【SSCP資格ガイド第1回】
広範なIT実務者にセキュリティ知識が求められる理由

“非専門家”のためのセキュリティ資格＝SSCPとは

（2010年01月12日）

　近年、セキュリティ知識はセキュリティ専門家だけではなく、システム開発や運用など非セキュリティ専業のIT実務者にも必要となっている。そうした実務者のための情報セキュリティ認定資格が「SSCP」だ。本連載では10回にわたり、SSCPの目的や対象領域、メリットなどを紹介していく。

長谷川長一（ラックセキュリティ能力開発センタープロフェッショナルフェロー）

経営や組織の観点から
セキュリティを理解する

　企業を取り巻く環境は今、急速に変化している。環境変化によって、経営のグローバル化、コンプライアンスの強化、事業継続性の維持（BCM）などさまざまな要件が生まれており、企業にはそうした要件への対応が強く求められている。

　「IT環境の構築／維持」もそうした要件の1つだ。急速な進歩を遂げたIT技術は、社会インフラとして企業経営や日常生活の中に浸透し、多くの利益をもたらしている。今日の社会経済活動はITに大きく依存しており、IT環境はすでに企業のライフラインだと言える。

　また、企業は健全な経営のために、利益の最大化とリスクの最小化を図らなければならない。そのためには、自社の経営資源を有効活用するとともに、重要な資産を保護することが必要である。

　企業における「資産」というと、従来は“経営3大要素”と呼ばれる「ヒト」「モノ」「カネ」が挙げられてきた。だが、最近ではこうした有形資産だけでなく、「情報」「ブランド」「イメージ」といった無形の資産も増えている。既に多くの企業では、総資産に占める無形資産の比率が有形資産の比率を上回っていると言われており、資産としての「情報」の価値はますます高まっている。今や、「情報の活用」と「保護」は情報システムという部門単位の課題ではなく、企業という単位、すなわち経営課題そのものとなっている。

　このような背景から、情報セキュリティの専門家や実務者に求められる知識／スキルも変化してきている。IT技術の面からだけでなく、「企業経営」や「組織運営」という観点からも情報セキュリティを理解し、適切な判断を下すことが必要とされているのだ。そのためには、技術や理論の断片的な知識ではなく、それを実際の業務の中で応用し、実施するだけの体系化された実践的知識が欠かせない。さらに、企業環境の変化や技術の進化に取り残され陳腐化してしまわないよう、過去ではなく現在において通用する最新の知識やスキルを備えている必要がある。

　上述のようなセキュリティ知識が求められるのは、何も情報セキュリティの専門家や実務者だけではない。業務の上でそうしたスタッフとかかわることになるネットワーク設計、システム開発、システム運用などの専門家や実務者も同様である。プロジェクトにおいては専業／非専業の者が一緒に業務を行う必要があるし、組織として「ITの活用」と「保護」がバランスよく実現されるためには、両者間、あるいは経営陣との間で円滑なコミュニケーションが図られる必要がある（図1）。