ここで言われていることは、セキュリティ業務を行う者としては、組織の倫理規約を理解し、それに基づいた行動をすることが大事ということ。

以下、職業倫理について

職業倫理を守ることで結果的に自分の利益につながる。

そのために、職業上のガイドラインを守ること!

職業倫理は法律などに基づいて作られている。

ISC2の倫理規約

CISSPに認定された者は、以下のことが期待されている。

  • 社会、一般大衆の福利、およびインフラを保護する
  • 公正かつ誠実に責任を持って合法的に行動する
  • 当事者に対して、十分かつ適切なサービスを提供する
  • 専門知識を高め、維持する

https://japan.isc2.org/isc2_ethicsagreement.html

何でここまで強く言うのかというと、セキュリティ専門家ともなると、機密情報や外部に漏れるとまずい情報を扱うポジションであるから。

CIA、真正性、否認防止、プライバシー

機密性、完全性、可用性は情報セキュリティでは忘れてはならない、三要素。

  • 機密性:許可された者だけが情報にアクセスできるようにすること
  • 完全性:情報が改ざん、破壊されない
  • 可用性:いつでも情報にアクセスできる状態

真正性とは、情報が信用できるものであることが証明されている。

つまり、真正性があるということは、その情報は本物と言うこと。

否認防止とは、後から否定されないように証拠を持っておくこと。

ユーザーの行動ログを取っておくなど。

プライバシーとは個人の秘密にしたい情報などを指す。

OECDのプライバシー基本8原則

  • 収集制限の原則
  • データ内容の原則
  • 目的明確化の原則
  • 利用制限の原則
  • 安全保護の原則
  • 公開の原則
  • 個人参加の原則
  • アカウンタビリティ

セキュリティ分野でいう安全性とは、情報を安全に保全できるという意味。

デューケアとデューデリジェンス

デューケアとは

人が自分に与えられた仕事や責任を計画し、遂行するために、すべての合理的かつ慎重な行動をとることを要求するもの。

デューデリジェンスとは

責任のある計画や行動を監視、制御、管理し、必要に応じて方向転換や変更を行うために、あらゆる合理的かつ慎重な行動を求めるもの。

何のこっちゃ?って感じですが、デューケアは正しい行動を正しいタイミングで行うこと。

デューデリジェンスは何をすべきかを知り、そのための計画を立てること。

これでもまだ、何のことか分かりにくいw

デューケアはケアとついてるぐらいなので、リスクや問題から守ること。

デリジェンスとは努力するという意味で、デューデリジェンスは問題を知ろうとすること。

  

今日はここまで。

やっぱ英語知っておくことも重要(汗