と体制

実施と評価

調達・委託委託業務管理

情報セキュリティ管理者に求められるタスク

情報セキュリティ管理者に求められるスキル

独自スキルカテゴリ

ｉコンピテンシディクショナリ

タスクに紐づくスキルの抽出

関連するスキルの独自カテゴライズ


・ i コンピテンシディクショナリを活用した

自社コースの作り方を紹介


・経営者に情報セキュリティ人材育成を

動機付けるために

「職場の情報セキュリティ管理者のための

スキルアップガイド」冊子

①標的型攻撃 ②内部不正 ③インターネットバンキングの金銭被害 ④不正ログイン

対策１対策２対策３：：：

タスク１タスク２タスク３：：

＜脅威群＞＜対策群＞＜情報セキュリティ管理者の業務＞

関連する対策関連するタスク

冊子の構造

＜ポイント＞・「情報セキュリティ管理者」の役割と必要性を解説・最近の脅威を例に必要な対策やチェックリストを紹介

23

A4判、24ページ、無料、 IPAWebサイトからダウンロード可能


冊子の紹介（つづき）見開きで脅威から対策、業務までを紹介

24

脅威

対策群

情報セキュリティ管理者の業務

出典：「職場の情報セキュリティ管理者のためのスキルアップガイド」


まとめ

• 深刻化するサイバー攻撃から機密情報を守るには、

情報セキュリティマネジメントを実施することが重要。

25

• 情報セキュリティマネジメントに必要な知識の

習得や育成のために、IPAのツールをご活用ください。

新試験がわかる

パンフレット

経営者・人材育成

責任者向け啓発用冊子

情報セキュリティ管理者の育成に向けた

参考書


参考情報：IPAホームページ

• 情報セキュリティ人材育成関連情報 http://www.ipa.go.jp/jinzai/hrd/security

– IPAトップ＞IT人材の育成＞情報セキュリティスキル強化についての取り組み

• 「情報セキュリティ強化対応スキル指標」ver2

• IT人材における情報セキュリティの育成ニーズ・課題調査書

• 「ITのスキル指標を活用した情報セキュリティ人材育成ガイド」冊子PDF版

• 「情報セキュリティスキルアップガイド」冊子PDF版

• 「情報セキュリティスキルアップハンドブック」前半PDF版

26

• 情報処理技術者試験情報 http://www.jitec.ipa.go.jp/index.html

「情報セキュリティマネジメント試験」専用Webページ(http://www.jitec.ipa.go.jp/sg/)

http://www.ipa.go.jp/jinzai/hrd/security

http://www.jitec.ipa.go.jp/index.html


27

「ｉパス」は、ITを利活用するすべての社会人・学生が備えておくべき

ITに関する基礎的な知識が証明できる国家試験です。

ITパスポート公式キャラクター

上峰亜衣（うえみねあい）

【プロフィール：マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html


28

Windows Server 2003のサポートが2015年7月15日に終了しました。

サポート終了後は修正プログラムが提供されなくなり、脆弱性を悪用した攻撃が成功する可能性が高まります。

周辺ソフトウェアもサポートが順次終了していくため、あわせて対策が必要です。

サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの

影響調査や改修等について迅速な対応をお願いします。

会社の事業に悪影響を及ぼす被害を受ける可能性があります

IPA win2003 検索詳しくは

なおWindowsXPを利用されている方はサポートが継続しているOSへの移行検討をお願いします

脆弱性が

未解決なサーバ脆弱性を

悪用した攻撃

ホームページの改ざん

重要な情報の漏えい

他のシステムへの攻撃に悪用

業務システム・サービスの停止・破壊

データ消去

Windows Server 2003のサポート終了に伴う注意喚起


29

IPA ソフトウェア高信頼化センター(SEC) Software Reliability Enhancement Center , Information-technology Promotion Agency , Japan

で、

IPA/SECの事業内容やセミナー動画をCheck！

●SEC事業紹介

http://www.ipa.go.jp/sec/about/index.html

●SECセミナーオンデマンド

http://sec.ipa.go.jp/seminar/ondemand/

Twitterで、

IPA/SECの最新情報をCatch！

https://twitter.com/IPA_SEC

アカウント名：＠IPA_SEC

SWE iPediaで、

IPA/SECの事業成果をSearch！

探したい情報を

分類やキーワードで検索！

http://sec.ipa.go.jp/sweipedia/

IPA/SECウェブサイトで利用者登録！

IPA/SECウェブサイトから利用者登録（無料）をすると、

メルマガ・DMの購読や、セミナーの参加申込み、ツールの

利用などができます。

是非、ご登録ください！

https://sec.ipa.go.jp/entry/index.html

↓詳しくは、SECウェブサイトをClick！

ソフトウェア高信頼化センター検索

Documents

IT人材育成本部 - ipa.go.jp · 「itによる対策（技術面の対策）」 だけではなく、適切な情報管理や 従業員の意識向上等の 「人による 対策（管理面の対策）」についての

IT人材育成本部 - ipa.go.jp · 「itによる対策（技術面の対策）」だけではなく、適切な情報管理や従業員の意識向上等の「人による対策（管理面の対策）」についての