セキュリティ担当者は少数かつ“精鋭”たれ

日常的にセキュリティ関連の仕事を行う筆者は、セキュリティを担当する組織の在り方について「少数精鋭であるべきだ」と考える。その理由とは。

[松尾秀樹，セキュアシステムスタイル]

本コラムは2015年6月26日に公開した「セキュリティは少数“精鋭”たれ」を再編集したものです。

　セキュリティインシデントが起きたりIPOなど社会的責任が大きくなったりするすることで、セキュリティを強化しようという大号令が発動されることがあるという話をよく聞きます。このタイミングがきっかけになって大掛かりなセキュリティ組織ができることも第1回で紹介した筆者の経験通りです。

セキュリティ担当組織の最小構成は3人で事足りる

　しかし、外部のベンダーやコンサルタントをコントロールする能力を超えた外部依存や施策の設定は混乱の元になります。自社のコントロール能力に沿った対策にすべきなのです。

　本来、セキュリティ担当と個人情報管理業務担当、それらを統括するマネジャーの3人で事足ります。あくまで最小構成ですが、それ以上は必要ありません。

　具体的に手を動かす人や技術的なブレーンは外部調達すればいい話であり、物を決めたり社内を動かしたりが3人それぞれでできれば、他はいらないと考えています。当然会社の規模などによっても変わってきますが、最小構成は3人で十分です。

少数かつ“精鋭”であることが重要

　重要なのは、少数であることよりもそれぞれが「精鋭」であることです。精鋭とは具体的にどんなことなのか、幾つかの例を挙げます。

• 広くて深い経験が備わっていること。少数かつ精鋭であることでデシジョンメイキングが迅速に行われる
• 技術的な裏付けを得るための外部のチャネルをたくさん持っていること。人間関係をうまく構築できるかどうかが重要
• 判例主義を貫くことができること。異なることを言うと以前NOを突きつけた人たちから恨まれることになる。現場は横のことをよく見ており、不公平を嫌う

少数精鋭で一貫性とスピードをアップ

　これらがしっかりこなせる人材であれば、現場に対して大きな負荷をかけることなくガバナンスのとれた環境を現場に浸透させることが可能です。

　例えば、現場から「新しいツールを使いたいが、ルールに適合しているかどうか」を尋ねられたとします。セキュリティ担当者は、具体的な仕様を取り寄せて外部のチャネルを駆使しながら中身を精査し、いい部分と悪い部分をルールに照らし合わせて迅速に判断することになります。

　上記の3点が整っていれば、「これまでのルール（判例）はこの通りなのでここはNGです。この部分は手による運用は避けてほしい」といった具体的な指示が返せるようになるはずです。

少数精鋭でなくなったときに起こる変化

　会社の規模やエグゼクティブの意思によって、セキュリティを担当する組織の規模が大きくなることがあります。その結果、少数精鋭でなくなったときに起きる変化があります。

　例えば現場から問い合わせに「私は担当ではないので、他に問い合わせてください」とお役所的な対応が目立ってきます。

　システムごとの担当者がいて、情報管理における個人情報担当、マイナンバー担当といったかたちで細分化され、サービスを立ち上げる際には全ての担当のセキュリティチェックを実施する必要に迫られます。調整が必要となりチェックがすぐに完了できず、現場に多くの負担を強いることにもなりかねません。

　組織の急な拡大に対応するために大量の中途入社を採用することもあります。すると「以前の会社（例えば大手ネット系企業）だとこうしていた」といった、前職のルールを前提に考えてしまうものです。

　「うちの会社ではこのルール、この仕様で進めていくので、このツールは使わないように」とネガティブなことを説明すると、納得しないまま「セキュリティ担当者にいわれてしまった、あの人は嫌いだ」という感情が芽生えてしまうのです。

　きちんと説明しても、こういったことは起こり得るのです。中途採用が悪いわけではありませんが、会社を愛することができる人材に育てていくことが非常に重要です。

　次回は「セキュリティポリシーを含めたルール作りのテクニック」についてお話しします。

著者紹介：松尾秀樹

1986年リクルート入社、コンピュータタイムシェアリング事業でスパコンの設置や運用を担当。1993年SI事業へ出向、大手クライアント技術支援。2002年システムセキュリティ担当、Webサービスの施策展開。2014年リクルート退職、セキュアシステムスタイル設立、代表取締役。「企業のセキュリティ担当者を支援するサービス」を提供中。