セキュリティ担当者の「仕事」とは、一体どのようなものでしょうか?
セキュリティ担当者の「仕事」とは?と尋ねられた時、あなたならどのような仕事を思い浮かべるでしょうか?
思い浮かべることは色々あれど、喫緊の課題としては、絶え間なくやってくる悪意のある攻撃に対し、適切な対処を迅速に行う必要があることから、人員規模によっては、それだけで毎日追われてしまっているということはあるかもしれません。小さな会社で、専任のシステム担当が居るわけでもなく、ただ、パソコンに詳しいというだけでセキュリティ担当になってしまったというようなケースでは、何が危険なのか?という情報を追いかけるだけで精一杯という状況かもしれません。
また、規模の大きな企業で、セキュリティ部門やチームを設け、それなりの人員を割り当てているケースでも、悪意のある攻撃への対処やインシデントへの対応など、目先の問題ばかりに目が行っていると、「何のキャリアにも繋がらない仕事」とか、「忙しいばかりで何も報われない」といった思いを抱いてしまうかもしれません。
セキュリティ担当者の「仕事」は「組織におけるセキュリティを確保する」ことですが・・・
セキュリティ担当の「仕事」は、「組織におけるセキュリティを確保する」ことです。そんなことは当たり前で、何を今更。と思われるかもしれませんが、この言葉をどのように理解するかによって、やるべき仕事も、また、取るべきスタンスも大きく変わります。
「セキュリティ」という言葉を「システムのセキュリティ」と捉えれば、最新のセキュリティパッチを当てることなどが主たる仕事と考えるでしょうし、「従業員のセキュリティ意識」と捉えれば、セキュリティルールを作成したり、セキュリティ教育を行うことなどが主たる仕事と考えるかと思います。このように、考え方一つで仕事の内容は大きく変わってしまうわけですが、一つ言えることは、いずれもセキュリティ担当者が「必要な仕事」だと考えているということです。
つまり、どの仕事も「必要」で、考え方によって優先順位が違っているだけだということです。
セキュリティ担当は「組織におけるセキュリティを確保する」役目を与えられた存在である
そしてもう一つ言えることは、「セキュリティ担当」は「組織におけるセキュリティを確保する」役目を与えられた存在だということです。他の誰かがその役目を担うのなら、「セキュリティ担当」が存在する意味がありません。「組織におけるセキュリティを確保する」ことは、その役目を与えられた存在である「セキュリティ担当者」がやるべき事だと言うことに異論を唱える方は恐らくは居ないはずです。
ということは、セキュリティ担当であるのなら、「組織におけるセキュリティを確保する」ために「必要」となることは全てやるべきだ。ということになります。最新のセキュリティパッチを適用することも、セキュリティルールを作成したり、セキュリティ教育を行うことも、「組織におけるセキュリティを確保する」ために「必要」なことは全てやるべきであり、それが「セキュリティ担当者」の役目であると言えます。
しかし、ここであなたはこう思うはずです。「そんなこと言ったって、一人であれもこれもできるわけがないじゃないか」と。
そうなのです。一人で全ての作業を行おうとしてもできるものではありません。ここで発想の転換が必要になります。セキュリティ担当の「仕事」は、「組織におけるセキュリティを確保する」ことです。しかし、セキュリティ担当者が自ら作業をしてセキュリティを確保することが仕事だとは誰も言っていないはずです。
「組織におけるセキュリティを確保する」ことが、セキュリティ担当の「仕事」なのですから、その実現方法はどのようなものでもよく、自ら作業をしなければならないということもないのです。
自分だけでできないのなら、組織の力を使え!
「セキュリティマネジメントはマーケティングであり、プロジェクトマネジメントである」で、セキュリティマネジメント部門はPMO(プロジェクト・マネジメント・オフィス)でもあると書きましたが、「組織におけるセキュリティを確保する」ために必要なことが幾つもあり、それがセキュリティ担当者だけではやりきれないのであれば、発想を変えて、組織全体の力を使って実現することを考えればよいのです。
このように考えると、セキュリティマネジメントとは、最新のセキュリティパッチをシステムに適用することでも、セキュリティ教育を行うということでもなく、それら全てのことを如何にタイムリーに実現、実施していくか?をマネジメントすることが「仕事」だということになります。セキュリティマネジメントというと、セキュリティポリシーの策定や評価、運用といったことが取り沙汰されることが多いですが、それらは「管理(コントロール)」の話であり、「マネジメント」とは異なります。
「組織におけるセキュリティを確保する」ために必要なことをタイムリーに実現、実施していくためには、多く人の協力が欠かせません。協力を得るためには、相手の心を動かし、各人が率先し、協調して動いてくれるよう働きかけることも必要になります。しかし、「管理(コントロール)」のためのセキュリティマネジメントにはこのようなことは領分として含まれていません。マネジメントをするには管理の仕組みだけでなく、高いコミュニケーション力やファシリテーション力も必要です。PMOに求められる能力と同じ能力がセキュリティマネジメントにも求められるというわけです。
セキュリティマネジメントの「仕事」とは、結局のところ自分の考え方次第
あなたがセキュリティ担当で、毎日、目先の問題対処に追われていて、他にやるべき事がなかなかできない。と思っているのであれば、組織全体で対処する仕組みに転換していくことを模索し、実行していくべきです。すぐに変えることは難しいかもしれませんが、目の前に居る人達から少しずつその輪を広げていこうとする努力は、あなたのコミュニケーション力やファシリテーション力などを高めることに繋がるはずです。
「何のキャリアにも繋がらない仕事」と思いながら、目先の問題に追われるばかりの毎日を過ごすか、それとも、組織全体を相手に、コミュニケーション力やファシリテーション力をフルに活用して高度な「マネジメント」にチャレンジしていくか、「セキュリティマネジメント」の「仕事」を面白くするのも、つまらなくするのも、結局のところ、自身の考え方ひとつなのではないでしょうか。
→次の記事へ( 第1話 さあ、標的型メール訓練を実施しよう! )