成長できない10のネガティブ特性

日経コンピュータ No.858 2014.4.17号に成長できない「10のネガティブ特性」が書いてあったのでメモします。
自分にも思い当たる節があるため、対策を考えないとなと思いました。

1. 考えない、悩まない、思考停止
2. 動かない、実行できない、立ち尽くす
3. 柔軟性がない、頑固である
4. 発信できない、働きかけない、共有できない
5. 人の話を聞かない、傾聴できない
6. 自分本位、思いやりがない、人間音痴
7. 想像力がない、発想が貧困である
8. 目標がない、目的がない、夢がない
9. 計画性がない、段取りが悪い
10. 状況を把握できない、どの位置にいるのか分からない 

情報セキュリティ人材育成セミナー＆SANS/CISSP体験セミナー

情報セキュリティ人材育成セミナー＆SANS/CISSP体験セミナー

日程：2014/05/19(月) 14:00～16:30
場所：〒100-0004　東京都千代田区大手町1-7-2
    大手町サンケイプラザ　ルーム３１１、３１２

○情報セキュリティ人材の必要性と求められるスキル・養成方法
・ヒューマンエラーに関するセキュリティ事故がやはり1番。
・クラウド、SNSのセキュリティを考える必要あり。
・セキュリティ人材育成をどの業種でも重要視している。
・グローバル企業の方がセキュリティ対策、意識が高い。
・数年前と比べて、セキュリティに関する業務量が増えてきている。また、多様化していてスキル不足になっている。
・一方で、社内・アウトソースで人を増やす傾向にはなっていない。
　少数精鋭を目指したいというのが、企業全体の傾向。
・情報セキュリティ対策に関する業務のカバー範囲・体制を決定する。
　インソースとアウトソースの範囲を明確に。
　現実的にすべてを自社でやるのは不可能。(コスト・人材・情報的に)
・近年のインシデントは緊急性を伴うことが多くなっている。インシデントマネジメントをできる人が社内にいないと対応が間に合わないケースが増えている。
・DoD Directive 8570 はアメリカの国防総省のセキュリティ指針。業務に対して特定の資格がないと対象業務のデータにアクセスできないというもの。
・NICEは情報セキュリティの業務を7分野31タスクに分類し、それぞれに必要なスキルとスキルを身に着けるプランを定義したもの。
・1社ではセキュリティの脅威に対抗できなくなっている。また、ソリューションだけでも対応できなくなり、人がどう運用していくか検討する必要がある。
・セキュリティの担当者は必要でその人にしわ寄せが発生しないような制度設計が必要。

○SANS Instituteの情報セキュリティ人材育成プログラム
・情報セキュリティに関する全範囲を対象とした研修制度
・座学ではなく、ハンズオンベースの研修
・講師は第一線で活動する技術者。
・SEC401はセキュリティ担当者が最初に受けるものだが、具体的な技術を学ぶため、一般企業ではこれだけ受けておけばセキュリティマネージャとして活動できるレベルになる。
・FOR508はインデントハンドリングをやったことのある人がより具体的に技術を学ぶための研修。解析がメインになる。
・ICS410は産業制御システム用のコース。今までなかったもので今年から開催。
・SEC504はセキュリティの防御を検討する人、インシデントハンドラーが受講するコース。ハッキングツールを使って実際にハッキングをし、その際の対策を学んでいく。


○(ISC)2と認定資格について：CISSP体験セミナー
・グローバルで運営されるNPOで情報セキュリティのプロフェッショナル認定をしている。
・定期的なアップデートが必要。
・cbk　情報セキュリティの知識体系
・CISSP認定はCBKの理解度を測る。
　合理的かつ実践的な知識、理解度を測る。
・SSCPは情報セキュリティの実務用。
・CSSLPはソフトウェアの信頼性を保つためのもの。
・実務経験がないと準会員。実務経験によって会員になれる。


○その他
・SANS/CISSPは日本に来て10年。これ以上高度な資格はないと言われている。