情報資産に対する脅威と対策②-②
情報セキュリティ管理士認定試験公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2016年1月16日アクセス)の「Chapter Ⅲ 情報資産に対する脅威と対策②」の内容の一部を独自にまとめてみました。
(↑記事は読み飛ばしていただいても結構です。)
(脅威)
インターネットや電子メールなどのネットワークを介しての情報に対しての脅威としては、盗聴(ネットワーク上の情報を盗み取ること)、不正アクセスや盗聴などによる漏えい、ファイルやデータの改ざんなどな考えられます。また、なりすましによっての不正アクセスや情報の漏えいなども考えられます。
フィッシング・・・クレジット会社等の正規メールやWebサイトを装い、暗証番号やカード番号などを詐取する詐欺。
コンピュータウイルス・・・ワーム(ネットワークを通じて他のコンピュータに伝染)、トロイの木馬(一見無害なプログラムを装う)、ボット(ネットを通じてコンピュータを外部から操るソフトウェア)、また、Winnyなどのファイル交換ソフトを悪用したウイルスがあります。
スパイウェア・・・コンピュータに保存されている個人情報やアクセス履歴などの情報を収集するプログラム。
anonymous(匿名)FTP(File Transfer Protocol)・・・不特定多数が利用できるサーバで、第三者による不正中継に悪用される危険があります。
(対策)
盗聴・漏えい・・・暗号(内容が判別できないようにするため)
なりすまし・改ざん・・・デジタル署名、メッセージ認証コード、ユーザ認証(パスワード認証、認証プロトコル(PPP、PAP、CHAPなど))、メッセージ認証(メッセージダイジェスト、PKI、X.509公開かぎ証明書、SSL)
コンピュータウイルス・スパイウェアなど・・・既知のウイルスなどの特徴をパターンファイル(ただし、未知のウイルス(ゼロデイウイルス)については効果がありません。)に登録し、ウイルス検知を行います。ウイルスに感染した場合はコンティンジェンシープラン(緊急時対応計画)にて対応します。
暗号方式には、暗号化と復号化に同じかぎを用いる共通かぎ暗号方式(必要なかぎ数=n(n−1)/2個)や異なるかぎを用いる公開かぎ暗号方式(必要なかぎ数=2n個)があります。
代表的な共通かぎ暗号方式には、DES(強度に問題あり)、AES(DESの後継)、RC(高速処理が可能)などがあり、代表的な公開かぎ暗号方式には、RSA(最も代表的な暗号方式)、楕円曲線暗号方式、DSA(デジタル署名に利用)などがあります。
情報資産に対する脅威と対策②-①
情報セキュリティ管理士認定試験公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2016年1月11日アクセス)の「Chapter Ⅲ 情報資産に対する脅威と対策②」の内容の一部を独自にまとめてみました。
(↑記事は読み飛ばしていただいても結構です。)
【コンピュータ利用に関する脅威と対策(例)】
(脅威)
コンピュータ利用に関する脅威としては、パスワードの悪用をきっかけとした不正侵入によるものが考えられます。パスワード取得のためには、辞書攻撃、ブルートフォース攻撃、オンライン攻撃、オフライン攻撃や、なりすまし、スキャベンジング、ショルダーハッキングなどのソーシャルエンジニアリングが行われます。
辞書攻撃・・・パスワードになりそうな文字列や辞書に載ってる単語を試す手法。
ブルートフォース攻撃・・・パスワードに考えられる全ての組み合わせを試す手法。
オンライン攻撃・・・動作しているコンピュータにID・パスワードを順に送る手法。
オフライン攻撃・・・パスワードを格納している、もしくは、パスワードがかけられているファイルを入手する手法。
なりすまし・・・上司等のふりをして電話等でパスワード等を聞き出す手法。
スキャベンジング・・・ゴミ箱をあさるなどしてパスワード等を収集する手法。
ショルダーハッキング(ショルダーサーフィン)・・・パスワード等を入力する様子を背後等からのぞく手法。
ソーシャルエンジニアリング・・・技術的攻撃をかけるのではなく、パスワード等を知る人間やその周辺から入手する手法の総称。
(対策)
ユーザーID・パスワードについては、複数人で共有させない、IDごとに、適切な長さの、類推しにくい文字列のパスワードを設定、初期パスワードを速やかに変更し、その後もパスワードを定期的に変更、紙などに記録しない、という管理が重要です。
また、アクセス管理を行うことにより、外部からの脅威を軽減できます..。アクセス管理には、セキュリティ管理者のみアクセス権限を変更でき、高レベルでセキュリティを確保できる、強制アクセスコントロール(MAC : Mandatory Access Control)方式や、セキュリティ管理者が対象となる情報資源の所有者にアクセス権限の設定をゆだねる、自由裁量的アクセスコントロール(DAC : Discretionary Access Control)方式があります。
さらに、ログを管理(収集・分析・保管)することによって、不正アクセスを未然に防止することができます。ログとは、コンピュータの利用状況を記録したファイルやデータのことです。
そして、もしも不正侵入によってデータ改ざんや破壊が行われた場合のために、データを定期的にバックアップしておき、そのデータをリストアする必要があります。
**********
昔、情報セキュリティ面でのよくある危険は後ろから覗き込まれること(いわゆるショルダーハッキングというソーシャルエンジニアリングの一つ)だとテレビでやっていて(といってもうろ覚え)、その原始的な方法に驚いた記憶があります。
確かに盗み見というのは、何か情報を得ようとする場合、一番にとるであろう方法であろうし、そうした形で見た人には、その情報を悪用しようという意図が既にある程度含まれる可能性も高いわけです。
情報セキュリティと聞けば「高度」な内容だと感じがちですが、意外と初歩的なことへの意識をもつことが実際は大切であるのかも知れません。
マイナンバー制度について
・本稿は法令(法律や条例)等に関するものですが、その解釈はこのブログ(『自治体職員の勉強ブログ』)筆者である私の独自のものであったり、誤りが含まれている可能性があります。
・法令等は日々更新されるものです。本稿に記載される法令名や条文等が最新のものとは限りませんし、最新情報を漏れなく補っていくことはしません。
・以上はこのブログに関する免責事項ですが、このブログの元となる研修や書籍等に対して上記の責任を帰するものでもありません。しかし、本稿を参考にされる場合、ご自身で書籍や法令等を一度ご確認いただくことを推奨いたします。
・また、このブログに記載されている内容は、このブログの筆者が所属する地方公共団体及び関連するその他の団体の意見を何ら代表するものではありません。
本年もどうぞよろしくお願いいたします。
(✳︎)「マイナンバー」という呼称については、「マイホーム」や「マイカー」のように自主的に獲得するものではないということから、その「マイ○○」という呼称に対する否定的見解もあります。法令上は「個人番号」や「法人番号」と記載されますが、本稿ではひとまず「マイナンバー」と記載します。
マイナンバー制度の詳細について書けば複雑かつキリがないので、個人的に気になったところをピックアップして書いていきたいと思います。
ただその前に、マイナンバーについて簡単に書きます(ただし、説明については厳密性に欠けることを先にお詫びしておきます)。
マイナンバー(ここでは、法人番号を除く)は、日本に住所を有する国民(新生児含む)及び一定の外国人に対して配られる12桁の番号で、社会保障・税・災害対策分野及びこれらに類する事務で利用されるとされています。
◯住民基本台帳制度との違い、そして関係は?
マイナンバー ≒ 住民票コード?
情報提供ネットワークシステム ≒ 住民基本台帳ネットワークシステム?
という具合に。
マイナンバー制度は、住基制度と趣旨(情報の管理・連携)を同じにするが、対象範囲は異なる(住基制度は住民情報/マイナンバー制度は行政事務・手続情報)とされます。そのため、マイナンバー制度が導入されても住基制度は廃止されません(ちなみに、マイナンバーは住民票コードを基にして作られています)。ただし、住基カードはマイナンバーカードに今後置き換わっていきます。
◯マイナンバーの安全管理体制はどうなっているのか?
マイナンバー制度で話題になるのは、やはりその情報漏えい等々に関する安全性についてです。
もちろん、完全に安全である状況というのはありえないと思いますが、ひとまず、危険性についてではなく、どのような安全措置が行われるのかを確認したいと思います。
[制度面における保護措置]
- 番号法の規定によるものを除き、特定個人情報(マイナンバーをその内容に含む個人情報)の収集・保管、特定個人情報ファイルの作成を禁止
- 特定個人情報保護委員会による監視・監督
- 特定個人情報保護評価
- 罰則の強化
- マイポータルによる情報提供等記録の確認
- 個人情報を一元的に管理せずに、分散管理を実施
- 個人番号を直接用いず、符号を用いた情報連携を実施
- アクセス制御により、アクセスできる人の制限・管理を実施
- 通信の暗号化を実施
以上、内閣官房ホームページマイナンバー社会保障・税番号制度より(2016年1月1日アクセス)。
◯海外における番号制導入によるトラブル事例は?
海外に目を向ければ、マイナンバー制度に類似した制度というのは既に存在しています(ドイツ、アメリカ、スウェーデン、ノルウェー、フィンランド、アイスランド、エストニア、イギリス、イタリア、オランダ、ベルギー、ハンガリー、オーストリア、フランス、デンマーク、オーストラリア、カナダ、中国、インド、韓国、タイ、マレーシア、シンガポールetc.)。
海外の類似制度によるトラブル事例により、マイナンバー制度への反対というのが唱えられますが、有名どころでは、アメリカの社会保障番号(SSN : Social Security Number)制度や韓国の住民登録番号(PIN : Personal Identification Number)制度においては、実際なりすまし被害や個人情報流出は社会問題化しているようです。
今回参考にしたのは、
- 作者: 水町雅子
- 出版社/メーカー: 有斐閣
- 発売日: 2014/03/26
- メディア: 単行本(ソフトカバー)
- この商品を含むブログ (3件) を見る
- 作者: 清水勉,桐山桂一
- 出版社/メーカー: 岩波書店
- 発売日: 2012/08/08
- メディア: 単行本(ソフトカバー)
- クリック: 1回
- この商品を含むブログ (3件) を見る
- 作者: 白石孝,清水雅彦
- 出版社/メーカー: 自治体研究社
- 発売日: 2015/04/10
- メディア: 単行本
- この商品を含むブログを見る
でした。
情報資産に対する脅威と対策①
引き続き、情報セキュリティ管理士認定試験公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2015年12月27日アクセス)の「Chapter Ⅱ 情報資産に対する脅威と対策①」の内容を独自にまとめてみました(一部、電子媒体の利用に関して「Chapter Ⅲ 情報資産に対する脅威と対策②」の内容を含んでいます)。
(↑記事は読み飛ばしていただいても結構です。)
【紙媒体の利用に関する脅威と対策(例)】
(脅威)
紙媒体による情報セキュリティへの脅威としては、盗難、紛失、置き忘れ、誤送信、エラーレポート、盗み見(のぞき見)、スキャベンジング(悪意のある人がゴミをあさって機密情報を探すこと)、破損、水濡れ、などが考えられます。
(対策)
印刷(プリンタ)・・・出力された用紙の取り違えや置き忘れのチェック。部署ごとのプリンタ使い分け。重要情報へのパスワードによる印刷制限。
コピー(コピー機)・・・コピー最中にその場から離れない。コピーした/元の用紙の取り違えや置き忘れのチェック。利用制限カードの導入。
FAX・・・送信前後の電話連絡による授受確認。送信完了の確認(エラーレポート出力の可能性)。送信した用紙の置き忘れチェック。
郵便・配送・・・配送状況を追跡できる配達記録郵便や宅配便の使用。授受確認。適切な梱包。
その他(管理・廃棄)・・・ガラス張りではない施錠可能な棚などへの保管。クリアデスクの原則による机上の整理整頓。シュレッダーで裁断後の廃棄。廃棄業者との守秘義務契約。廃棄されるまで適切に記録し追跡する配布管理。
【物理/人的脅威と対策(例)】
(脅威)
人の入退室による情報セキュリティへの脅威としては、関連会社・協力会社・派遣・アルバイト社員、退職者、来客者、出入り業者、または、共連れ(入退室の正当な権利を持つ人の後ろについて不正に入室すること)による、重要情報や機器の盗難や盗み見、不正アクセスや不正プログラムの埋め込み、スキャベンジング、荷物取り違えや破損などが考えられます。
また、ノートパソコンなどのモバイル機器持ち出しによる情報セキュリティへの脅威としては、紛失や盗難、盗み見などが考えられます。
(対策)
物理的分離・・・セキュリティレベルで部屋やフロアを分ける。セキュリティレベルが高い部屋に窓を設置しない。
入室者の限定・・・IDカード、パスワード、バイオメトリクス(指紋、虹彩、声紋などによる)認証などの設定。退職者IDの速やかな削除。セキュリティゲート(サークルゲート・スイングゲートなど)の設置。監視カメラの設置。
施錠管理・・・重要情報やサーバなどを保管する部屋の常時施錠とセキュリティレベルに応じた鍵(電気錠・サムターン錠など)の選択。
【災害・大規模障害に関する脅威と対策(例)】
(脅威)
災害・大規模障害による情報セキュリティへの脅威としては、地震、雷、台風、水害などの自然災害や、火災、電力障害、通信(ネットワーク)障害などによる、停電や電圧低下、電子機器の破損、トラフィック集中による輻輳状態への陥りなど、可用性の低下が考えられます。
(対策)
地震・・・距離の離れた別の場所にバックアップ用の機器やデータを保管。転倒防止器具・免震装置の設置。
雷・・・避雷器(アレスタ)の設置。
台風・水害・・・セキュリティレベルの高い部屋には窓を設けない。地下にセキュリティレベルの高い機器や資料を置かない。
火災・・・不活性ガス(二酸化炭素や窒素、またはその混合物)による消火。不燃材料などの使用。
電力障害(停電・瞬断・電圧低下)・・・無停電電源装置(UPS : Uninterruptible Power Supply)の準備と定電圧定周波装置(CVCF : Constant-Voltage Constant-Frequency)の併用。
通信(ネットワーク)障害・・・回線の二重化。
その他・・・フォールトトレラント(災害に備えて障害に耐える対策)の検討(フェールソフト(一部の機能を減らして運転継続)、フェールセーフ(安全のためのシステム停止)など)。サーバへの対策(空調、消火設備、予備機、バックアップなど)。事業継続計画(BCP : Business Continuty Plan)。リスクレベル定義合意書や緊急対策手順書による対策の実施。
【電子媒体の利用に関する脅威と対策(例)】
(脅威)
磁気テープ(DLT、DDSなど)磁気ディスク(ハードディスクなど)、フラッシュメモリ(USBメモリ、SDメモリカードなど)、光ディスク(CD、DVD、Blu-ray Discなど)、光磁気ディスク、などの電子媒体による情報セキュリティへの脅威としては、盗難、紛失、情報流出、媒体の劣化、フォーマット(初期化)後の復元、などが考えられます。
(対策)
ガラス張りではない施錠可能な場所での保管。ラベリング(管理者、機密度、作成・更新年月日、保管期間なと)による管理。パスワード要求。電子媒体への書き込み禁止するソフトウェアの導入。ソフトウェアを用いた完全なデータ消去。メディアシュレッダーによる裁断。
情報セキュリティ総論②
前回に引き続き、情報セキュリティ管理士認定試験公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2015年12月20日アクセス)の「Chapter Ⅰ 情報セキュリティ総論」の内容を独自にまとめてみました(内容が多少古かったので、何ヶ所かは自力で調べて内容を新しくしています)。
jichitaisyokuinbenkyo.hateblo.jp
(↑記事は読み飛ばしていただいても結構です。)
【情報セキュリティ対策の枠組み】
JIS Q 27001 : 2014では、情報セキュリティマネジメントシステム(ISMS : Information Security Management System)を確立し、実施し、維持し、継続的に改善するための事項を規定しています。
ISMSは組織が情報セキュリティに取り組むための全体的な枠組みであり、PDCA(Plan-Do-Check-Act)サイクルに乗せた継続的な改善が望ましいとされます。
【情報セキュリティ対策の方針策定=Plan】
組織が所有する情報資産の情報セキュリティ対策について総合的、体系的かつ具体的にとりまとめたもの(情報セキュリティ基本方針+情報セキュリティ対策基準)。
①情報セキュリティ基本方針
組織における、情報セキュリティ対策に対する根本的な考え方。
②情報セキュリティ対策基準
情報セキュリティ基本方針に定められ情報セキュリティを確保するため遵守すべき行為および判断などの基準。
ちなみに、Yahoo! JAPANで「情報セキュリティポリシー 市」と検索すると、埼玉県川口市が上位検索されたので、参考に載せておきます。
ページから、基本方針と対策基準にもとべます。
川口市/川口市情報セキュリティポリシー (2015年12月20日アクセス)
その他、具体的手順などを定めた「情報セキュリティ実施手順」なども存在します。
【情報セキュリティ対策の実行=Do】
リスクマネジメント(JIS Q 31000 : 2010)
リスクについて、組織を指揮統制するための調整された活動。
・リスク分析
リスクの特質を理解し、リスクレベルを決定するプロセス。
定量的リスク分析(ALEなど)
定性的リスク分析(CRAMM、GMITS/MICTSなど)
その他(JRAMなど)
・リスク対応
リスクを修正するプロセス。
リスクコントロール(リスク回避/リスク集中/リスク分離/損失予防/損失軽減)
リスクファイナンス(リスク保有/リスク移転)
【情報セキュリティ対策の点検=Check】
情報セキュリティ監査
有効かつ効率的に監査を実施して情報セキュリティの品質確保を目的とする。
・情報セキュリティ監査基準
保証型/助言型もしくは、この2つを同時に目的とした監査を行う。
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf (経済産業省ホームページより。2015年12月20日アクセス)
・情報セキュリティ管理基準
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard.pdf (経済産業省ホームページより。2015年12月20日アクセス)
最後に、PDCAサイクルについて面白い記事があったので (2015年12月20日アクセス)。
情報セキュリティ総論①
・本稿は法令(法律や条例)等に関するものですが、その解釈はこのブログ筆者である私の独自のものであったり、誤りが含まれている可能性があります。
・法令等は日々更新されるものです。本稿に記載される法令名や条文等が最新のものとは限りませんし、最新情報を漏れなく補っていくことはしません。
・以上はこのブログに関する免責事項ですが、このブログの元となる研修や書籍等に対して上記の責任を帰するものでもありません。しかし、本稿を参考にされる場合、ご自身で書籍や法令等を一度ご確認いただくことを推奨いたします。
前回のブログで宣言した情報セキュリティ管理士認定試験合格のために、公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2015年12月16日アクセス)の「Chapter Ⅰ 情報セキュリティ総論」の内容を独自にまとめてみました(内容が多少古かったので、何ヶ所かは自力で調べて内容を新しくしています)。
(↑記事は読み飛ばしていただいても結構です。)
【用語及び定義】
JISは、たとえば、
JIS Q 27000 : 2014
のように表され、
JISのあとに続くアルファベットは、分野を表し、ここで「Q」は、「管理システム」を表します。
アルファベットのあとに続く番号は各部門で一意のようですが、国際的な規格の番号と対応している場合もあります。
また、そのあとに続くコロン以下は、改正年を表します。
JISには、情報セキュリティに関する事項を規定するものがいくつか存在します。そして、JIS Q 27000 : 2014による情報セキュリティ(information security)の定義は、
情報の機密性、完全性及び可用性を維持すること。
ということです。が、こうした情報セキュリティに関する説明というのはどうも全般的にわかりにくいです。それは、これらが海外からの輸入品であり、英文の翻訳であることに起因するように思います(ちなみに、JIS Q 27000 : 2014は、国際規格のISO/IEC 27000をベースにしています)。
機密性、完全性、可用性についてもそれぞれ定義があるものの、それを説明すると余計にわかりにくくなりそうなので、情報セキュリティというのは、要は私たちが情報セキュリティと聞いて期待する、
情報を第三者には知られたくないなー
データを改ざんされたくないなー
機能を停止されたくないなー
が守られることだと考えていいと思います。
また、情報資産に対して想定される危険性を脅威と呼び、脅威が起こる可能性のある弱点を脆弱性と呼びます。
ここで、情報資産(information asset)というのは、また聞きなれない用語ですが、情報及び情報を管理する仕組み全般のことを指します。
【情報セキュリティに関連する法律】
情報セキュリティに関連する法律といえば、
- 刑法
- 不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)
- 個人情報保護法(個人情報の保護に関する法律)
- 番号法(行政手続における特定の個人を識別するための番号の利用等に関する法律)
- サイバーセキュリティ基本法
などが挙げられます。
このうち個人情報保護法は、OECD(経済協力開発機構)が公表した、「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」(OECD8原則)をベースにしておりhttp://www.caa.go.jp/planning/kojin/kaisetsu/pdfs/gensoku.pdf(消費者庁ホームページより。2015年12月16日アクセス)、
この法律では、個人情報の利用目的の通知(第24条第2項)、開示(第25条第1項)、訂正(第26条第1項)、利用停止(第27条第1項、第2項)などを認めています。
http://www.caa.go.jp/planning/kojin/kaisetsu/pdfs/kanyo.pdf(消費者庁ホームページより。2015年12月16日アクセス)
情報セキュリティ管理士認定試験を受けます。
私が働く自治体においては、目標管理型の人事評価制度が今年度から試行的に導入されているのですが、私は平成27年度中、つまり来年3月31日までに、
という目標を立て(てしまい)ました。
実は、入職1年目であった昨年度には、モチベーションアップ等々の理由により、秘書検定2級(認定団体:公益財団法人実務技能検定協会)を受験し、無事合格したのですが、今年度は、あれよあれよとしているうちに、秘書検定1級・準1級の受験機会も失ってしまい、さて、どうしたものかと腐心していました。
ちなみに、現在携わっている仕事に関しての資格取得・検定合格のためには、その資格・検定が直近の業務に役立つこと、そして、一定の難易度をもつことが重要だと思っています。
まず、業務の役に立たない資格の取得を目標管理型の人事評価制度の目標として立てるというのは論外ですが、業務との関連性が薄まるほど資格取得それ自体が目的となりがちです。それでは時間や費用の無駄に繋がります。また、直近で役立つものでないと勉強にも身が入らないでしょう(以前、簿記3級を受けましたが、あまり業務に関係ないこともあり、落ちました)。
次に、一定の難易度をもつことですが、要は難し過ぎても簡単過ぎても駄目ということです。目標として立てた以上、私の中には「受かること」が前提としてあります。難し過ぎれば受からないですし、受からなければ、どれくらいの能力を身につけたかという評価のしようがありません。また、誰でも受かるような試験でも同様です。
そんなこんなで、2016年2月14日(日)に行われる、
第20回情報セキュリティ管理士認定試験
に先日申し込みをしました。
〜試験概要〜
認定団体:一般財団法人 全日本情報学習振興協会
試験日程:年4回(平成27年度は、5・8・11・2月)
制限時間:120分
出題区分:
「Ⅰ.情報セキュリティ総論」
「Ⅱ.情報資産に対する脅威と対策①」
「Ⅲ.情報資産に対する脅威と対策②」
「Ⅳ.コンピューターの一般知識」
合格ライン:出題区分Ⅰ〜Ⅳ各々の正答率が70%以上
合格発表:試験より約1カ月後
検定料:10,000円(税抜)
認定有効期限:2年(有料で更新可)
平成25年度平均合格率:47.9%
※詳細は、一般財団法人 全日本情報学習振興協会のホームページ( http://www.joho-gakushu.or.jp )又は情報セキュリティ管理士認定試験のホームページ( http://www.joho-gakushu.or.jp/isme/ )を参照してください(ともに2015年11月29日アクセス)。
また、私は仕事で人にパソコン操作についてのアドバイスをすることも多いので、その際に、情報セキュリティ等についての確かな知識をもってアドバイスできればと感じることが多いです。
これらの理由から、この資格の取得は直近の業務に役立つと言えるでしょう。
そして、公式テキストはこちら、
らくらく突破 情報セキュリティ管理士 認定試験 公式テキスト
- 作者: 五十嵐聡
- 出版社/メーカー: 技術評論社
- 発売日: 2012/12/26
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る
合格率47.9%ということで、頑張れは取得でき、頑張らなければ取得できない資格であると言えると思います(他に情報セキュリティに関連する国家資格として、情報セキュリティスペシャリスト試験がありますが、こちらはかなり難易度が高い模様。いつかは、チャレンジしてみたいです)。
ただし、試験日が2月、合格発表がおそらく3月ということで、今回の目標管理型の人事評価制度においては、背水の陣ということになります。そういう意味でかなりスリリングです。
しかしながら、ここに書いた手前、
合格しないとかっこ悪い(笑)
という思いもあるので、試験日までの約3カ月間、それをバネに頑張りたいと思います。
