最近、ユーザの立場でセキュリティ対策を推進している担当者から「どのようなスキルを身に着けていけば将来的にCISOのような立場になれますか?」と聞かれることが何度か続いたので、今回は「CISOへの道」について書いてみようと思います。
私は情報セキュリティ対策をビジネスとして推進する立場として十数年経ちましたが、元々はセキュリティの専門家ではありませんでした。ただ、セキュリティに対する興味と新しいビジネスとして活況を呈する日が来るだろうということは確信していました。
私はこのビジネスに非常に楽しんでいます。元々は理系ですしプログラマですから、当然技術的興味もありますが、それよりも人間の行動心理が表われる場であるからです。情報セキュリティというと、とかく専門技術やマネジメントシステムの構築ノウハウなどがイメージされがちですが、根本は全て「ヒト」なのです。従って、「教科書通りに覚えた知識だけでなく、経験が最も重要になる」ということが言えます。
インシデントは机上だけでは学ぶことは難しいので経験が欲しいところですが、そうは言っても、そうそう情報漏えいなどのインシデントには出くわしませんから、机上や実地でインシデント対応を学べる教材も必要でしょう。インシデントやルールを守らない社員への対応などは経験を積めば積むほど深みが増します。私が最近聞かれたときにも「一つ組織にずっといないでいろいろな組織でいろいろなインシデントや企業文化に触れることがスキルアップに欠かせない」と答えています。
学ぶことは難しいと思われがちなマネジメントシステムの構築。私は難しいこと自体に課題があると考えています。理解すること、実行することが難しい管理手法が、正しいとは思えないからです。何年も真剣にセキュリティ対策に取り組んでPDCAを実践している会社ほど、六法全書に迫るようなセキュリティポリシーというルールブックを持っています。社員が読んだことのない、読む気もしない詳細なルールブックをさらに追加し、強制的に覚えさせて、試験することをマネジメントシステムの構築・推進と思ってはいけません。「セキュリティと利便性を高次元でバランスできる能力」が必要になるのです。
これまでに行われてきたセキュリティ教育や有志による啓蒙活動によって、セキュリティそのものを知らないヒトはいなくなりました。半面、これから人材の流動性がますます高まり、外人の社員が多くなり、会社への帰属意識は低くなっていきます。こうした状況から、「システムによって、人が意識しなくてもセキュリティを守れるように、簡単な仕組みにしていく」のがセキュリティ担当者の仕事です。究極的には、セキュリティ教育を一般社員に行わなくても守られる状態が理想だと私は思っています。
セキュリティ専門家教育というと何年もかかりそうな教材を提示されることがあると思いますが、そもそも技術、マネジメント、経営感覚など全てを備えることは「無理」です。とにかく、得意分野を軸足におきつつ、経験を重ねていくことによって自分なりの「考え方」を持てるようになってください。セキュリティに対する考え方に「一つだけの正解」はないのです。
