全国に拠点を持つ企業で研究者として働く伊藤氏(仮名)は,後任のセキュリティ担当者の仕事ぶりに強い不安を感じている。「まじめに一生懸命取り組んでくれている点は評価しているが,いかんせんセキュリティの専門知識が全くない。セキュリティの不安を抱えたまま,後任者が必要なスキルを身に付けてくれるまで辛抱強く待つしかない…」。
伊藤氏は,この春まで自分が所属する研究所のシステム管理者として,所内のセキュリティ確保に腐心してきた。この研究所では早くからコンピュータやネットワークを導入していたため,システムやセキュリティに詳しい研究者の中から,誰かがボランティアでシステム管理者を担当する習慣になっていた。
だが現在,伊藤氏はシステム管理の仕事からは離れている。研究者は研究に専念すべきという上司の方針に従って,事務系の職員からシステム管理者を選ぶことにしたためだ。
ある程度予想はしていたが,コンピュータやネットワークと無縁の仕事をしていた後任の事務系職員には,セキュリティの知識をゼロから学んでもらう必要があった。このため伊藤氏は,自分たちがやってきた運用管理やセキュリティ対策と比べて,大幅に縮小したことしか期待してはいけないと思った。
時間とともに後任者のスキルは蓄積されていくだろうが,果たして伊藤氏が安心できるレベルにまで到達できるかも未知数という。例えばワームに感染した端末が第三者に対するDDoS攻撃に加担してしまい,インターネット・コミュニティで攻撃者として自社の名前が上がってしまう危険もある。ウイルス感染のリスクには,単に業務がストップするというだけではなく,そうした危険性もあるという認識まで持ってほしいが,そこまでは難しいだろうと伊藤氏は考えている。
こう思う理由として,伊藤氏は職場独特の事情も挙げる。事務系職員は数年ごと(多くは2~3年ごと)に異動するのが慣習になっている。システム管理者も例外ではなく,十分なスキル・レベルに到達しないまま,また新しい事務系職員に交代してしまうことが容易に想像できる。この現実を前に,伊藤氏は「これでいいのだろうか」という疑問を禁じえない。
繰り返しになるが,セキュリティ担当者には相応のスキルが不可欠だ。それが一朝一夕に身に付くものでないことは,ケース!)が示す通りである。
それゆえ,セキュリティ担当者が2~3年で入れ替わるような現場では,いつまで経ってもセキュリティ・レベルが上がらないし,担当者が交代するときは確実にセキュリティ・レベルが下がる。場合によってはゼロに近いところまで落ちることもあるだろう。このケースのように,頻繁に人事異動がある場合は注意が必要である。
こうした現場では,セキュリティ担当者を長い目で育成していく配慮が必要になるだろう。せっかく蓄積されたスキルが失われないよう,もっと注意を払うべきである。また,できることなら複数の担当者を置いて,担当者の異動に伴うセキュリティ・レベルの“暴落”に備える必要もありそうだ。
