【 ここから本文 】
- TOP
- > Topics : コンプライアンス
- >
コンプライアンス
ソーシャルブックマークに登録 :
印刷用ページの表示
ITスタッフが取得すべきセキュリティ認定資格はこれだ!
情報セキュリティに関する各種認定資格をセキュリティ専任スタッフの育成に活用する
(2006年02月05日)
リスク管理
リスク管理を考える前に、まず管理とは何かを考えてみよう。管理とは、Plan(計画)、Do(実行)、Check(検査)、Action(改善)というPDCAサイクルを回すことである。具体的には、リスク管理とは、リスク対策を決め、それを実行に移し、その対策が適切であるかをチェックし、もし改善の余地があれば改善を行うという一連のサイクルである。
よくあるケースに、ハッキング対策として、「3カ月に1回パスワードを変更する」というルールを取り決めたが、パスワードを変更するのが面倒なので、だれも変更しなかったということがある。これでは、せっかく対策も、何の役にも立たなかったことになる。そのため、セキュリティ対策を確実に実施するために、実施状況を定期的にチェックし、継続的に改善活動を行わなければならない。
また、リスク管理はリスクの防止だけに取り組むのではない。一般に、リスク管理の手法には、次のような種類がある。
- リスク回避:リスクの発生する確率をゼロにして回避する。例えば、専用線を導入すれば、インターネットを経由しての不正侵入はなくなる
- リスク防止:リスクの発生を可能なかぎり防ぐ。例えば、ファイアウォールを設置することにより、外部からの不正侵入を困難にする
- リスク軽減:リスクが発生した際の被害を軽減する。例えば、PC内のデータをバックアップしておけば、ウイルス感染によるデータの破壊があっても、被害は軽減できる
- リスク分散:リスクを分散させる。例えば、サーバを2重化しておけば、1つのサーバが故障しても、もう1台のサーバでシステムが稼働できる
- リスク転移:リスクを第三者に転移する。例えば、保険に入っておけば、情報漏洩などが発生した場合、保険金が支払われる
上に挙げたようなリスク管理の手法をどのように取り入れるべきかは、企業・組織の体制やシステムの構成によって異なるが、可能であれば複数の手法を組み合わせて実施することが望ましい。
セキュリティ専任スタッフに求められるスキル
ここまで、情報セキュリティ対策の例やリスク管理について説明したが、このような取り組みを組織内で行うには、各種のセキュリティ対策をマネジメントし、PDCAサイクルの監督を担当できるセキュリティ専任スタッフが必要である。もし、社内にそうした人材がいないのであれば、外部スタッフを雇うか、スタッフを育成しなければならない。以下に、セキュリティ専任スタッフに必要なスキルを挙げ、それぞれ説明しよう。
■技術的スキル
リスクを洗い出し、セキュリティ対策を計画、実施するための前提として、PCやサーバ、インターネット、暗号化技術、認証技術、プロトコルなど幅広い技術的知識が必要となる。これらの知識は一朝一夕には身につかない。セキュリティ専任スタッフを育成するのであれば体系的な教育計画を立てなければならない。
■問題解決スキル
前述のとおり、セキュリティ対策を行う前に、脅威と脆弱性から、自社におけるリスクの存在を認識する必要がある。例えば、自社の業務や組織構造、従業員のセキュリティ意識などを把握したうえで、リスクを洗い出し、適切な対策を見いだす能力が必要となる。
■管理スキル
セキュリティ対策を策定し、その計画を継続的に実行するには、技術的スキルだけでなく、PDCAサイクルを管理・監督できるだけの管理スキルが要求される。
■コミュニケーション・スキル
問題解決スキル、管理スキルのベースとして、コミュニケーション・スキルが備わっている必要がある。例えば、情報システムや業務プロセスにおける脅威や脆弱性を調査するには、社内の各部署の管理者や現場担当者などから、現状をヒアリングすることになる。また、セキュリティ対策の成果をチェックする際や、改善案を提案する際にも、的確に情報を伝達できるかどうかが重要になる。
セキュリティ専任スタッフの役割分担
セキュリティ専任スタッフに必要なスキルについて説明したが、1人の人間にこれらのスキルをすべて期待することはおよそ現実的ではない。そこで、次のような役割に分けて考えるのが一般的であろう。
■情報セキュリティ・マネジャー
セキュリティ対策のPDCAサイクルの管理・監督を担当する人材。基本的な技術知識はもとより、すぐれた管理スキルやコミュニケーション・スキルが必要となる。
■セキュリティ基本管理者
PC、サーバ、インターネットなど各分野のセキュリティに関する基本的な知識を持ち、エンドユーザーの立場で対策を考え、実行できる人材。情報セキュリティ・マネジャーの補佐役となる。
■セキュリティ技術者
セキュリティに関する高度な知識を持ち、セキュリティ対策の実施時に技術的な指導や提案ができる人材。
■ネットワーク・セキュリティ技術者
インターネット/イントラネット、プロトコルなどネットワーク・セキュリティに関する専門的な知識を持ち、対策を計画・実行できる人材。セキュリティ技術者の足りない部分を補完する。
■情報セキュリティ監査人
セキュリティ対策の計画、実施、その成果について、それが効果的であったのかを検証/評価する役割。各種の監査基準についての知識やセキュリティ技術の知識が求められる。
