今年の4月20日、ラック、(ISC)2、CompTIA日本支局の3社は、ITを利用したシステムやシステム上で取り扱われるデータのセキュリティを確保する「情報保証(IA)/情報保全」に携わる人材のキャリアパスモデルを作成し、個人のスキルを上げることによる組織力向上を目指した人材育成認証モデルに関連したパートナーシップを締結した。

今回のパートナーシップは、ワールドワイドで必要とされている情報セキュリティに対するスキルを国内で提案、提供することを目的としている。

そこで今回、CompTIA日本支局 支局長 / リージョナルダイレクタージャパン 清水秀彦氏(以下:清水氏)、(ISC)2 日本代表　衣川俊章氏(以下:衣川氏)、ラックセキュリティアカデミー 支配人 与儀大輔氏(以下:与儀氏)の3人が、現在のITセキュリティの問題点やキャリアパスの提案のほか、パートナーシップのねらいについて語った対談の模様をお伝えする。

認定資格を取得し、スキルを可視化することが重要

清水氏: 昨今、情報セキュリティを維持するにあたり、ITリテラシがますます必要となってきていると感じているのですが、実際にセキュリティの現場に近いラックやセキュリティ認定資格を提供されている(ISC)2では、どのように感じられていますか?

(ISC)2 日本代表　衣川俊章氏

衣川氏: 最近、スマートフォンなどのデバイスで会社のネットワークに接続するケースが増えており、最低限のITリテラシを持っている人を増やして企業としてセキュリティを守っていく必要性が増してきました。その意味では、CompTIAから提供されているA+やNetwork+といった認定資格を取得し、ITリテラシを高めていくことが有効だと思います。

与儀氏: セキュリティといっても、基本的に「IT」を知らなければなりません。よく「セキュリティ」だけを切り離して考えてしまうのですが、「ITセキュリティ」ですので、利用する方にもきちんとしたITリテラシやITスキルは必要となります。認定資格は、個人のスキルを可視化することが可能ですので、有効な手段となりえるでしょう。また、ITはグローバルで広がっていますので、エンジニアにとっては、グローバルで通用する認定資格でスキルを可視化することは有効な手段です。

セキュリティの対策は、企業「全員」にやらなくては意味がない

CompTIA日本支局 支局長 / リージョナルダイレクタージャパン 清水秀彦氏

清水氏: 最近、「『セキュリティポリシーを持っています』『コンプライアンスもきちんと策定しています』」『ISMSの認証を得ています』など、組織として様々な取り組みをしているので、社員個々人に対しては取り組みをしなくて大丈夫です」とおっしゃる方が結構いらっしゃいます。その反面、毎年のように、IT白書のセキュリティ脅威の1位は「人為的ミス」が続いています。これについては、どのように思われますか?

衣川氏: ワールドワイドで見たとき、企業でISMSを取得しているのは日本が一番多いのですが、情報セキュリティのインシデント数が減っているわけではありません。その原因の一つは、枠組みが具体的な対策に落としこまれておらず、定期的な評価がされていないことがあげられると思います。パッチワーク的なセキュリティ対策を講じ、会社全体として最適な取り組みが考えられていないため、コストだけがかさみ、対策がついてきていないのが現状です。そのため、わかりづらい、守れない、人為的ミスが発生するといった悪循環になっていると思います。この悪循環を止めるためには、ITリテラシのレベルを含めて定期的にレビューして維持することが必要ですし、知識を持って意思決定をできる権限を持つ人材を育成する必要があります。

ラックセキュリティアカデミー 支配人 与儀大輔氏

与儀氏: ラックでは、リスクを可視化して見せることでユーザーを教育することの大切さを理解していただこうと「IT予防接種」というサービスを提供しています。具体的には、セキュリティポリシーを策定している企業に対し、スピア型の攻撃メールを配信し、どの程度開封されてしまうかでリスクを可視化します。結果的には、ほとんどの会社で、誰かが開封してしまいます。御社にはこれだけリスクがありますとリスクを可視化することで、ユーザーを含めた人材を育成する必要性を理解してもらいます。セキュリティ対策は、企業「全員」にやらなくては意味がないんです。

清水氏: セキュリティのバリアは、会社で持っているのではなく各個人が持っているということを認識してもらうことが重要になりますね。仕組みやフレームワーク、ポリシーの全てにおいて、最終的には個々人に対してITリテラシ、セキュリティの考えをきちんと植え付けるということをミッションとし、啓蒙していくことが大事になってきますね。

衣川氏: 日本でISMSを勉強してきた方は、機密性至上主義のようになってしまっているためノートブックPC持ち出し禁止といった話がすぐにでてきてしまいます。米国では逆の発想で、持ちだすために作られたノートブックPCがなぜ持ちだし禁止なのだろうという風に考えます。先程のユーザー側のITリテラシも必要な要素ですが、セキュリティを構築する上で何を優先するかといった発想の転換も必要な要素であると言えるかもしれません。