どのような人材を育成すべきかを考えるために組織図を眺めてみると、気が付くことがあると思います。各部門で何をすべきかを考えるためには、結局は「何を守るために情報セキュリティをやるのか」「自分の組織ではどのような事故が起こり得るのか」ということが見えていなければならないということです。
極端な話、守るべき情報がなく、事故が起こり得ないのであれば、人材の育成も不要かもしれません。しかし、自分たちにとっては守る必要がないと思われる情報であっても、攻撃をする側から見ると有益であったり、漏えいなどが発生したときにバッシングの材料となったりすることも考えられます。従って、自分たちの組織には「どのようなリスクがあるのか」は慎重に検討しなければなりません。その上で、「その事故を防ぐには何が必要か」「そのためにはどのような人材が必要か」を考えます。人材育成や教育はあくまでも手段です。それ自体を目的にしてしまわないよう、組織本来の方針、目標を忘れないことが大切です。
また、情報セキュリティでは事故を想定して対策を行いますが、誇張された情報やイメージには振り回されないようにしたいものです。もちろん、過小評価にも注意が必要です。情報を正確に理解し、リスクに適切に対処するために、セキュリティに関して正しいバランス感覚を持った人材が「組織全体のリスクを考えられる人」として組織に一人はいることが望ましいといえるでしょう。
冒頭で東京オリンピックというキーワードを取り上げましたが、オリンピックといえば、ロンドンオリンピックの際のサイバー攻撃の傾向が参考例として取り上げられることが多いようです。「オリンピックのシステムなのだから、さぞ多くの被害に見舞われたに違いない」と考える方もいるかもしれません。しかし、ロンドンオリンピックのCIOいわく、実際に発生した重大なインシデントは「6件」に留まったそうです。しかもその6件は全て未遂に終わり、被害は出ていないという報告もなされています。これも、リスクに対して適切な対策を実施した結果だといえるでしょう。
リスクがどの程度なのかを考えるときには、世の中の事例や傾向がとても参考になります。次回以降は、さまざまな事故事例を例に挙げながら、対象者ごとに必要な知識や技術を取り上げていきます。今現在流行している情報セキュリティ事故、例えばウイルス感染を防ぐためには社員に何を教えればよいのか、役割ごとに必要な知識・技術について、具体的に掘り下げていきます。
富田 一成(とみた いっせい)
株式会社ラック セキュリティアカデミー所属。
保有資格、CISSP、CISA。
情報セキュリティ関連の研修講師や教育コンテンツの作成に従事。
「ラックセキュリティアカデミー」(ラック主催のセミナー)の他、情報セキュリティ資格セミナーなどでも研修講師を担当している。
Copyright © ITmedia, Inc. All Rights Reserved.