前回は、その時々で情報セキュリティ人材の求められる姿が変わってきたということを書きました。そして、そもそも誰が足りないと言っているかを考慮すべきであるということにも触れました。
私は、情報セキュリティ人材が不足していると言われている頃、「情報セキュリティ人材そのものは不足していない。不足しているのは情報セキュリティ人材を必要とする企業だ」ということを言い続けてきました。
実際、情報セキュリティ人材が不足していると言われ始めてから10年近くが経ちましたが、セキュリティ対策への取り組みが、形ばかりにとどまっていたり、経費削減で大きく縮小してしまったりしている企業はいまだに少なくありません。当然、そうした企業では情報セキュリティ人材は不足しているとは言えません。
このようにセキュリティ対策に消極的な企業が少なくない一方で、長年セキュリティ対策に取り組んできた企業ももちろんあります。それら企業では、最近になってある悩みが浮かび上がってきました。自分たちでセキュリティ対策に取り組んできたものの、「達成感が無い」「これで正しいのかがよく分からない」「同業他社と比べると、どの程度進んでいるのか(遅れているのか)」というものです。積極的に取り組んできたがゆえの悩みと言えるでしょう。
社内のセキュリティ対策には時間がかかります。短期的な年度計画だけでなく中期的な計画も必要です。それぞれにコストの概算と成果の設定が設けられるべきですが、これまでの勘違いされているPDCA(plan do check action)の考え方によると、「とりあえず実行してから見直そう」という場当たり的な対応に流れがちです。その結果、コスト増大や利便性低下に対するクレームばかりを受けて、達成感が無いであるとか正しいのか分からないということになるのです。
情報セキュリティ対策を推進すると、必ず利便性の低下やコストの増加が問題となります。両者のバランスは、よほどITを掌握している社長でなければ判断できるものではありません。従って、情報セキュリティの専門家のなすべきことは、セキュリティと利便性、コストのバランスを判断できる人物への正確な情報提供なのです。
例えば、大企業では少々の情報漏洩などのインシデントは珍しくなく、むしろインシデントに慣れてしまっているところも少なくありません。そうした企業では下手なセキュリティ会社よりもインシデントハンドリングの経験を持っています。こうした企業に、コストのかかる情報資産の算定や脅威分析の必要性をどんなに説いても心に響きません。逆に、「(コストをかけて)詳細なリスク分析をしても、結果(やること)は変わらないですよね」と話して共感してもらえるのはこうした企業です。
当然ながら、セキュリティ対策の実行を判断できる人物は経営陣であることが多いので、情報提供を行う人物にもそれなりに経営感覚が必要になります。間違っても「***は禁止」という号令ばかりで利便性を低下させる(コストを増やす)“セキュリティモンスター”であってはいけませんし、聞きかじりの理論だけのコンサルタントでもいけません。
ところで、大企業であっても、情報セキュリティ専門の取締役という方はほとんど見かけません。大抵は情報システム部門の責任者か、総務部などの責任者が兼任しているのです。もちろん異論はあると思いますが、私は、情報セキュリティの責任は情報システム部門の責任者が負うべきだという考えです。IT技術とセキュリティとコストのバランスを判断できるのは情報システムの責任者であることが多いからです。
