組織全体のリスクを考えられる「セキュリティ人材」の育て方:セキュリティ教育現場便り(2)(1/2 ページ)
筆者の経験を基に、本当に必要なセキュリティ教育について考える本連載。第2回のテーマは「組織全体のセキュリティ対策を考えられる人の育て方」です。継続的なセキュリティ対策の実施に不可欠な人材をどうすれば育成できるのかについて考えます。
組織におけるセキュリティ対策は一回限りのものではなく、定期的に課題を吸い上げながら、継続して行う必要があります。組織のリスクに合わせた適切な対策を継続的に実行するためには、どのような人材が必要なのでしょうか? また、どうすればそのような人材を育成できるのでしょうか? “今本当に必要なセキュリティ教育”について考える本連載。第2回となる今回は、前回の記事で触れた「組織全体のリスクを考えられる人」をどうすれば育成できるのかについて考えます。
情報セキュリティ推進担当者の人材育成
まず、「組織全体のリスクを考えられる人」、すなわち組織の「情報セキュリティ推進担当者」とは、具体的にどのような人を指すのでしょうか? それは例えば、以下のようなことを社内で考える人のことをいいます。
- 社内全体のウイルス感染対策をどのようにして行うか
- 会社のWebサイトの改ざん防止対策はどうするか
- 情報セキュリティ事故が起きたとき、組織としてどんな対応を行うべきか
- 想定される事故原因、被害規模はどの程度になり得るか
情報セキュリティ推進担当者は、大きな組織や官公庁ではよく「CISO(Chief Information Security Officer)」と呼ばれますが、それ以外にも、情報セキュリティ委員会に所属するセキュリティ担当者や、CSIRTのリーダーもこうした役割に当てはまります。また、システム管理部門の担当者が、システム管理の延長でセキュリティ責任者を任されているケースもあるでしょう。中小企業では、1人の“総務”担当者が社内全てのセキュリティを見ている場合もあります。
では具体的に、このような人材が携わる業務や、必要な知識・視点にはどのようなものがあるのでしょうか。以下にリストアップしてみます。
| 想定される業務 |
|---|
| 経営上のリスク算出 |
| リスク低減策の検討と推進 |
| 組織内ルールの策定と改定 |
| 年間計画の策定、現場部門との調整 |
| 自己点検や監査の推進 |
| 事故発生時の対応 |
| 必要な知識 |
|---|
| 攻撃手法とその仕組み |
| セキュリティリスクとその分析方法 |
| 正しいセキュリティ対策の考え方 |
| さまざまな対策手法とそれぞれの利点・欠点 |
| ネットワークの基礎知識 |
| 事故対応の方法論 |
| 自組織や業界に関する知識 |
| 監査手法、点検手法(監査担当のみ) |
| 必要な視点 |
|---|
| 攻撃者の視点(リスク分析) |
| 経営者の視点(経営リスクの評価) |
| 顧客やシステム利用者の視点(生産性や使い勝手) |
こうして項目を挙げていくときりがありませんので、この程度にとどめておきましょう。組織ごとに違いはあるでしょうが、組織全体の情報セキュリティ推進担当者には、こうしたさまざまな業務があり、幅広い知識や視野の獲得が求められます。人材育成に当たっても、これらを習得できるような育成体制の整備が必要です。特に、組織全体として情報セキュリティ推進担当者の役割を理解しておくことが不可欠です。
セキュリティ推進担当者育成のために、組織が理解しておくべきこと
「ずっとPCの画面を眺めている」「しばしばイベントなどで外出する」、こうした情報セキュリティ推進担当者の業務は、時として組織内で誤解を生むことがあります。セキュリティ推進担当者の育成や教育方針を考えるときには、組織全体として、その役割を理解しておくことが欠かせません。
例えば、セキュリティ推進担当者育成のために「情報セキュリティ研修」などを受講させるのはもちろん良いのですが、研修を受けたり、資格を取ったりしたからといって、実際の情報セキュリティ推進業務がすぐにできるようになるわけではありません。
基礎知識を身につけた後は、定期的にセキュリティ関連の情報を集めたり、他社のセキュリティ担当者と情報交換をしたり、技術的な分析や操作を自ら試したりするなど、継続的に新しい情報を得る必要があります。そうでなければ、情報セキュリティ担当は務まりません。そのためには、そうした情報収集のための「時間」や「場」が不可欠なのです。セキュリティ上の脅威やITインフラ、社会環境は大きく変化しますから、このように変化への順応まで含めて取り組めているのが、本当のセキュリティ対策だといえます。
こうした環境を実現するためには、組織としての方針や、情報セキュリティ推進担当者のミッション、職務、組織内での適切な権限、評価基準などを明確にする必要があります。情報セキュリティ推進担当者の方針や任務が明確になっていない場合、推進担当者本人だけでなく、周囲からも不満が出る可能性があるからです。その結果情報セキュリティ担当者自身が周囲の不満を感じ取り、委縮してしまい、自発的な活動に結び付かなくなる可能性もあります。
組織の方針や情報セキュリティ推進担当者のミッション、権限がはっきりすれば、担当者自身も自分の役割をはっきりと認識できますし、どう行動すれば評価されるのかが分かります。日々の最新情報の収集や、組織外で行われるイベントやカンファレンスでの情報交換なども大切な業務だと、堂々と宣言することができます。そして組織としても、こうしたセキュリティ推進担当者の活動に対して、適切な評価を行うことできるようになります。
それから、業務部門はしばしばリスクを考慮せずに、利便性を重視しがちですから、情報セキュリティ推進担当者に権限を与え、現場に改善指示を出せるようにしておくことも大切です。また、情報セキュリティ事故が発生したとき、担当者の業務は一時的に急増する可能性があります。そのため、組織内で、情報セキュリティ担当者に割り当てられるのは、しばしば“貧乏くじ”のように見られています。このような認識が広まってしまっては、統制の効いた対策を推進する際の障害になります。ですから、専任にしろ兼任にしろ、事故対応についても担当者への適切な評価を行うことを組織として定めるのを忘れないようにしましょう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。