日常的にセキュリティ関連の仕事を行う筆者は、セキュリティを担当する組織の在り方について「少数精鋭であるべきだ」と考える。その理由とは。
本コラムは2015年6月26日に公開した「セキュリティは少数“精鋭”たれ」を再編集したものです。
セキュリティインシデントが起きたりIPOなど社会的責任が大きくなったりするすることで、セキュリティを強化しようという大号令が発動されることがあるという話をよく聞きます。このタイミングがきっかけになって大掛かりなセキュリティ組織ができることも第1回で紹介した筆者の経験通りです。
しかし、外部のベンダーやコンサルタントをコントロールする能力を超えた外部依存や施策の設定は混乱の元になります。自社のコントロール能力に沿った対策にすべきなのです。
本来、セキュリティ担当と個人情報管理業務担当、それらを統括するマネジャーの3人で事足ります。あくまで最小構成ですが、それ以上は必要ありません。
具体的に手を動かす人や技術的なブレーンは外部調達すればいい話であり、物を決めたり社内を動かしたりが3人それぞれでできれば、他はいらないと考えています。当然会社の規模などによっても変わってきますが、最小構成は3人で十分です。
重要なのは、少数であることよりもそれぞれが「精鋭」であることです。精鋭とは具体的にどんなことなのか、幾つかの例を挙げます。
これらがしっかりこなせる人材であれば、現場に対して大きな負荷をかけることなくガバナンスのとれた環境を現場に浸透させることが可能です。
例えば、現場から「新しいツールを使いたいが、ルールに適合しているかどうか」を尋ねられたとします。セキュリティ担当者は、具体的な仕様を取り寄せて外部のチャネルを駆使しながら中身を精査し、いい部分と悪い部分をルールに照らし合わせて迅速に判断することになります。
上記の3点が整っていれば、「これまでのルール(判例)はこの通りなのでここはNGです。この部分は手による運用は避けてほしい」といった具体的な指示が返せるようになるはずです。
会社の規模やエグゼクティブの意思によって、セキュリティを担当する組織の規模が大きくなることがあります。その結果、少数精鋭でなくなったときに起きる変化があります。
例えば現場から問い合わせに「私は担当ではないので、他に問い合わせてください」とお役所的な対応が目立ってきます。
システムごとの担当者がいて、情報管理における個人情報担当、マイナンバー担当といったかたちで細分化され、サービスを立ち上げる際には全ての担当のセキュリティチェックを実施する必要に迫られます。調整が必要となりチェックがすぐに完了できず、現場に多くの負担を強いることにもなりかねません。
組織の急な拡大に対応するために大量の中途入社を採用することもあります。すると「以前の会社(例えば大手ネット系企業)だとこうしていた」といった、前職のルールを前提に考えてしまうものです。
「うちの会社ではこのルール、この仕様で進めていくので、このツールは使わないように」とネガティブなことを説明すると、納得しないまま「セキュリティ担当者にいわれてしまった、あの人は嫌いだ」という感情が芽生えてしまうのです。
きちんと説明しても、こういったことは起こり得るのです。中途採用が悪いわけではありませんが、会社を愛することができる人材に育てていくことが非常に重要です。
次回は「セキュリティポリシーを含めたルール作りのテクニック」についてお話しします。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。