Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

セキュリティが本業ではない企業のセキュリティ投資、人材はこう考えよ――ANAシステムズ阿部恭一氏が指南

2018/10/09 06:00

 セキュリティを本業としていない一般的な事業会社において、セキュリティ対策にどこまで投資ができるか、また担当する人材をどう社内から発掘し、育成するべきか――。ANAグループで情報セキュリティを統括する阿部恭一氏がセキュリティ投資の考え方を指南する。

担当者のキャリアパスも考慮せよー組織が保有すべきCSIRTの役割

 ANAシステムズ 阿部恭一氏はANAグループのセキュリティ向上に取り組んできたほか、日本シーサート協議会や日本ネットワークセキュリティ協会など社外の活躍も目立つ。セキュリティベンダーではない一般企業における現実的なセキュリティ投資のあり方について解説する。 

ANAシステムズ株式会社 品質・セキュリティ管理部 エグゼクティブマネージャー 阿部 恭一氏
汎用機からAIの応用まで急発展する時代を開発者として活躍。2004年以降セキュリティに従事し、ANAグループ情報セキュリティセンター及び、ASY-CSIRTとしてANAグループ全体のセキュリティ向上を図る。CSIRTに関する講演多数。 著書に「CSIRT:構築から運用まで」(NTT出版:日本シーサート協議会:共著)。

 ここではセキュリティ投資の対象としてヒトとシステムを考える。まずはヒト、つまり人材だ。単に「セキュリティ人材」といっても、人により目的が異なるため定義に差異が出てしまう。例えば「安全な製品を作ってほしい」、「インシデントに的確に対応してほしい」、「社内のセキュリティを向上させてほしい」など、それぞれ目的が大きく異なる。セキュリティ人材について社内で検討する時は、まずセキュリティ人材にしてほしいことを明確にしたほうがいい。そうでないと話がかみ合わないまま進んでしまう。  

 組織が求めるセキュリティ人材は多岐にわたる。その会社が提供すべきCSIRTのサービスから、その実現に必要な人材や要求事項が見えてくる。しかしセキュリティベンダーでない企業だと、社員がセキュリティの専門的なスキルを高めることで評価されるのか、また将来のキャリアパスにメリットがあるかは難しいところだ。企業が必要とするCSIRTのために人材に投資するとき、対象が社員であればその人のキャリアパスも考慮する必要がある。社内で全てまかなおうとせず、アウトソーシングという選択肢も柔軟に組み合わせたほうがいい。  

 阿部氏も参画している日本シーサート協議会では、組織が保有すべきCSIRTの役割と業務内容をまとめている(参考:CSIRT 人材の定義と確保 Ver.1.5 )。

出所:「Security Online Day 2018」ANAシステムズ株式会社講演資料より[画像クリックで拡大表示]

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

バックナンバー

連載:Security Online Day 2018 イベントレポート
All contents copyright © 2007-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5