セキュリティ担当者は少数かつ“精鋭”たれ

日常的にセキュリティ関連の仕事を行う筆者は、セキュリティを担当する組織の在り方について「少数精鋭であるべきだ」と考える。その理由とは。

[松尾秀樹，セキュアシステムスタイル]

本コラムは2015年6月26日に公開した「セキュリティは少数“精鋭”たれ」を再編集したものです。

　セキュリティインシデントが起きたりIPOなど社会的責任が大きくなったりするすることで、セキュリティを強化しようという大号令が発動されることがあるという話をよく聞きます。このタイミングがきっかけになって大掛かりなセキュリティ組織ができることも第1回で紹介した筆者の経験通りです。

セキュリティ担当組織の最小構成は3人で事足りる

　しかし、外部のベンダーやコンサルタントをコントロールする能力を超えた外部依存や施策の設定は混乱の元になります。自社のコントロール能力に沿った対策にすべきなのです。

　本来、セキュリティ担当と個人情報管理業務担当、それらを統括するマネジャーの3人で事足ります。あくまで最小構成ですが、それ以上は必要ありません。

　具体的に手を動かす人や技術的なブレーンは外部調達すればいい話であり、物を決めたり社内を動かしたりが3人それぞれでできれば、他はいらないと考えています。当然会社の規模などによっても変わってきますが、最小構成は3人で十分です。

少数かつ“精鋭”であることが重要

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

パスワードは定期的に変更すべきか
これまでのパスワード管理の常識はもはや過去のもの。パスワードの定期更新はリスクを高めるだけだ。
「人材不足」は、情報セキュリティの10大脅威か？
「情報セキュリティ10大脅威」の2018年版順位が先行発表された。ランク外から登場した3つの脅威について解説しよう。
セキュリティ対策費を確保するならリスクベースで語れ
「ITセキュリティに投資を行わない」という企業は、ほぼ存在しない。だが、「どのように投資すべきか」に悩む担当者は多い。
標的型攻撃への対策状況（2018年）／前編
キーマンズネット会員197人を対象にアンケート調査を実施した。実際に標的型攻撃を受けた経験の有無や被害内容などに関する質問を展開した。
標的型攻撃への対策状況（2018年）／後編
キーマンズネット会員197人を対象にアンケート調査を実施した。社内セキュリティ体制や導入するセキュリティ製品など企業の標的型攻撃への対策状況が明らかになった。