DoD(Department of Defense:米国防総省)におきまして、情報 システムにアクセスできるスタッフすべて(約100,000人)を対象とした「Directive8570.1M」という命令により、A+/Network+/Security+が多くの職責において、情報を扱える証として、取得が義務化されました。
http://www.comptia.jp/r_c/column_201101.html
これは、ITコンプライアンスとして、情報を扱うに値する人材として保証する際に取得を義務付けた大きなニュースです。国内の米軍基地でもこれは展開されており、上記URLで指定されていますIATレベル1については、現場の隅々まで対象となっており、また配属後6ヶ月以内に取得が必要です。関係者によりますと、例えば海軍の船舶のメンテナンスをする人材や、病院関係者までIATレベル1は取得を求めており、エンジニアだけのルールではありません。
ID/パスワードで内部情報にアクセスできる方はすべて、というと分かりやすいかもしれません。
「パスワードは定期的に変えましょう」、「PCの社外持ち出しやUSBでのデータ持ち出しは禁止です」、「ウイルスソフトは定期的に更新しましょう」などは、よくある企業内での情報を管理する上のルールですが、このDoDの事例というのは、情報を入手するためのIT環境の管理能力を、証明するものを求めていることになります。車に例えますと、道路標識など車が走るためのルールはありますが、免許が無くても走れていたところが、免許がないと走れなくなった、そんな
イメージでしょうか。
この件はDoDだけの話ではなく、重要な情報を扱うところではすべてに当てはまります。すぐにイメージができるのは、自治体や金融、商社・・・。もちろんこれだけではなく、重要な情報を情報システム内に収め、多くの社員が入手や閲覧ができるのであれば、すべての業種に適用できます。
誰にどこまでを求めるか、そのセキュリティポリシーにより、求められる能力、証は変わってきます。また車の免許を持っていても、事故は起こるように、厳しくしたとしても、100%セキュリティエラーがゼロになるとは言い切れません。ここまでは必要ないのでは・・と思われるところもあるでしょう。
あとは、ニュースで報道されるような、今までセキュリティエラーを犯した企業が、どれだけの損害を被ったかを、皆様の所属先でどのように捉えるか、かと考えます。
今までになかった考え方として、まずは参考としていただけますと幸いです。
