概要:
本講座では、安全米国国家保障局(NSA)が、組織における情報セキュリティについてアセスメントを行う際に使用している方法論を紹介する。ここでは、顧客組織の任務、その任務を支える重要情報、それらの情報がどのように保護されるべきかに関する規制や法制度、などに焦点を絞る。InfoSecアセスメント方法論(IAM)は、どのような組織でも適用できる柔軟性があり、特定の法規制などからも独立したものである。IAMはレベル1評価を行うベースラインとして使われるよう作られている。
本講座の目的:
- これは方法論の講座であり、情報セキュリティ産業全体で繰り返して利用可能なプロセスを構築することが、本講座の目的である。これは、様々なベンダーを利用する場合に、情報セキュリティを必要とする顧客がそれらベンダーに何を期待できるのかがわかるようにすることである。ただしこれは、すぐインプリメントできるようなビジネスプロセスと考えるべきではない。
- NSA IAMは重要情報に焦点を当てている。受講者は、組織の任務、その任務にとって重要な情報、その情報がどこに存在するか、の特定の仕方、情報を失った場合になにが起こるのかを学ぶ。
- NSA IAM講座は、ツールを使う講座 *ではなく*、ポリシー、手順、情報の流れに焦点を当てる講座である。本講座で使用されるアセスメント・プロセスには、必要書類のレビュー、対面調査テクニック、および組織の管理職や人々と直接やりとりを行う方法、などが含まれる。ツール類については、レベル2 NSA方法論となるINFOSEC評価方法論(IEM)で詳しく取り上げる。
- この講座では、実際の例をいくつか紹介する。たとえば、米国国防省関連、連邦政府関連、公共サービス関連、病院関連、金融業界、教育業界などである。これらでアセスメント系の作業が実行される際のいくつかの問題について洞察する。
- この講座では、NSAプログラムの創成期から携わっている、熟練した専門家がインストラクターとしてNSA方法論を講義する。本講座は「この作業にはどのようにアプローチするか」、「なぜそれが問題となるのか」、「なぜ警戒しないといけないのか」といった視点から構成されている。
- この講座は、認定証が発行される講座である。下記の認定証の授与要件を満たす受講者は、NSAが発行するIAMに関する認定証を受ける資格がある。下記の要件を満たすと考える受講者は、資格があることを証明できる履修登録書類を事前に提出する必要がある。
本講座で予想しうること:
NSA IAM講座は、インタラクティブかつ形式張らない講義形式である。受講者には、授業の1時間目から内容に積極的に参加することが求められる。参加者全員プロフェッショナルであるので、それぞれの専門分野での多様な経験、知識、背景を持ち寄るのことになる。それをもとに講座内容に密接に関連したディスカッションが行われるので、受講者は意見を出せるように心構えをしておく必要がある。
講座の進め方:
受講者は、グループを形成する形で、IAM方法論の各セクションについて順番に触れて行きながらNSA IAMを学ぶ。各グループは、NSA IAMを適用する組織(公共サービス、病院、金融、軍、研究所など)を、シナリオケースとして割り当てられる。グループ演習は二日間で三回。講義は、パワーポイントスライド、レクチャー、映像、といった形式で提供される。2日目の講座終了時に最終テストが行われる。
認定証:
認定証授与を希望する受講者は下記の要件を満たす必要がある。
- 二日間のクラスすべてに参加すること
- クラスでのディスカッションやグループエクササイズを通じてIAMの理解が示されること
- IAMテストで一定のグレード(70%以上)を得ること
- 情報セキュリティ(INFOSEC)、通信セキュリティ(COMSEC)、コンピュータ・セキュリティのいずれかの分野で5年以上の経験があること
- その5年の内2年は、コンピュータシステム、ネットワーク脆弱性、セキュリティ・リスクの分析に直接的に携わった経験を持っていること
- 申し込みに際して、参加登録時に現在までの経歴を記入した「Registration Packet(NSAIAM登録申込書(記入方法ガイド付))」を、ブラックハット総合事務局(Fax番号:020-4669-6973)に送ること。書類はSecurityHorizon社を経由してNSAにより審査される。
- 日本でのトレーニングでは米国国籍を有する必要はない。日本国籍の受講者にも認定証は発行される
備考:
- テスト内容は日本語訳が並記される。選択問題等の形式を予定している
- テストはオープンブック形式で行われる。テスト時に辞書、テキスト、資料などが持込可能
- CPEクレジットは受講者自身で申請すること。1日8時間として提出が可能
|