SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

クラウド時代のセキュリティ・リテラシー(PR)

対談:セキュリティにもストラテジストが必要―クラウド時代に求められるセキュリティ人材とは?【CSAジャパン 二木真明氏×日本HP 藤田政士氏】

クラウド時代に必要なセキュリティ人材とは?

藤田 よく分かります。次にITセキュリティ人材に話を移します。セキュリティの専門家は歴史も底も浅く、まだ少ないと指摘されています。

 藤田 政士氏 日本ヒューレット・パッカード株式会社 テクノロジーサービス事業統括  テクノロジー・コンサルティング統括本部 IT戦略コンサルティング部エンタープライズ・アーキテクト 
▲藤田 政士氏
日本ヒューレット・パッカード株式会社 テクノロジーサービス事業統括  
テクノロジー・コンサルティング統括本部
IT戦略コンサルティング部エンタープライズ・アーキテクト 

二木 確かによく言われます。ただし実情を見ると本来セキュリティ専門家がやらなくてもいいことまでセキュリティ専門家に頼ってしまっているところもあります。例えばシステムのパッチをあてるなどは現場のエンジニアが日常的に実施する保守作業の一部です。ネットワークも、そもそもの設計がまずくては、十分なセキュリティ対策ができません。アプリケーション開発において、脆弱性の排除は品質管理の一貫です。こうした部分は、いわゆる「セキュリティ専門家」の手を借りるまでも無く、各分野のエンジニアが、その素養として身につけるべきことです。こうした部分が不十分だったが故にセキュリティの問題が発生し、セキュリティ専門家が対応にひっぱり出されてしまうのではいくらセキュリティの専門家がいても足りません。

 本質的には現場のエンジニアの素養、つまり技術力を底上げできればセキュリティの状況は大きく改善できると考えています。そこで初めて、専門家が専門的な仕事を出来るようになるのだろうと思っています。  

 いまセキュリティ専門家として本当に不足しているのはジェネラルなエンジニアです。一通りの技術要素とセキュリティの幅広い分野を知り、全体を把握できるような人材です。ITを企画できる人材とともに、こうしたジェネラルなセキュリティ専門家はエンドユーザーのIT部門には特に必要です。特定の技術、たとえば攻撃、侵入技術やマルウエア解析技術などに特化したエンジニアをたくさん育成しても、こうしたエンジニアを適材適所で活用するためには全体を掌握できる人材が必須です。例えば情報セキュリティプロフェッショナル認証資格「CISSP」があります。こういう資格はジェネラリストでないと取得できませんし、もともとが、ユーザーサイドでセキュリティの全体をたばねる人たちを念頭に置いた資格でもあるのです。こうした資格の取得者が、ユーザー側で働けるようになると、セキュリティの状況は大きく改善するのではないかと思っています。  

 また、高い専門性を持ったセキュリティ専門家が現場のインシデント対応に追われてしまうと、自分の専門分野を磨く機会やそのモチベーションを失ってしまいかねません。そういう意味でも、育てるべき人材と役割構造を見直す必要があるのではないでしょうか。こうしたことを考えればクラウドをどう自分たちのシステムに採り入れるかというテーマの検討もスムーズに行えるのではないでしょうか。

藤田 人材の問題というのは予算とも関係していると思います。欧米ではIT予算の5%程度をセキュリティに充てていると聞きます。インシデント発生の有無とは別に常にその予算でセキュリティを固めています。しかし日本は事件が起きたり、BCP(災害対策)でようやく予算がつくという企業も少なくありません。セキュリティ担当者にしても、専任ではなく兼任が多いです。高度なセキュリティ人材をどう確保し、育てていくかも今後の課題ではないかと思います。

二木 その人材とは将来のCIOやセキュリティの素養がある経営層ということでしょうか。そうであれば、そこに到達するまでのキャリアアップのステップを考える必要があります。セキュリティも含め、情報システム全体を見ることができるCIOを育てることを目標に掲げてもいいかもしれませんね。

藤田 そうですね。日本だと経営課題も意識してセキュリティを考えることができる人材が乏しいと感じています。情報システムでクラウドを使おうとするとき、将来のインシデント対応ノウハウだけではなく、全体のシステム構成も含め、経営からの要請に対応してクラウドをどう使うか、どういうリスクがあるか、提案できる人材が少ないと感じています。

二木 難しいですね。もしかしたら、まだクラウドを使うニーズがさほど高くないからなのかもしれません。欧米は新しい技術を貪欲に採り入れてビジネスに勝とうというモチベーションが高いのに対し、日本はまだそこまで到達していません。  

 ただ何が何でもクラウドを使えばいいかというとそうでもありません。目的ではないですから。クラウドに出せるものは出していく。もし都合が悪ければクラウドから消す、撤退することも考える必要があり、その手段はあるのかも検討する必要があるでしょう。データを外部に出すのですから、暗号化などを含め、それをどう守って行くかの大枠をユーザー自らが考えられるようになる必要があります。

 

クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」

 クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?

 日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。

※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。

★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから

★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから

クラウドセキュリティプラスはAWSを利用した演習を含みます。

基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」

 HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。

★HP「セキュリティ研修」の詳細はこちらから

次のページ
セキュリティにもストラテジストが必要

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
クラウド時代のセキュリティ・リテラシー連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6011 2015/05/15 13:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング