情報セキュリティ管理に関係する資格を取りました
最近、このブログもなかなか更新できずにいました。仕事をしながらMBAでQuantitative AnalysisやらInformation System ManagementやらOrganizational Behavior、 Managerial Accountingを勉強していました。MBAを経験してきた色んな諸先輩方から、「仕事しながらのMasterはマジできついから覚悟しておけよ」と恐怖しか感じ得ないアドバイスを頂いていましたが笑、なんとか生きています。
そして、仕事と学業の合間に資格の勉強もしていました。ISO27001、情報セキュリティ管理に関する資格です。(正確にはInformation Technology – Security Techniques – Information Security Management Systems – Requirements)この日本に合わせた規格がJIS27001です。資格の種類も、Foundations・Internal Auditor・Lead Implementer・Lead Auditor等と色々あるのですが、監査団体での勤続経験を要するLead Auditor以外のISO27001に関する資格は全部取ってしまおうかと考えています。
トレーニング受講料が割高
これらの資格を取るにはトレーニングを受けるのが一番早いです。僕はタイ語はできないので、必然的に英語のトレーニングになり、割高になります。値段も一番安いコースでも15万から始まり、Lead Auditorを除く最上位コースのLead Implementerコースは30万ほどです(タイ語だと10万ぐらいでおさまります)。さすがにそこまでの受講料は大学院に行きながらはきついと思い(全部のコースを受講したら60万円近く行きそう・・・)、自分で勉強して、テスト代だけ払って資格を取ろうという作戦に切り替えました。そうすると、受験代は7-8万円くらいにおさまりそうです。(資格系は高いですね)
資格を取った理由
もともとISO27001について体系的に知る必要に迫られていたのですが、折角なので資格も取ってしまおうと思って取得しました。何かを提案するにあたって「役に立つことが目に見えているもの」でも、当然のことながら論理武装をしなければなりません。国連においてはそれが顕著だと思うのですが、その論理武装の後ろ盾にこういった国際標準規格などを持ってこれるといいのではないかと思うようになったからです。マスターもそうですが、将来役に立ちそうな武器を増やしたいと思っています。
国連で役に立ちそうな資格
- ITIL
- CISA
- ISO関連(27001, 9001, 22301, 20001)
- Cisco関連
- PRINCE2 Foundation & Practitioner
今のところ僕が取得したいと考えている資格です。お金がいくらあっても足りなそうです(汗)。
追記:その後PRINCE2の資格を取得しました。オススメですので、ぜひ「国連で推奨されているプロジェクトマネジメントフレームワーク「PRINCE2」」をご覧ください。
関連記事 >>「国連で推奨されているプロジェクトマネジメントフレームワーク「PRINCE2」」
国連の情報セキュリティに関して
ISO27001を踏まえた上で、国連の情報セキュリティポリシー(全てネットに公開されています)を読むと、国連の情報セキュリティポリシーはISO27001をだいたい網羅しています。情報セキュリティの中にはISO27001を引用しているものもあるくらいです。例えば下記のようなものがあります。
- 機密情報とその取り扱いに関して
- ストレージの破棄に関するガイドライン
- 侵入検知システムに関して
- 暗号化のガイドライン
- アクセスコントロール
- ウェブサイトの最低限遵守すべきセキュリティに関して
- マルウェアからの保護
- リモートアクセス
- 監視とログに関して
- 災害復旧
他にもまだありますが、上記が代表的なポリシーです。これらのポリシーは現在では世界全体の国連で遵守すべきポリシーですが、実はこれらのポリシーができたのは最近のことです。それまでは各ローカルのオフィスでポリシーを定めていたのでしょうか…?(ポリシーという言葉を使いすぎて、段々ポリンキーに見えてきました…。)
全世界共通の情報セキュリティーポリシーも最高情報技術責任者ができたのも最近
国連のICT(情報コミュニケーション技術)に関して、大きなターニングポイントになったのは2014年の国連総会でしょう。2014年の国連総会にてICT戦略に関する決議がなされました(初めての快挙だと聞いています)。この記念すべき総会にて、CITO(最高情報技術責任者)が誕生します。
長期的なICT戦略が定められ、まだ道半ばです。例えば、下記のようなことが行われています。
- 情報セキュリティポリシーに準拠する組織づくり
- インターネットフィルタリング(仕事に関係のないサイトや害のあるサイトの閲覧制限)
- メールアドレスの統一(国連には沢山のメールドメインがあります)
- 2000近くあるアプリケーションを200以下に減らす(統合)
- グローバルヘルプデスクを作って、ローカルのヘルプデスクを減らす
- BIの導入
- リージョナルテクノロジーセンターの設立と機能強化
等々が挙げられます。私の国連での仕事 その1でもそのICT戦略の一部について説明しています。
ここで紹介した情報セキュリティに関しては国連事務局がその範囲
総会・安全保障理事会・経済社会理事会・事務局・国際司法裁判所・信託統治理事会が国連の主要機関ですが、今回紹介したのはその中でも事務局に所属する機関のみがその適用範囲です。日本人にとって馴染み深いUNICEF、UNHCR、UNESCO、UNDP等はその対象になりません。これらの機関はそれぞれ独立してICTを統括しているようです。同じITでもこんなに使い方の差があるのかとびっくりしたことがありました。
国連組織に関することは、まだまだ僕には複雑でなかなかその全貌がつかめません。色んな方々と話をしながら、少しずつ紐解いていきたいと思いますが、全容を把握できる日が来るのでしょうか・・・。
