【第3回】セキュリティは少数“精鋭”たれ

IT・IT製品TOP > Key Conductors > 松尾 秀樹(株式会社セキュアシステムスタイル) > 【第3回】セキュリティは少数“精鋭”たれ
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

【第3回】セキュリティは少数“精鋭”たれ

2015/06/26

 日常的にセキュリティ関連の仕事を行っている私ですが、セキュリティを担当する組織のあり方について思うことがあります。それはセキュリティを担当する組織は少数精鋭であるべきだということです。

セキュリティ担当組織の最小構成は“3名”で事足りる

 セキュリティインシデントが起きたり、IPOなど社会的責任が大きくなるタイミングでセキュリティを強化しようという大号令が発動される事があると言う話をよく聞きます。また、そのタイミングで大掛かりなセキュリティ組織ができるきっかけにもなるのは、第1回コラムのように私もそうでした。

 しかし、自社で外部のベンダやコンサルタントをコントロールする能力を超えた外部依存や施策数の設定はかなり混乱のもとになります。自社のコントロール能力に沿った対策にすべきなのです。

 本来であれば、セキュリティ担当と個人情報管理業務の担当、そしてそれらを統括するマネージャの3名で事足ります。あくまで最小構成ですが、それ以上は必要ありません。具体的に手を動かす人や技術的なブレーンは外部調達すればいい話であり、物を決めたり社内を動かしたりということが3人それぞれできれば、他はいらないと考えています。当然会社の規模などによっても変わってきますが、最小構成は3名で十分です。

少数かつ“精鋭”であることが重要!

 ここで重要なのが、少数であることよりもそれぞれが“精鋭”であることです。精鋭とは具体的にどんなことなのか、いくつかの例を下記に記します。

・広くて深い経験値など備わっていること。少数かつ精鋭であることでデシジョンメイキングが迅速に行われる。

・技術的な裏付けを得るための、外部のチャネルをたくさん持っていること。人間関係をうまく構築できるかどうかが重要に。

・判例主義を貫くことができること。異なることを言うと以前NOを突きつけた人たちから恨まれることに。現場は横のことをよく見ており、不公平を嫌う。

 上記のことがしっかりこなせる人材であれば、現場に対して大きな負荷をかけることなくガバナンスのとれた環境を現場に浸透させることが可能です。例えば、新しいパーツを使いたいが、ルールに適合しているかどうか現場から尋ねられたとします。その場合、セキュリティ担当者の方で具体的な仕様を取り寄せて外部のチャネルを駆使しながら中身を精査し、いい部分と悪い部分をルールに照らし合わせて迅速に判断していくことになります。上記の3点の環境が整っていれば、「これまでのルール(判例)はこの通りなのでここはNGです。この部分は手による運用は避けて欲しい」といった具体的な指示が返せるようになるはずです。

少数精鋭でなくなったときに起こる変化

 会社の規模やエグゼクティブの意思によって、セキュリティを担当する組織の規模が大きくなることは当然あり得ます。しかし、実際に少数精鋭でなくなったときに起こる変化が影響することがあります。

 例えば現場から問い合わせがあると、「私はその担当ではないので、他に問い合わせしてみてください」とお役所的な対応が目立ってきます。担当を見てみると、システムごとの担当者がいて、情報管理における個人情報担当、マイナンバー担当と言った形で細分化され、結果としてあるサービスを立ち上げる際にはすべての担当のセキュリティチェックを実施する必要に迫られます。細分化され調整が必要であるゆえなかなかセキュリティチェックを完了させることができず、現場に多くの負担を強いることにもなりかねません。

 また、急に組織を拡大させるために、大量の中途入社を採用してしまうこともあります。そこでは、「以前の会社(大手ネット系企業)だとこうしていた」といった、前職のルールを前提に考えてしまうものです。うちの会社ではこのルール、この仕様で進めていくのでこのパーツは使わないように、というネガティブなことを説明すると、結局納得しないまま「セキュリティ担当者に言われてしまった、あの人は嫌いだ」という感情が芽生えてしまうのです。きちんと説明してもそういったことは起こりえるのです。中途採用が悪いわけではありませんが、会社を愛することができる人材に育てていくことが非常に重要です。

少数精鋭で一貫性とスピードをアップ

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

少数精鋭で一貫性とスピードをアップ

 次回は、「セキュリティポリシーを含めたルール作りのテクニック」についてお話しします。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008038


IT・IT製品TOP > Key Conductors > 松尾 秀樹(株式会社セキュアシステムスタイル) > 【第3回】セキュリティは少数“精鋭”たれ

このページの先頭へ

キーマンズネットとは
86年リクルート入社、コンピュータタイムシェアリング事業でスパコンの設置/運用。93年SI事業へ出向、大手クライアント技術支援。2002年システムセキュリティ担当、Webサービスの施策展開。2014年リクルート退職、株式会社セキュアシステムスタイル設立、代表取締役。「企業のセキュリティ担当者を支援するサービス」開発・提供中。

ページトップへ