今年も、登録セキスペ（情報処理安全確保支援士）のオンライン講習を受けたので学んだことを簡単にまとめます。

オンライン講習では、企業内のセキュリティ管理に関するプレゼン形式の資料を数百ページ読んで、各セクションごとの選択問題に解答します。

登録セキスペに期待される役割と知識

サイバーセキュリティ基本法に登録セキスペ（情報安全確保支援士）について定められている。

サイバーセキュリティ対策は、経営・戦略マネジメント、システム実務すべてに及ぶ。

登録セキスペとしての倫理を持ち、自己研鑽をする必要性がある。

サイバーセキュリティ体制構築・人材育成

DXにおいても、セキュリティ人材およびセキュリティ体制が必要になる。

業務をわかった上でセキュリティに配慮した体制構築を行う。

セキュリティアーキテクチャ

システム企画段階からセキュリティを考慮した設計「セキュリティ・バイ・デザイン」の重要性。

全フェーズで一貫したセキュリティを確保をしなければならない。

セキュリティーアーキテクチャの4つの特性を保持したシステム開発。

・「セキュリティドメイン」・・・保護すべき領域
・「自己保護」・・・製品自体が自分自身を保護する機能
・「非バイパス性」・・・セキュリティを回避できないようにする
・「セキュアな初期化」・・・起動時などもセキュアに起動する

ゼロトラストへの移行と境界型セキュリティの共存。ルータやWAFで境界を防ぐ境界型セキュリティだけでなく、ゼロトラストを共存させる。

なるべく業務に影響がないように、ゼロトラスト・セキュリティモデルを段階的に導入する。

データバックアップとセキュリティ

ランサムウェア（身代金要求型ウイルス）に感染した場合も、バックアップから復元可能。

しかし、業務の影響を考慮してバックアップをする必要がある。

また、バックアップがウイルスに感染しないようにセキュアに保存されている必要がある。

システムや業務を考慮して、オンライン保存、ディスクやテープによるオフライン保存、またはその両方を行う。

リストア（復元）についても、バックアップが汚染されていないことを確認した上で、手順の作成だけでなく日頃からリストアの訓練をしておくことが肝要。

倫理とコンプライアンス

登録セキスペとして倫理的な行動をとる。

例えば、社会的な要請を意識した行動、法の定めのない状況での客観的な倫理の検討、所属組織が倫理的な判断を行えるように努める。

コンプライアンスの遵守。

例えば、サイバーセキュリティと内部統制に関する法制度の理解し、コンプライアンスの実現に向けた行動の徹底やコーポレートガバナンス・コードやステークホルダー理論を理解して、所属組織と利害関係者との適切な関係を構築する。