※10/27-28は所用があり、まとめ記事配信はお休みとなります
先日IPAの情報セキュリティ読本が改訂されるとの情報が出ていました。五訂版は職場に置いてあったので見た事があったのですが、どういったポイントで改訂されたのかが気になり、早速入手し読んでみました。
IPA出しているだけあって、内容は読みやすく、情報セキュリティの基本的なポイントを押さえるのには良い本だと思います。何より本が”薄い”のが個人的には好きなポイントで、教育資料を作る際や用語定義を拾ってくる必要がある際などに見るのに向いていると思います。また、あまりセキュリティ分野の知見が無い方に、まず読んでもらう資料としても利用価値が高いかも知れません。
今回の改訂では、テレワークやゼロトラスト等の内容が加えられており、最近の脅威については冒頭の第1章では「今日のセキュリティリスク」としてWebサイトへの不正コード(情報窃取やカード情報漏えい)、巧妙化するフィッシング詐欺、増加するビジネスメール詐欺、ランサムウェアによる被害、共犯者のネット募集、テレワーク環境への攻撃、ゼロトラストやソーシャルエンジニアリング攻撃はコラム部分でトピックスとして取り上げられていますが、さらっとした説明で全体構成はあまり変わって無い様に感じます。
例えば第1章ランサムウェア攻撃のパートでは2019年頃から増えてきた二重脅迫について触れられていますが、バックアップの重要性は強調されておらず、また、侵入ポイントであった修正パッチ管理は、テレワ―ク環境への攻撃の事例で紹介するに留まっています。セキュリティの考え方についてのベースもISMS中心で(それが間違っている訳ではありませんが)、CSFの考え方は説明に入って無い様に思えるのは少し残念な所です。
サイバー攻撃に詳しく無い方にはこちらの方が分かりやすいのだろうとは思いますが、多くの有益な情報を日々発信するIPAであれば、もう少し”改訂内容を手厚くする”事が出来たのではないかとも思えます。
とは言え、むしろ、そうして興味(疑問)を持った方は、IPAサイトでの発信を見て欲しいといったIPAの隠れた意図(孔明の罠)なのかも知れませんし、読本レベルで期待すべき内容を逸脱する気もしますので、内容を参考にさせて頂きつつ、(教育教材作成などで)内容を手厚くする必要があると判断した部分は、別な資料や、インシデント事例などを引用するのが良いのかと思っています。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
