担当者のキャリアパスも考慮せよー組織が保有すべきCSIRTの役割
ANAシステムズ 阿部恭一氏はANAグループのセキュリティ向上に取り組んできたほか、日本シーサート協議会や日本ネットワークセキュリティ協会など社外の活躍も目立つ。セキュリティベンダーではない一般企業における現実的なセキュリティ投資のあり方について解説する。
ここではセキュリティ投資の対象としてヒトとシステムを考える。まずはヒト、つまり人材だ。単に「セキュリティ人材」といっても、人により目的が異なるため定義に差異が出てしまう。例えば「安全な製品を作ってほしい」、「インシデントに的確に対応してほしい」、「社内のセキュリティを向上させてほしい」など、それぞれ目的が大きく異なる。セキュリティ人材について社内で検討する時は、まずセキュリティ人材にしてほしいことを明確にしたほうがいい。そうでないと話がかみ合わないまま進んでしまう。
組織が求めるセキュリティ人材は多岐にわたる。その会社が提供すべきCSIRTのサービスから、その実現に必要な人材や要求事項が見えてくる。しかしセキュリティベンダーでない企業だと、社員がセキュリティの専門的なスキルを高めることで評価されるのか、また将来のキャリアパスにメリットがあるかは難しいところだ。企業が必要とするCSIRTのために人材に投資するとき、対象が社員であればその人のキャリアパスも考慮する必要がある。社内で全てまかなおうとせず、アウトソーシングという選択肢も柔軟に組み合わせたほうがいい。
阿部氏も参画している日本シーサート協議会では、組織が保有すべきCSIRTの役割と業務内容をまとめている(参考:CSIRT 人材の定義と確保 Ver.1.5 )。
出所:「Security Online Day 2018」ANAシステムズ株式会社講演資料より[画像クリックで拡大表示]
