レポート

セキュリティ対策最適化セミナーレポート

この記事を読むのに必要な時間:およそ 8.5 分

スペシャルセッション
企業のセキュリティの根幹となる人財
~育成・活用とキャリアパスへの考察~

企業のセキュリティへの対応において,もっとも重要になってくるのは実務を担当する「人」ではないでしょうか。スペシャルセッションでは,⁠企業のセキュリティの根幹となる人財~育成・活用とキャリアパスへの考察~」と題し,セキュリティ対策における実務担当者育成の課題について,安田良明氏(ラック)より解説が行われました。

さまざまな場面で人間の判断が求められるセキュリティ対策

株式会社ラック サイバーリスク総合研究所
先端技術開発部 安田良明氏

ラックの安田良明氏は,まずIT環境におけるセキュリティ対策でも,最終的には人の判断が重要であると解説,さらに人材の育成について言及します。

「セキュリティ対策や情報セキュリティのマネジメントにおいては,企画から設計,開発,運用まですべての段階で人間の判断が求められます。これを適切に処理,あるいは経営層が判断できるように材料を提示できる人材を育成するというのは難しい課題となっています」

加えて,どこまで対策を実施すればいいのかが明確ではないことから,セキュリティ対策は難しいものであるとの認識を示します。続けて,企業ごとの対策に差が生じることも難しさの要因であると語ります。

「たとえば企業の中でデータを保護しなければならないといった場合,そもそも使命や制約,さらには企業文化といった違いがあり,ほかの企業がやっていることをそのままコピーすればよいというものではありません。企業を取り巻く環境も,セキュリティ対策に影響します。顧客が企業に対して期待しているセキュリティレベルがあり,さらに法律に従う必要があったり,取引先からの要望もあるかもしれません」

こうしたことを踏まえ,セキュリティ対策は自社の状況や外部環境を分析するところから始まり,さらに新たな脅威が登場すれば限られた予算の中で対策を考えなければいけないなど,⁠対策を実施していくさまざまなフェーズにおいて,必ず人間の判断が求められるわけです」と安田氏は語り,人材育成が重要であることを改めて強調しました。

キャリアアップや人材育成に資格を活用

しかしその一方で,現状ではセキュリティスキルを身に付けても待遇に結びついていないと現状を分析,人材育成に対する投資の必要性を語ります。

「情報セキュリティの教育はセキュリティ委員,あるいはセキュリティ室で実施されており,人事教育課程における評価のラインからは外れているため,評価の対象にならないケースが多いと思います。しかし情報セキュリティは企業の存続に関わる重要な問題です。たとえば個人情報の漏えいにつながる事件があれば,数億円のキャッシュが支払いに消える可能性もあるわけです。そのためセキュリティ対策そのものや,個々の実務者のスキルを向上させるための投資は必須であると言えるのではないでしょうか」

ただ,実際にセキュリティスキルを身に付けても,それを第三者に証明するのは容易ではありません。そこで安田氏は,⁠人事における評価や現場の人間のキャリアパス,企業におけるセキュリティレベルの向上において,資格取得は有効」と資格を活用するべきであるとの認識を示しました。

人を育てなければ組織は強くならない

セキュリティにおける資格として,⁠ISC)2がセキュリティの実務担当者向けに提供しているのが「SSCP(Systems Security Certified Practitioner⁠⁠」です。ネットワーク及びシステムの開発や運用管理に携わっている人が対象で,情報セキュリティを技術だけでなく組織の観点でも理解していることを認証します。これを取得することにより,実務者がセキュリティの知識を持っていることを客観的に証明することができます。

このSSCPの特徴として,安田氏は開発や運用の現場の人々に求められるセキュリティに対する知識を7つのドメインに集約していることを挙げます。

「SSCPで規定されている7ドメインの共通知識分野は,世界中の情報セキュリティの専門家が,セキュリティにおいて最低限知っておくべきだという内容をまとめたものです。日本独自のものではないため,ワールドワイドでセキュリティについて知識があることを証明することができますし,海外の製品の評価にも使えます」

SSCPを利用したセキュリティ教育は,⁠必要な対策を正しく判断できる人材を育成することになり,セキュリティに対する投資コストを抑えられる」と費用対効果の面でも有効であると紹介します。最後に「人を育てるということをやっていかないと,組織が強くなりません。それを実現するための人材教育の一環として,ぜひSSCPを使っていただきたい」と述べて締めくくりました。