|
概要:
本講座では、安全米国国家保障局(NSA)が組織の情報セキュリティ・アセスメントを行うに際して使用している方法論を紹介する。顧客組織の任務とその任務を支える重要情報、そうした情報がいかに保護されるべきかに関する規制や法制度に焦点を絞る。InfoSecアセスメント方法論(IAM)は他の規制から独立したもので、いかなる組織でも適用できる柔軟性がある。IAMはレベル1評価を行うベースラインとして使われるよう作られている。
本講座の目的:
- これは方法論の講座であり、すぐ実践できるビジネスプロセスを期待できない。どのベンダーを利用するにしても、情報セキュリティを必要とする顧客がベンダーに何を期待できるのかがわかるような、情報セキュリティ産業全体で今後繰り返し利用可能なプロセスを構築することが、本講座の目的である。
- NSA IAMは重要情報に焦点を当てている。受講者は、組織の任務、その任務に重要な情報、その情報がどこに存在するか、の特定の仕方、情報を失った場合になにが起こるのかを学ぶ。
- NSA IAM講座はツールベースの講座 *ではなく*、ポリシー、手順、情報の流れに焦点を当てる講座である。本講座で使用されるアセスメント・プロセスには、必要書類のレビュー、対面調査テクニック、および組織の管理職・人々と直接やりとりを行う方法、などが含まれる。ツールについてはレベル2 NSA方法論となるINFOSEC評価方法論(IEM)で詳しく取り上げる。
- この講座では、実際の例をいくつか紹介する。たとえば、教育業界、米国国防省関連、連邦政府関連、公共サービス関連、病院関連、金融業界などで、こうした作業が実行される際のいくつかの問題について洞察する。
- NSAプログラムの創成期から携わっている熟練した専門家がインストラクターとしてNSA方法論を講義する。本講座は「この作業にはどのようにアプローチするか」、「なぜそれが問題となるのか」、「なぜ警戒しないといけないのか」といった視点から構成されている。
- この講座は認定証が発行される講座である。下記の要件を満たす受講者はNSAが発行するIAMに関する認定証を受ける資格がある。下記の要件を満たすと考える受講者は、資格を証明する履修登録文書を提出する必要がある。
本講座に期待できること:
受講者は、全員がそれぞれの専門分野での多様な経験、知識、背景を持ち寄るので、授業の1時間目から内容に深く巻き込まれるような、双方向かつ形式張らない講義形式である。一方で、講座内容に密接に関連したディスカッションが行われるので、受講者は意見を出せるように心構えをしておく必要がある。
講座の進め方:
受講者は、グループごとにIAM方法論の各セクションをさらいながらNSA IAMを学ぶ。各グループは、NSA IAMを適用する組織(公共サービス、病院、金融、軍、研究所など)を、シナリオケースとして割り当てられる。グループ演習は二日間で三回。講義は、パワーポイントスライド、レクチャー、映像、といった形式で提供される。2日目の講座終了時に最終テストが行われる。
認定証:
認定授与を希望する受講者は、下記の要件を満たす必要がある。
- アメリカ国民であること
- 情報セキュリティ、コミュニケーション・セキュリティ、コンピュータ・セキュリティのいずれかの分野で5年以上、うち2年はコンピュータシステム、ネットワーク脆弱性、セキュリティ・リスクの分析に直接的に携わった経験を持っていること。
| 
