1. 情報セキュリティマネジメントの推進又は支援に関すること（7/7）～関係者とのコミュニケーション～

1-7 関係者とのコミュニケーション

概要　(引用)

組織内の課題及び必要な対策といった情報セキュリティに関する情報を，経営層ほか組織内の各層に伝達し，コミュニケーションを促進する。
組織内の情報システムに影響を及ぼす情報を情報システム部門に伝達し，必要な検討，調整が行われるようにする。
外部のセキュリティ機関，情報共有コミュニティ，組織内外の関係者との連絡窓口となって，情報の入手及び提供を行う。

要求される知識

・ セキュリティ機関（JPCERT/CC，警察，監督官庁，NISC，IPAなど）に関する知識
・ サイバー情報共有イニシアティブ （JCSIP），サイバーレスキュー隊（J-CRAT）に関する知識
・ 情報セキュリティ早期警戒パートナーシップに関する知識

要求される技能

・ 情報セキュリティのコミュニティ，イベントに参加し，情報の入手及び提供を行う能力
・ 様々な立場の関係者とコミュニケーションする能力
・ 連絡窓口として，組織内外の情報連携を担う能力
・ ISAC，他のCSIRTなどと情報共有する，及び共有した情報を活用する能力

• 引用元
  • 情報処理推進機構　「情報処理安全確保支援士試験（レベル４）シラバス－ 情報処理技術者試験における知識・技能の細目 Ver.2.1（2023年12月25日掲載）
  • https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014ir-att/syllabus_sc_ver2_1.pdf

セキュリティ機関に関する知識

セキュリティ機関は、情報セキュリティに関する脅威の監視、インシデント対応支援、ガイドライン提供、啓発活動などを行う組織であり、情報処理安全確保支援士が外部連携や情報収集を行う上で重要な存在です。
以下に、主要な日本国内のセキュリティ機関について説明します。

1. JPCERT/CC（Japan Computer Emergency Response Team Coordination Center）

• 役割：日本のCSIRT（Computer Security Incident Response Team）として、民間セクターのインシデント対応を支援する。
• 主な活動：
  • インシデント（不正アクセス・マルウェア感染等）の初動対応支援と情報共有
  • 脆弱性情報の調整・公表（JVN – Japan Vulnerability Notes）
  • 海外CSIRTとの連携・調整（国際的なインシデントの橋渡し）
• 特徴：中立的・非営利の立場で活動しており、企業や組織との連携を重視。

2. 警察（都道府県警察／警察庁）

• 役割：サイバー犯罪の取締り・捜査、被害の未然防止、情報提供。
• 主な活動：
  • 不正アクセスや詐欺、ランサムウェアなどのサイバー犯罪の捜査
  • 「サイバー警察局」や「サイバー特別捜査隊」など専門組織による高度対処
  • 企業・団体に対する注意喚起・セキュリティ啓発資料の提供
• 特徴：捜査権限を有し、法的措置を伴う対応が可能。

3. 監督官庁（総務省、経産省、金融庁など）

• 役割：業種ごとに情報セキュリティ対策の政策・ガイドラインの策定・監督を行う。
• 主な例：
  • 金融庁：金融機関向けのセキュリティ対策ガイドライン（FISCなど）
  • 総務省：電気通信事業者に対するセキュリティ基準や通信の秘密保護
  • 経済産業省：産業界に向けたサイバーセキュリティ施策
• 特徴：行政的指導力をもち、法制度の整備も担当する。

4. NISC（内閣サイバーセキュリティセンター：National center of Incident readiness and Strategy for Cybersecurity）

• 役割：日本政府全体のサイバーセキュリティ戦略の策定と指揮を担当。
• 主な活動：
  • 国家のサイバーセキュリティ基本戦略の立案・実行
  • 政府機関へのセキュリティガイドライン提供、統一監査
  • サイバー演習（CYDER）などを通じた訓練の提供
• 特徴：内閣官房直属で、国家レベルの対応力・戦略策定を担う。

5. IPA（独立行政法人 情報処理推進機構）

• 役割：情報セキュリティ対策の啓発、脆弱性管理、試験制度などを通じて企業・国民全体のセキュリティ水準の向上を支援。
• 主な活動：
  • セキュリティ対策情報や手引きの提供（例：中小企業向けセキュリティ対策ガイド）
  • 脆弱性関連情報の収集・分析（JVN iPedia）
  • 国家試験（情報処理技術者試験）の実施と支援士制度の運営
• 特徴：公的支援機関として、中立性と実務的サポートが強み。

情報処理安全確保支援士との関わり

• 情報収集：上記機関からの脆弱性情報、脅威情報、法制度の改正内容を収集・分析する。
• 連携窓口：インシデント時にJPCERT/CCや警察と連携し、早期対応や被害抑止を図る。
• 啓発・教育：IPA等が提供する教材や演習を活用し、組織内のセキュリティリテラシー向上を支援。
• 政策対応：NISCや監督官庁の方針に基づいた対策を、組織に導入・推進する。

まとめ

情報処理安全確保支援士は、JPCERT/CC、警察、NISC、IPAなどの公的セキュリティ機関との連携を通じて、的確な情報収集と実効性ある対策実施を主導する役割を担います。
これらの機関の特性や機能を理解して活用することは、組織の情報セキュリティを確保するうえで不可欠です。

関係者とのコミュニケーションについて

情報処理安全確保支援士における関係者とのコミュニケーションの役割は、情報セキュリティに関する情報や対策を、組織内外の多様な関係者に対して適切に伝達・調整・連携することにあります。
以下の3つの観点から説明します。

① 組織内の階層ごとの伝達・調整

情報処理安全確保支援士は、組織内の各層（経営層～現場部門）に対して、役割や関心に応じた適切な情報伝達を行い、セキュリティへの理解と行動を促進します。

• 経営層には、リスクの影響や法令違反時の損失など、経営判断に資する観点から伝達。
• 業務部門には、現場の運用に即したリスクや必要な行動（例：標的型攻撃の回避策）などを説明。
• 情報システム部門には、脆弱性情報やシステム構成変更の必要性を技術的に具体的に伝える。

このように階層ごとに伝達する内容・言葉・タイミングを調整することが求められます。

② 組織内の調整・連携の促進

支援士は、情報セキュリティに関する施策や対応が円滑に進むよう、部門間の調整役としての役割も担います。

• 例）セキュリティ対策導入時に、業務部門と情報システム部門の間で要件・影響の調整を行う。
• 例）インシデント発生時に、関係部署との対応手順を整理・調整し、速やかな対応を支援。

これにより、セキュリティ対応が「一部門の問題」にならず、組織全体の取り組みとして進められるようになります。

③ 外部機関・コミュニティとの情報連携

支援士は、外部のセキュリティ関連機関やコミュニティとの窓口としての役割も果たします。

• 例）JPCERT/CC、IPAなどからのインシデント情報や脆弱性情報を収集し、組織内に展開。
• 例）業界のISAC（Information Sharing and Analysis Center）に参加し、他組織との情報共有を通じて早期の脅威認知・対応を可能にする。

また、外部から得た情報をもとに、自組織の状況を再評価し、必要な対応を促すといったフィードバックサイクルを確立することも重要です。

まとめ

情報処理安全確保支援士の関係者とのコミュニケーションは、単なる情報伝達にとどまらず、

• 組織内の合意形成と対策の実行を促す調整力
• 外部との情報連携による知見の強化
• 立場ごとに適切に伝える説明力

といったスキルを活かし、セキュリティを組織全体で継続的に改善していくための橋渡し役として機能することが求められます。