サイバーセキュリティ人材～倫理観と熱狂、赤い太陽。～

おはこんばんちは、Roy（ろい）です。
3回目の投稿です。
これまで、転職活動に関してEpisode.1～2と投稿してきて、次は3。
と話を進めようと思っていましたが、なんだかそこに今、熱を持っていない自分がいるので、別の話をします。

サイバーセキュリティ人材に必要な要素

サイバーセキュリティ人材には、技術、情報収集、コミュニケーション、表現、機転･･･様々な能力が求められると思います。
そんな中、私が特に重要視している要素があります。

それは「倫理観」です。

倫理観とは？

善いことと悪いことを判別できる力、のようなものでしょうか。

Weblio辞書によると、以下のように定義されていました。
”倫理観（りんりかん）とは、倫理（人として守るべき善悪や是非の判断や判断基準）についての捉え方・考え方、を意味する語。”

いくら技術があろうと、それを悪いこと（例：マルウェア開発や不正アクセス等）に使ってしまうような人は、少なくともサイバーセキュリティ人材には適さず、単なる犯罪者です。

基本的な考え方として、倫理観を有していること、これがやはり大事かなと思います。

ただ、それを短い時間で判別するのは、たぶんほぼ無理で、長い時間を共に過ごす中で見えてくるものだと思います。
そこが、サイバーセキュリティ人材の育成や採用の難しさのような気がしています。

倫理観って、具体的には？

さて、そんな倫理観。
「具体的にどんな行動？」と疑問に思われる方も多いかと思います。
そこで、参考になる文書として、常々この文書がとってもよいなぁと思っていたものがあります。

FIRSTの「インシデント対応およびセキュリティチームのための倫理規範」

です。

FIRSTとは？

Forum of Incident Response and Security Teams の頭文字を採って、FIRST。

世界中のCSIRTがお互いに情報交換やインシデント対応に関して協力関係を構築する集まりです。日本からは JPCERT/CC が正式メンバーとして参加しています。

倫理規範の概要について

そのFIRSTにより2020年に公開され、日本語版はNCA（日本シーサート協議会）の有志チームによる翻訳、JPCERT/CCやNTT-CERTのレビューを経て、2021年にFIRSTのサイトに公開されました。

▼インシデント対応およびセキュリティチームのための倫理規範
https://ethicsfirst.org/FIRST_EthicsfIRST_jp.pdf

セキュリティチームのメンバーが専門家として責任をもって、倫理的に行動するための手引きです。

倫理規範のよいところ

人によっては、一見、

「インシデント対応とか関係ないわー」
「なんだセキュリティのやつらのためのものかー」
「システムとかセキュリティとか関係ないわー」

などと思われてしまうこともあるかもしれません。

がしかし、この文書のよいところは、

「社会人として大事な考え方がよくまとまっている」点です。

今の時期、新社会人になる方も多くいらっしゃると思います。
そんな方々にも一読をオススメします。

倫理規範の項目

具体的には何が書かれているのか？
今回は、倫理規範の項目を列挙して、終わりにしたいと思います。

いきなり全部は大変だし、その通り行動できないと辛くなってしまったりもするので、この中でひとつでも気に入るものがあれば、詳細を確認して、ぜひ日々の行動に意識的に取り入れてみて下さい。

1. 信頼性の義務

2. 協調的な脆弱性開示の義務

3. 機密保持の義務

4. 受領確認を返信する義務

5. 認可についての義務

6. 情報を提供する義務

7. 人権を尊重する義務

8. チームの健康に対する義務

9. チームの能力に対する義務

10. 責任ある収集の義務

11. 管轄区域の境界を認識する義務

12. 根拠のある推論の義務

付録A：ジレンマへの対処

ちなみに、私は、1･4･6･10･12あたりは、意識して行動している、つ・も・りです。
実際、行動できてるかは、知らんけど。

では、またお会いしましょう。ごきげんよう。