情報セキュリティの国家資格である情報処理安全確保支援士には、その求められる職務上、守るべき倫理について倫理綱領として規定がされています。また、倫理綱領とほぼ同じ内容が法律(情報処理の促進に関する法律)にも定められています。違反した場合には資格の取り消し、または、一定期間の名称使用禁止が定められています。
さて、昨今、SNSや某会員制掲示板を見ていると「これは倫理綱領に抵触しないのか?」と思うような事を書く情報処理安全確保支援士が見受けられます。
例えば「月イチで御客様の諸々のセキュリティアップデートを実施しています」的な内容を見かけたりします。これだけだと問題ないようにも見えますが「セキュリティアップデートはイベントドリブンで実施すべき」なのは情報処理安全確保支援士なら当然知っているべき事項です。それを隠して、御客様には月イチで問題ないかのように説明し、理解させ、実施すると言うのは明らかに信用失墜行為に該当するのではないかと思うのです。
実際、私どもが調査をしている中で、ウェブサイトの改竄をされた事例を目にし、当該企業に連絡したときに「委託業者が月イチでアップデートしています」と言う声を良く耳にします。その時には「セキュリティアップデートは随時やらないと攻撃を受けてしまいますよ。委託業者と調整してください」と回答します。当たり前ですが、脆弱性が見つかったときに攻撃者は即座に脆弱性を突いた攻撃を開始します。攻撃対象が月イチのセキュリティアップデートを適用するまで待ってくれるわけではありません。
そもそも、月イチのセキュリティアップデートなんて言うのは業者側が「面倒だから月イチで良いだろう」という勝手な都合からやっていることであって、攻撃する側には関係ない話です。セキュリティに詳しくない業者なら本当は良くないけど「知らないなら仕方ないね」で済まされる部分はあるでしょうが、情報処理安全確保支援士なら「知らないは許されない」ので絶対にやってはいけない行為だと考えます。明らかに信用失墜行為に該当するように見えます。
次に見かけたのは「知らないことをあたかも知っているかのようにデタラメな内容を掲示板に書く」という事を行った情報処理安全確保支援士です。実際にあったのはiOS・iPadOSのセキュリティに関する話で「ウイルス対策ソフトは各ベンダーから出ている」とか「サードパーティーからアプリが配布されている」とか事実とは異なることを書いている事例です。
そもそも、iOS・iPadOSはそのOSの特性上「ウイルスチェックは困難」であり、ウイルス対策製品は出ていないんですね。総合セキュリティ対策アプリは出ていますがウイルス対策機能は存在していません。何故ウイルスチェックが困難なのかは詳しくは書かないので興味のある方は調べてみてください。ヒントとしては「サンドボックス」なんかが該当します。なのに「ウイルス対策製品は各ベンダーから出ている」なんて嘘を付くのは信用失墜行為そのものでしょう。
また、iOS・iPadOSのアプリはAppStoreからの配布に限られていて、サードパーティーからの配布は行われていません。例外としてTestFlightを使った「テスト配布」がされている事例はありますが、TestFlightなしに動く完成版が配布されていることはありません。これも虚偽の内容になりますので、信用失墜行為そのものでしょう。
知らないことを「知らない」というのは恥でもなんでもありませんし、知らないなら書かなければ良いだけの話です。それができずに虚偽の内容を書くのは倫理観が欠如していると言われても仕方のないことだと思います。このような虚偽の内容を書き、情報処理安全確保支援士という資格の信用を失墜させるような行為は絶対に許されないことだと考えます。
IPA(独立行政法人情報処理推進機構)は情報処理安全確保支援士による信用失墜行為について、もっともっと監視すべきであると考えますし、法律に違反するような行為が発見された場合には、しっかりと法律に基づいた処分をすべきであると考えます。そうしないと「ただただ数だけが増え、業務に耐えるスキルを持たない有資格者だらけになっていく」事を止められないのではないかと思います。
コメント