システムセキュリティ担当に必要な2つの素養
技術的な知識の前に、セキュリティ担当に適した2つの素養がある。セキュリティ担当者にふさわしい人材を探す際に念頭に置くべきポイントとは何か。
本コラムは2015年5月29日に公開した「システムセキュリティ担当に必要な2つの素養」を再編集したものです。
はじめまして。セキュアシステムスタイルの松尾と申します。これから「突然セキュリティ担当者になったときの心得」と題したコラムを連載させていただきます。
第1回は、そもそも私がこのテーマで執筆するに至ったいきさつを紹介しながら、セキュリティ担当者に必要な2つの素養について考えます。
ある日突然「セキュリティ担当になってくれ」が今のキャリアにつながる
はじめに現在の私の仕事について紹介します。主にSecurity Director(セキュリティ担当)、いわゆる社内のガバナンスやコンプライアンスを堅持するためのセキュリティ担当者を育成する仕事をなりわいとしています。
たとえどんな部署の人が担当になったとしても、セキュリティを社内に浸透させるための道具立てを私の方で全て用意し、さまざまなことを経験してもらいながら、最終的には企業に欠かせないセキュリティ担当者になっていただくためのお手伝いです。
現在の仕事につながるきっかけは、社会人のスタートをきったリクルートでの仕事です。学生のころは音声認識や音声合成などの研究を行っていましたが、リクルートが大型汎用(はんよう)機を使ってビジネスを展開するに当たって大量に採用された技術系学生の1人が当時の私でした。
入社後はスーパーコンピュータの導入や運用などに従事しながら、海外事業経験を経て神戸製鋼とリクルートの合弁会社に出向。およそ10年勤めた後にリクルートへ戻り、人材系の紙メデイア制作に関するシステム開発などに従事しました。振り返るとキャリアの中でセキュリティに関わる仕事は皆無でした。
2002年に大きな転機が訪れます。リクルートが提供するWebサービスの1つで65件あまりの個人情報漏えい事件が発生し、メディアを大きく騒がせたのです。この事件が発覚したおよそ1週間後に辞令が出され、この事件の後処理を含めたセキュリティ担当に急きょ私が抜てきされたのです。
当然ですが、今回発覚したWebサービスだけでなく、他の全てのサービスについての状況も調べなければならず、およそ200を超える全社のWebサービスをチェックする、半年にもおよぶプロジェクトがスタートすることになりました。
実際には数社のセキュリティベンダーと全社から集められた20人のメンバーとともにプロジェクトを進めていきましたが、プロジェクト終結後にそのまま担当として残ってほしいと会社から打診があったのです。今回のテーマでもある「ある日突然セキュリティ担当に……」というのは、そもそも私自身が経験したことでした。
セキュリティ担当者に必要なことは何か
そんなキャリアを積んできた私だからこそ必要だと考える、セキュリティ担当に適した2つの素養があります。
総務部門出身の人がセキュリティ担当に任命されることもありますが、ITに関連した事柄が多いことも手伝って、一般的には情報システム部門に所属する方が指名されがちです。ルール作りなどの場面では技術的な視点も必要になるため当然といえば当然ですが、根本的にセキュリティ担当としての素養は大きく下記の2点に尽きると私自身は考えています。
- 本業を愛している
- ガバナンスはコンプライアンスを意識しながら行動できるマインドを持っている
技術的な知識の前に、まずはこの2点をセキュリティ担当者として備えておく必要があります。逆にいえば、セキュリティ担当者にふさわしい人材を探す際には上記2点を念頭に置いておくべきでしょう。ただし、どんな分野でもそうですが短期間にしっかりとキャッチアップできるスキルは最低限必要です。
念頭に置いておきたいこと
素養についてみてきましたが、そもそもセキュリティ担当者の立場についても知っておくべきことがあります。それは、セキュリティ担当者という立場がうまく機能し始めると、担当者は全社的に「嫌われる存在」になるということです。
これまで現場で行われてきた運用をガバナンスの名の下に縛ったり、ユーザビリティを損なうようなことを半ば強引に行ったりしなければならないからです。
現場に嫌われる仕事が少なからずあるということをしっかりと意識しておきながら、事業部やグループ会社の現場と折衝をしていく、それがセキュリティ担当の役割なのです。そのためには現場の人にいかに受け入れてもらえるのかを常に考えながら、どういったコミュニケーションが最適なのかを考えていく必要があります。
次回は、これまであまり語られることのなかった「セキュリティ担当者のキャリアパス」についてお話しします。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
パスワードは定期的に変更すべきか
これまでのパスワード管理の常識はもはや過去のもの。パスワードの定期更新はリスクを高めるだけだ。
「人材不足」は、情報セキュリティの10大脅威か?
「情報セキュリティ10大脅威」の2018年版順位が先行発表された。ランク外から登場した3つの脅威について解説しよう。
セキュリティ対策費を確保するならリスクベースで語れ
「ITセキュリティに投資を行わない」という企業は、ほぼ存在しない。だが、「どのように投資すべきか」に悩む担当者は多い。
標的型攻撃への対策状況(2018年)/前編
キーマンズネット会員197人を対象にアンケート調査を実施した。実際に標的型攻撃を受けた経験の有無や被害内容などに関する質問を展開した。
標的型攻撃への対策状況(2018年)/後編
キーマンズネット会員197人を対象にアンケート調査を実施した。社内セキュリティ体制や導入するセキュリティ製品など企業の標的型攻撃への対策状況が明らかになった。