CISMの勉強:領域2-情報リスクの管理

セキュリティ

前回からずっと勉強できていなかったのですが、最近また試験勉強モードになったので、それに伴い次の領域について記事にしていきます。

なお、前の回でも伝えましたが問題等の複写とかは禁止されているので、問題の丸写しとかは行いませんので、気になる人はちゃんと書籍を購入するか、受かった人から譲ってもらいましょう。

問題集を解いてみて

ここについてはCISAでやった以下の範囲とかなり類似しているかと思いました。

Protection of Information Assets
The Process of Auditing Information Systems
Information Systems Operations, Maintenance and Service Management
Protection of Information Assets

上記についてはどれも合格点を超えていたので、少し安心して勉強することができます。

ただ、得点配分が一番高いところ(30%)なので、一問のケアレスミスが大分痛いのでちゃんと点を稼ぎたいと思います。

問題としてはビジネスインパクト分析(BIA)やそれに伴う資産の分類の重要性やどの順序で対応していくべきかというところが問われます。

また、クロスサイトスクリプティングやSQLインジェクションを発生させないためにはどうするか等、かなり基本的な問題も出てきます。

常日頃から脆弱性診断をやっている人にはチャンス問題ですね。

よく嵌まりそうなところ

問題を解いていて嵌まりそうだな~と感じたところを少し解説します。

例えば、情報セキュリティマネージャーがあるコンプライアンス違反を観測した場合に次に取るアクションを問われる問題があります。

その際の選択肢として具体的な対策や違反を報告する等の選択肢があり、選択したくなりますが問題集的な正解はそれではなく、さらに調査を行い問題を特定することを求められます。

これはCISAでも同じような問題があり、かなり最初は戸惑いましたが私自身の考えた結果は以下です。(例えはイマイチかもしれませんがご了承ください。)

AさんはXさんがコンプライアンス違反を行っていることを見た。(この時点で報告して、Xさんを処罰することも対応の一つとしてはあるかと思います。)

しかしXさんがなぜコンプライアンス違反を行っているかを詳細に調査することにします。(これがCISMやCISAでの解答の方向かと考えています。)

詳細に調査した結果、副次的な要素が見つかる可能性があります。
※コントロール自体がよくなかったり、環境的な要因があったりと・・・もしかしたらただ、その人自体に問題があるかもしれません。

その結果を持って対応を行うことで、発生したコンプライアンス違反の対応だけではなく、それ以外にも後発で発生してしまう可能性のある要素を潰すことができるのではないかと考えています。

現実でもある人が仕事を真面目にしていなかったり、勤務中に寝てたり等の場面が職場であったとします。

それを詳細に確認(ヒアリング等も行って)すると、以下の場合もあります。

・待遇(給与面も含む)で不満がある。

・取り巻く環境に問題があり、仕事に集中できない…etc

それを改善してあげることで、パフォーマンスが上がることは度々あるかと思います。
※もちろんそれじゃない場合もありますが・・・

なので、管理する側として、一方からしか見ないで判断するのではなく、多方からの観測結果を持って対応することが必要なのではないかと私は考えています。

最後に

CISA、CISMの試験勉強はもちろん資格を取ることを第一に勉強しています。

もちろん資格を有効活用するために必要な知識ですが、それ以外でも現実の仕事のやり方であったり、対応方法にも生かせる可能性があるのではないかと思います。

また、自己満足ですが、「試験勉強している自分は立派だな~」と思うことも重要です。

学生時代のようにみんなで試験勉強期間に入るわけではなく、個人で予定を決め計画的に進めていかなければいけないのでモチベーション維持が大事です。

引き続き、勉強は頑張っていきますが、皆様の勉強のモチベーション維持や頑張るきっかけになれば幸いです。

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。

コメント