「情報セキュリティ人材の育成」
どの企業にとっても避けて通れない情報セキュリティ対策。普段はその重要性を認識されにくいことから、人材育成は後手に回りがちだ。しかしその被害は甚大なため、各職場に情報セキュリティ人材を育成する必要がある。その役割と育成方法とは。
サイバー攻撃は日々高度化
企業の大切な情報を狙うサイバー攻撃の技術は日々高度化し、その手口はますます巧妙になっています。ひとたび情報の漏えいが起これば、実質的な被害(図1)のみならず、信用の失墜や企業イメージの低下にもつながりますから、企業にとって情報セキュリティ対策は極めて重要です。
かつて情報セキュリティ対策の中核を担ってきたのは、ITサービス企業でセキュリティ分野を担当するエンジニア、SE、プログラマーといったITスペシャリストたちでした。
しかし今や、ITサービスを提供する側だけでなく、ITを利用する一般企業でも、社内の情報セキュリティ対策のレベルアップや、そのための人材育成が欠かせません。
その最大の理由は、どの企業でも大半の従業員たちがインターネットに接続したパソコンやモバイル端末で業務を行うようになったことにあります。
例えば、“ウイルスを添付した電子メールを送りつける標的型攻撃”の場合、たった1人の社員がそれを開封しただけで、そのパソコンに侵入したウイルスがネットワークを介してシステムの中枢に侵入し重要な情報を盗み出す、といったことが起こります。つまり、ITサービス企業がどんなに万全なシステムを提供しようとも、またそれを使う企業の情報セキュリティ担当部門がシステム運用のルールをきっちり設けようとも、現場の従業員が知識不足であったり、決められたルールを無視していたりすれば、被害を防ぐことはできません。全社員が1人もミスすることなく、万全な対策をしなければ意味がないのです。
そこで、企画、営業、製造、総務、人事、経理など、情報システム部門以外でも、その職場の情報セキュリティ上のルールに精通し、その管理・メンテナンス等全般をマネジメントできる「情報セキュリティ管理者」を育成することが急務になっているのです。
情報セキュリティ管理者とは
情報セキュリティ管理者の役割は、自社のルールや施策を正しく理解し、自分が属する部門が情報セキュリティをしっかり保った状態で業務を進められる状況をつくることです。
当然ながら情報セキュリティ管理者は専任ではなく、別の業務を持つ人が兼務することになります。部門のメンバーが1人で担当する、部門長が任に当たる、部門のメンバーが複数人で担当……など、その組織の規模やメンバー構成によってさまざまな形が考えられるでしょう。