セキュリティ担当者は少数かつ“精鋭”たれ

　重要なのは、少数であることよりもそれぞれが「精鋭」であることです。精鋭とは具体的にどんなことなのか、幾つかの例を挙げます。

少数精鋭で一貫性とスピードをアップ

　これらがしっかりこなせる人材であれば、現場に対して大きな負荷をかけることなくガバナンスのとれた環境を現場に浸透させることが可能です。

　例えば、現場から「新しいツールを使いたいが、ルールに適合しているかどうか」を尋ねられたとします。セキュリティ担当者は、具体的な仕様を取り寄せて外部のチャネルを駆使しながら中身を精査し、いい部分と悪い部分をルールに照らし合わせて迅速に判断することになります。

　上記の3点が整っていれば、「これまでのルール（判例）はこの通りなのでここはNGです。この部分は手による運用は避けてほしい」といった具体的な指示が返せるようになるはずです。

少数精鋭でなくなったときに起こる変化

　会社の規模やエグゼクティブの意思によって、セキュリティを担当する組織の規模が大きくなることがあります。その結果、少数精鋭でなくなったときに起きる変化があります。

　例えば現場から問い合わせに「私は担当ではないので、他に問い合わせてください」とお役所的な対応が目立ってきます。

　システムごとの担当者がいて、情報管理における個人情報担当、マイナンバー担当といったかたちで細分化され、サービスを立ち上げる際には全ての担当のセキュリティチェックを実施する必要に迫られます。調整が必要となりチェックがすぐに完了できず、現場に多くの負担を強いることにもなりかねません。

　組織の急な拡大に対応するために大量の中途入社を採用することもあります。すると「以前の会社（例えば大手ネット系企業）だとこうしていた」といった、前職のルールを前提に考えてしまうものです。

　「うちの会社ではこのルール、この仕様で進めていくので、このツールは使わないように」とネガティブなことを説明すると、納得しないまま「セキュリティ担当者にいわれてしまった、あの人は嫌いだ」という感情が芽生えてしまうのです。

　きちんと説明しても、こういったことは起こり得るのです。中途採用が悪いわけではありませんが、会社を愛することができる人材に育てていくことが非常に重要です。

　次回は「セキュリティポリシーを含めたルール作りのテクニック」についてお話しします。

著者紹介：松尾秀樹

1986年リクルート入社、コンピュータタイムシェアリング事業でスパコンの設置や運用を担当。1993年SI事業へ出向、大手クライアント技術支援。2002年システムセキュリティ担当、Webサービスの施策展開。2014年リクルート退職、セキュアシステムスタイル設立、代表取締役。「企業のセキュリティ担当者を支援するサービス」を提供中。