セキュリティ人材の育成は「実際に手を動かしてみること」が大事
ログ分析に加え、同社で近年力を入れているセキュリティ関連施策として、岩本氏は「セキュリティ人材の育成」を挙げる。どれだけ高度な製品や仕組みを導入したとしても、それらを実際に運用するのは人である限り、「やはりシステムを守るのは最終的には“人”である」と岩本氏は述べる。ジャパンネット銀行ではこの考えに基づき、現在実践的なスキルを持ったセキュリティ人材の育成を積極的に進めているという。
しかし、すべての面において高いスキルを持つ「スーパーエンジニア」の育成を目指しているわけは決してない。例えばマルウェア解析やフォレンジックといった極めて専門的なスキルを必要とする活動に関しては、たとえ自社内で十分なスキルがそろっていなくとも、外部の専門家にアウトソースすることで十分まかなえると判断している。
ただし、「ただ外部に丸投げするだけでもダメだ」と岩本氏は指摘する。
「いざというときに、外部の専門家と正確にコミュニケーションをとれるだけのスキルはきちんと身に付ける必要があります。そのために、ベンダーの有償講習を受講するなど、知識習得のためのさまざまな施策を打っています。その際には単に机上の学習だけではなく、実機を使ったハンズオンを行うことが重要です。実際に自ら手を動かして作業を行ったことがあるのとないのとでは、社外の専門家とのコミュニケーションの質がまったく違ってきます」
また最後に同氏は、セキュリティ対策を考える上でよく話題に上る「セキュリティ対策の投資効果をどう考えるか?」という点についても、ジャパンネット銀行での取り組みを簡単に紹介した。同社では、ネット専業銀行という特殊な業態、また世間一般的に言われている「IT予算に中に占めるセキュリティ予算の比率」などを鑑みて、2017年度はシステム関連投資・経費の10%程度を目安に、弾力的にセキュリティ予算を運用しているという。
一般的には判断が難しいと言われるセキュリティ対策の投資判断について、岩本氏は次のように参加者にアドバイスを贈る。
「セキュリティ対策に完ぺきはあり得ませんから、経営陣には『まだ自社でできていないこと』『残存しているリスク』についてもきちんと包み隠さず報告することが大事です。その上で、現状で不足している点について、それぞれのリスクや現在の自社の対応状況、世間一般の対応状況などを評価して、適切な投資判断を下す必要があります。もちろん、これを可能にする上では、経営側の理解が欠かせないことは言うまでもありません」
