PR

マネジメント領域に強い人材を確保する

 前回はセキュリティ対策が必要となっている背景,セキュリティ対策の実行に必要なスキル項目について解説した。

 では,どのようなセキュリティ・スキルを持つ人材を企業内で確保して,どのようなセキュリティ・スキルをコンサルタントなど外部に依頼すればよいのだろうか。すべての企業に当てはまる回答ではないだろうが,「マネジメント領域に強い人材を企業内に確保し,テクニカル領域は必要に応じて外部委託する」という方針が考えられる。こう考える理由は,以下の通りである。

●企業内のセキュリティ管理全般を推進していくのは社員が望ましい
セキュリティ管理全般を推進していくためには,企業内の事情を理解していることが必要であり,そのような事情は外部委託業者に開示すべきものではない。

●技術は日々進歩していて,その技術の進歩に追いつくためには専任が望ましい
セキュリティ技術は日進月歩であり,ハッカーは常に最新技術を用いて攻撃してくる。それに対抗するためには最新技術を知っている必要があるが,システム管理やその他の業務をこなしながらでは両立は難しい。

●マネジメント領域の知識はテクニカル領域の知識と比べると変化がゆるやかである
マネジメント領域の知識は,法令やガイドラインといったルールのようなものや外注管理などの契約にかかわるもの,プロジェクト・マネジメントやリスク・マネジメントなどの管理的なスキルが多く,1日単位で変わるようなものではない。

 「マネジメント領域に強い人材を企業内に確保する」理由にはこのほか,全体を見据えてセキュリティ対策の管理・実行を計画立てて進められるスキルを優先したほうが,その後の展開を楽に進められることもある。ただし,マネジメント領域のスキルは一朝一夕で身につくものではない。IT業界全体でも管理領域のスキルを持った人材が不足しているため,新たに確保するのは難しいかもしれない。したがって,これから人材を育成・確保していくのなら,コンサルタントの有効活用を考えるべきだろう。

 コンサルタントを有効活用する場合は,まず企業内でセキュリティ管理を推進していく部門を決めて,その部門のスタッフにセキュリティに関連する知識を習得させる。マネジメント領域のスキルは経験によるところが大きいため,その修得段階で経験豊富なコンサルタントを活用して,スタッフに知識を水平展開させるのである。そして,マネジメント領域のスキルを習得したスタッフを中心に,セキュリティ対策のプロジェクトを組む。この段階でも,コンサルタントの力が必要ならば活用するといいだろう。

 ただし,コンサルタントを利用する際には「コンサルタントの言いなりにはならない」ということに注意しなければならない。当たり前のことかもしれないが,セキュリティ管理を進めていくのは最終的には企業であり,企業内の管理部門である。知識が不足しているうちはコンサルタントの知識・経験に頼ることもあるかもしれないが,その際でも最終的にはそれらの知識・経験を加味した上で管理部門が決定しなければならない。そうでなければ,企業内の意思決定機能が成長しない。

 テクニカル領域,特にIT基盤技術,OS,サービスなどに強い人材は,情報システム部門がある企業なら確保できるはずだ。それが難しい場合,特にセキュリティ関連の技術については必要に応じて外部委託してもいいだろう。

図1 管理者に求められるセキュリティ・スキルのレベル
図2 技術者に求められるセキュリティ・スキルのレベル

全分野でEntryレベルの知識は最低限必要

 図1[拡大表示]及び図2[拡大表示]はセキュリティ対策を推進していく上で,管理者及び技術者が持っておくべき理想のスキル・レベルである。これらは前回,表1としてまとめたセキュリティ・スキルの各項目を軸にしたレーダー・チャートである。

 この中で,管理者はマネジメント寄り,技術者はテクニカル寄りであることはすぐに理解できると思う。注目してもらいたいのは,どちらの職種でもすべての知識においてEntryレベルはクリアすべきだということである。例えば,マネジメント領域を担当する管理者でも,テクニカル領域で情報処理技術者試験の基本情報技術者程度の知識は身に付けておかなければならない。

 このマップは企業が確保すべき理想の管理者及び技術者像なので,最初からこのような人材を確保することは難しい。しかし,このマップに近づけるように教育・研修の計画を作成していけば,セキュリティ管理体制を充実させることができるはずだ。

 教育・研修の計画では奨励金や社内資格制度など社員のスキルアップのためのモチベーション維持策も合わせて検討していくべきだろう。報奨金や社内資格といった明確な目標があるとモチベーションも違ってくるというものである。

 企業内の人材育成は,コストと効果の兼ね合いが重要であることは説明するまでもない。だが,優秀な人材は企業において重要な資産となる。企業内でしっかりとしたセキュリティ管理体制を構築できることは,取引先などへの体外的なアピールにつながっていくと予想される。

 以上のようなスキル項目,人材育成方針を企業内のセキュリティ対策の管理・実行を推進していく上で参考にしていただければ幸いである。