セキュリティ人材を重視する

筆者前回のコラムでは、セキュリティ投資の重要性を取り上げました。
この時、定量的なリスクアセスメントを実施し、リスク対応として、「低減」を前提に考えることが重要であることを提言しました。しかし現実問題として、セキュリティに携わる皆さまに重い言葉が頭をよぎるかと思います。

「セキュリティに投資して費用対効果はあるのか？」

「効果」を明確に出すことができず、結局コストダウンを飲まざるを得ず、限られたリソースでのセキュリティ対応となった結果、インシデントが発生してしまった。そして、対応に膨大なコストが発生したといったケースは決して対岸の火事ではないでしょう。

あるお客様では複数のシステム開発プロジェクトがグローバルベースで進行していました。リリースするためには、グローバルで定めたセキュリティチェックをクリアにする必要があります。しかし、十分なセキュリティ投資が行われていないため、網羅的なチェックができず、サンプリングチェックせざるを得ない状況でした。社運がかかるプロジェクトにも関わらず、セキュリティに対する優先順位が低かったのです。
リリース後、インシデントが発生しました。セキュリティチェックがクリアできていれば防ぐことのできるインシデントでした。

筆者が是正対応、再発防止としてお客様を担当したのは、そういった時期でしたが、打合せの場で未然にインシデントを防ぐことができなかったセキュリティ部門を非難する発言に愕然とした記憶があります。
「十分なセキュリティ投資があれば防げたはずなのに、顕在化したインシデントに対し、セキュリティ部門を非難するとは責任転嫁のいいところです！」とその場で言い放ちました。（当時はまだ若かったです。）

セキュリティは経営責任である

確かにリソースには限りがあり、いかにセキュリティが重要とはいえ無尽蔵に投資をすることはできません。しかし、このケースを通じて強く認識したのが、セキュリティ投資は「費用対効果」で考えるべきではないということです。もっといえば、セキュリティは継続的な経営責任であることを前提にすべきと考えます。
不幸にしてインシデントが発生した場合、そのための対応コストたるや、あらかじめ試算することが困難な位、膨大なものになります。対応コストだけでなく、時価総額の下落、そしてレピュテーション（評判）リスクといった逸失利益を加えると、Going Concern（継続企業の前提）にも影響が出かねない事態に発展することを念頭に置かなければいけません。
その上で、アセスメント等を実施し、必要な対応を明確にした上でリソースを投じることです。

セキュリティ人材を重視する

先述した通り、セキュリティは経営責任を念頭にリソースを投じるべきですが、その中でも、特に重視すべきは人材になります。セキュリティといっても、セキュリティマネジメント（ITガバナンス、セキュリティポリシー、教育、監査等）、物理セキュリティ（データセンタ管理、入退室管理、高強度タンパ性等）、インフラセキュリティ（サーバ、ネットワーク監視等）、クライアントセキュリティ（マルウェア対策、利用者認証等）、昨今ではクラウドセキュリティ等多岐にわたります。それら全てを包括的に理解・把握できている人材は決して多くありません。
従って、現行のIT人材を棚卸、可視化の上、不足している人材補強に努める必要があります。その際には、求めるスキル（ITスキル、ドキュメント作成能力等）を明確にする必要がありますが、「チームワークができる人」は必須条件にすべきと考えます。筆者が知る限りですが、セキュリティ人材は、内部統制、マネジメントに関する領域、IT機器等の実装に関する領域、運用に関する領域等に区分されますが、個々が分業され、全体最適化につながらないケースに遭遇します。これは「組織として仕事をしている」意識が希薄であることが要因と考えています。
また、現行のIT人材の活用、育成を鑑みた場合、セキュリティ業務を標準化、手順化することも有効な手段です。現行のIT人材が有するIT知識をベースにセキュリティ知識を習得すれば、セキュリティ人材として活躍することが期待できます。そのためには、セキュリティ業務の標準化により、現行のIT人材が不足しているスキルを明らかにし、内部でセキュリティ人材を育成するか、または不足スキルを外部に求めることが有効な選択肢の一つです。実際、筆者が参画したプロジェクトでは、方針策定などのプロジェクト立ち上げ時はセキュリティ知識を要求されましたが、プロジェクトが動き始めるとIT知識、マネジメントスキルの比重が高かった経験が多々あります。

セキュリティ部門も向上する

既存のセキュリティ部門自体も人材育成等により品質向上、組織での位置づけを認知する取り組みが必要です。
筆者もこれまで、様々なお客様のセキュリティ部門を見てきましたが、どちらかというと「煙たがられる」位置づけとなっている会社が多かったような気がします。
筆者がファシリテーターとして、色々意見を伺ってみると「理想論や教科書論しか言わない。」、「否定モードから入り建設的な意見交換ができない。」、「提示される対応策が業務実態とかけ離れている。」等々、セキュリティ部門へのマイナスイメージが尽きることはありませんでした。

セキュリティ人材の中に、知見、経験は豊富ではあるものの、会社、組織の業務に精通しておらず、的確かつ具体的な対応策が示せないケースが散見されます。これはセキュリティ部門の計画の甘さに起因するのではないかと考えます。筆者が関与したセキュリティ部門の年間計画を拝見した際、年間のプロジェクト計画に合わせたタスクスケジュールが作られていました。しかし、そのタスクスケジュールに個々のプロジェクトの内容の理解するタスクは含まれていませんでした。そこを問うと「私たちは、どんなプロジェクトや組織であれ、会社で定めたルールに則ってチェックします。」という回答でした。
一見もっともな考え方ですが、その方法では問題点は発見できても、具体的にプロジェクトや組織の現状に沿った対応策が示すことはできません。それは、プロジェクトや組織にとって、セキュリティ部門は単にセキュリティ専門家、セキュリティ評論家の集まりといったネガティブな印象につながることにもなりかねません。

対応策は実際に対応されなければ画餅に過ぎません。したがってプロジェクトや組織にとって納得感のある対応策を示す必要があります。対応策の示し方の一つとしてCEA（Cost/Effect/Alternatives）で示す方法があります。

弊社では、セキュリティ業務の標準化、セキュリティ人材の採用支援、セキュリティアセスメント等も含め、各種セキュリティコンサルティングサービスを提供しております。随時ご相談ください。

執筆者
中司　年哉
株式会社Dirbato（ディルバート）
コンサルティンググループ　シニアマネージャー

パブリックセクター（地方公共団体、独立行政法人など）、金融／製造／サービス業を中心に事業継続計画（BCP）、システム監査、情報セキュリティ監査、認証局監査、内部監査体制構築支援、導入支援、内部統制構築支援、ISO（9001、20000、27001）認証取得支援などのプロジェクトに従事。そのほか、個人情報保護対策構築支援、脆弱性検査、調査研究などについても複数経験。