組織全体のリスクを考えられる「セキュリティ人材」の育て方:セキュリティ教育現場便り(2)(2/2 ページ)
筆者の経験を基に、本当に必要なセキュリティ教育について考える本連載。第2回のテーマは「組織全体のセキュリティ対策を考えられる人の育て方」です。継続的なセキュリティ対策の実施に不可欠な人材をどうすれば育成できるのかについて考えます。
情報セキュリティ推進担当者に求められる役割
一方、情報セキュリティ推進担当者の立場では、情報セキュリティ対策は、組織の方針やビジョンに沿って行う必要があります。セキュリティ施策の遂行は、目的ではなく、あくまでも手段です。組織の本来の目的を達成するために、何が必要かを考えましょう。ここで、そのためのポイントを二つ挙げます。
一つ目は、情報セキュリティ推進担当者による業務環境の理解です。業務部門で行われている業務の進め方や環境を理解することなしに、無理やりに対策を推し進めた場合、現場の業務とセキュリティ対策がうまくかみ合わないという最悪の事態が発生します。例えば、現場部門での業務の進め方を考慮せずに、パソコンの持ち出しやUSBメモリの利用を禁止したり、ソフトウェアのインストール制限などを推し進めたりしたとしましょう。もしその代替手段すらも提示されなかったとすれば、業務部門での仕事ははかどらなくなる一方です。その結果何が起こるか。あくまで業務を優先しようと考える業務部門側は、自分たちの判断で作ったローカルルールを運用し、逆にセキュリティリスクを高めてしまう方向に向かってしまうかもしれません。
二つ目は、ITの活用です。新しいITサービスやインフラをどう安全に活用するかを考え、積極的に組織内に取り入れていくことも、情報セキュリティ推進担当者として求められる要素です。情報セキュリティというと、「制限したり」「止めたり」することが中心と思われがちですが、リスクコントロールのためには、そうした“前向きな”施策も必要です。制限ばかりでは、業務部門の仕事が滞る可能性があるからです。
事故が起きやすい業務環境やITインフラを改善せず、社内ルールの中だけで「事故に気を付けてください」などと言い続けても、セキュリティ対策上の意味はありません。事故が起きにくい環境を作り上げ、残ってしまったリスクに対しては、その防止および対処方法をルール化するのです。そのために、「業務遂行に必要な環境はどのようなものか」「新しいITサービスはどう活用できるか」を考えるのが、情報セキュリティ推進担当者の仕事の一つなのです。
組織と情報セキュリティ推進担当者が一丸となって対策を進めよう
情報セキュリティ被害を報じるニュースや記事が増えてきました。こうした報道の中でもたびたび言われていますが、「事故の発生を100%防ぐことは不可能」です。事故の防止だけでなく、事故に気付く「検出」と「事故対応」を組み合わせることが、バランスのとれた本当のセキュリティ対策です。
情報セキュリティ推進担当者は、目的意識を持って正しい情報セキュリティの知識を身に付ける必要があります。情報セキュリティの研修を受けたり、資格取得のために勉強したりするのももちろんよいでしょう。そのときは、国内だけでなく、国際資格などにも目を向けてみてください。
また、攻撃手法は情報セキュリティの中でも特にイメージがつかみにくい要素です。実機で攻撃の動きを見たり、テスト環境で試行したりすることも行いましょう。こうした試行が可能な研修もありますので、そのような研修を探してみるのもよいかもしれません。とにかく、広い視野でさまざまな知識・技術を取り入れてください。そして、常に情報をアップデートすることを忘れないでください。
また、情報セキュリティ推進に必要なものは、人材だけではありません。推進担当者がさまざまな活動を行っても、組織全体で足並みがそろわなければ事故のリスクは低下しません。適切な推進のためには、組織全体で統制を効かせ、全社的にセキュリティ対策に取り組むことが不可欠です。統制を効かせる方法の一つとしては、「情報セキュリティ委員会」のような横断的な部門を作る方法があります。
情報セキュリティ委員会は、組織の中の司令塔のような位置付けです。情報セキュリティ委員会には、経営陣や情報セキュリティ担当者、危機管理委員会、事業継続に関わる部門が主に参加することになるでしょう。セキュリティリスクをコントロールする方針を立て、推進し、その対策が適切に進められているかどうかのチェックを行うのがその役割です。
情報セキュリティ委員会を支えるのは、部門間の連携力です。情報セキュリティ委員会は、情報セキュリティの推進に必要な要素を組織化し、役割と権限を可視化した存在だといえます。またその設立の際は、経営陣からトップダウンで宣言します。全社の理解を得ることで、円滑に情報セキュリティを推進できるからです。
情報セキュリティリスクは経営リスクの一つですが、まだ手を付けられていない組織も多いでしょう。しかし、事故発生時のインパクトは日増しに大きくなってきています。情報セキュリティ推進や組織の経営に関わる方は、組織内の連携力を強めるにはどうするのがよいのか、あらためて考えてみてください。また、情報セキュリティ委員会を作る場合でも、組織を作ることが目的にならないように注意してください。
委員会の立ち上げのときには、もしかすると、自組織の成り立ちや部門の構成、部門長の経歴や性格などといった要素まで関連してくるかもしれません。組織の目的や戦略、規模がまちまちな中で、一様の方法で情報セキュリティ委員会を作ることは難しいでしょう。体制や組織作りはあくまでも手段であると認識し、目的を達成するための方法を、それぞれの組織に合わせて柔軟に考えてみてください。
著者プロフィール
富田 一成(とみた いっせい)
株式会社ラック セキュリティアカデミー所属。
保有資格、CISSP、CISA。
情報セキュリティ関連の研修講師や教育コンテンツの作成に従事。
「ラックセキュリティアカデミー」(ラック主催のセミナー)の他、情報セキュリティ資格セミナーなどでも研修講師を担当している。
Copyright © ITmedia, Inc. All Rights Reserved.