どの企業でも、情報セキュリティ担当者の選出には頭を悩ますところです。情報セキュリティ担当者には、テクニカルな問題だけではなく、企業文化やその組織がはらんでいる課題を理解し、経営陣やほかの部署の人間とうまくやっていけるようなバランス感覚が必要です。
報セキュリティ担当者とは
情報セキュリティ確保のためには、継続的な取り組みカ泌要です。欧米の企業(特に金融業界)では一般に、システム管理部門とは別に情報セキュリティのための専門部署を設置し、情報セキュリティ担当者と呼ばれる専任の担当者を置いています。
情報セキュリティの専門部署は、ほかの部署から独立し、かつ継続的に機能します○ 情報セキュリティ担当者は、セキュリティポリシーを有効に機能させ、教育・訓練によって従業員への周知徹底を図ることに責任を負っています。しかしセキュリティ意識の欠如した日本企業では、ただちに全社的レベルの情報セキュリティ専門部署や情報セキュリティ担当者を設けるのは、現実問題として不可能です。そこで、過渡的刺青報セキュリティ担当者を設けることが必要になります。
理想的な情報セキュリティ担当者
情報セキュリティ担当者は、社内のインフラ関連の知識があるIT 部門の人間がなることが望ましいのです。IT部門の人間は、自ら構築したシステムを知りつくしているので、なんらかの問題が生じた場合は、まっ先に管理責任を問われる立場にあるからです。しかし、その人選においては、いくつか考慮すべきポイントがありまずセキュリティ担当者は、社内システムのテクニカルな問題だけではなく、企業文化やその組織がはらんでいる日常的な課題を理解できる能力が必要です。
エンジニアとしての「狭く深い」知識だけではなく、企業全体を見渡した包括的な「広く浅い」知識も必要です。つまり、セキュリティ担当者はスペシャリストであり、かつゼネラリストでなければならないのです。また、セキュリティ担当者は、セキュリティポリシーの草案を作成しなければなりません。ポリシーは、できれば一人の人間が作成することが望ましいといえます。
なぜなら、各部署から集まった複数人から構成されるセキュリティ対策委貞会が作成すると、非常に長い時間がかかってしまうからです。ですから、セキュリティ担当者は、論理的に物事を考えることができ、かつ文章でうまく表現できる人間である必要があります。
ポリシーの公布と執行
作成されたポリシーは、セキュリティ対策委貞会において議論・修正されてから、公布されることになります。委員会は異なる機能を持った異なる部署から集められた代表者で構成され、セキュリティ担当者は彼らの間でうまくバランスをとり、ある程度は妥協しなければいけません。
ですから、狂信的で自分のひとつのやり方に固執するタイプや、1日中1人でプログラミングしているほうが楽しいといったタイプは向いていません。セキュリティ担当者は、経営陣やほかの部署の人間とうまくつきあえるような人物であることカ泌須です。
なお、セキュリティ対策には法律的な側面が多分にありますが、法律関連部門の人間がセキュリティ担当者に向いているとは必ずしもいえません0 法律的なアプローチとは、犯罪者にならないためにはどうしたらいいか、被害者になった時にどうしたら法律上の保護が受けられるかといった「後ろ向き」で「臨床的」なものです。したがって「前向き」で「予防的(戟略的)」なセキュリティ対策には不向きです。ただし、セキュリティ村策には法的対策が必須ですので、対策委貞会やレビューに法律関連部門の人間や顧問弁護士を加えるのは有効です。
情報セキュリティ対策嚢具合の機能
セキュリティポリシーの修正・改訂作業は、システム部や教育部、営業部、企画部、法務部、監査部といった関連する部署の人間を含めた対策委貞会ヤプロジュクトの形式で進められます。セキュリティ担当者が作成したポリシーを、そのまま施行するわけではありません。セキュリティ対策は一般に、各部署のエンドユーザーの利便性と相反する関係にあるので、こういった各部署から人材を集めて委員会を結成するのは必須です。
重要なのは、情報セキュリティ対策委貞会は、経営トップ直属の諮問機関として、高い実行力や発言力を持ち合わせていなければならないということです。対策委貞会を組織するためには、各部署に担当者を置く必要があります。
担当者は、自分の部署の情報システムが正常に動作するように維持する「システム管理者(OAリーダー)」と、自分の部署が保有している情報資産(データ)が正しく利用されかつ保護されていることをチェックする「データ管理者」の2 つに分けることができます。もちろん兼務しても構いませんが、できれば別の人間が担当するのがべターです。システム管理者(OAリーダー)は、多くの企業ですでに導入されていますが、専門家であるIT 部門のサポートを受けられるため、ある程度技術に詳しい人間が担当すればこと足ります。逆に、データ管理者は、所属部門が有する情報資産の価値を判断(IT 部門は当然適切な判断を下せません)し、アクセスの許可・不許可を決定し、セキュリティ確保の責任を負います。したがって、データ管理者は各部署の長が担当することが望ましいといえます。
コメント