検索
セキュリティ人材の育成に有効な<4つのアプローチ>
1.セキュリティアウェアネス
アウェアネスとよく対比されるリテラシーは、ある分野における知識や理解力であり、網羅的・体系的で、技術的要素を含むことがあります。
一方で、アウェアネスはある事象に関する気づきや意識で、事象にフォーカスしており、技術的要素は薄いと言えます。言い換えると、「あ、なんかまずいかも?」と気づくことだと思います。
交差点のたとえ話でもう少し噛み砕くなら、「青信号の交差点を渡っていても、右折してくる車はあるかもしれないということを知っていて、“気をつけなきゃ”と思えること」であり、そのセンスをトレーニングするのがアウェアネストレーニングです。
セキュリティを生業にしていない人たちが、「あ、なんかまずいかも?」と思うセンスを高めると、必然的にセキュリティのリスクは下がっていくと考えられます。次々と攻撃手法が編み出される昨今、それに対処できるマニュアルの整備やシステム面の対応を待っている余裕はなく、「あ、なんかまずいかも?」と気づくセンスを養うことが必要です。
2.プラス・セキュリティ
アウェアネスを高めて異常に気づいた後、次は具体的な行動をとれるようになることが求められます。ここでのキーワードは「プラス・セキュリティ」です[図表7]。
企業・組織内でDXを推進するマネジメントに関わる人材層をはじめとして、ITやセキュリティに関する専門知識や業務経験を必ずしも有していない人材に対してセキュリティ知識をプラスするという概念です。
DXの進展によって事業部門でデジタルとの関わりが広がっていくと、おのずと事業部門の人材もセキュリティ関連業務との関わりが深くなっていくため、その点において、セキュリティやITの専門人材との協働が求められるようになります。
その際には、事業部門の人材と専門人材との相互理解が欠かせないため、事業部門の人材が専門人材の役割と自身の役割を理解し、自身の役割を実践できる人材に育成するのです。
3.セキュリティ・バイ・デザイン
「いつやればいいの?」に対応するセキュリティ・バイ・デザインの実践は、システムを構築するビジネスの現場に当てはめてイメージしてみてください。
まず構想があり、それから予算編成を行い、システムの企画をして、調達へとフェーズが進んでいきます。このビジネスプロセスが進めば進むほど制約条件は多くなるため、ビジネスの早期から適切にセキュリティを組み込むことが不可欠です。まだ制約が少ない企画段階からセキュリティも意識して、システムに組み込んでいくべきなのです。
これは数多くのお客様から調達仕様書を受け取ってきた経験に基づいた発想です。この段階でセキュリティ要件がきちんと考慮されていないケースが多く、後から組み込もうとすれば予算に収まらず、システムのコンセプトにまで影響してしまうことも珍しくありませんでした。
このセキュリティ・バイ・デザインの考え方は、重要な考え方としてIPAやデジタル庁からもガイドラインが発行されています。
4.社会情勢の変化などから必要なセキュリティ実装は何かを考えて実践する力
システムが完成するまでには場合によっては数年かかることもありますので、つくっている時点でのリスクではなく、数年後のリスクまで見通しておくことも必要なスキルです。
そこで、さまざまな情勢の変化から「次は何が起こるのか」を感じ取り、「何をすればよいのか」を考えて実践できる能力を養っていく必要があります。
注目のセミナー情報
【国内不動産】10月3日(木)開催
【ローンのお悩みをズバッと解決】
保証会社役員登壇!まずは借入額を知ってから始める物件探しセミナー
【海外不動産】10月3日(木)開催
【特別プランをセミナー限定でご紹介!】
カンボジア・プノンペン初のアートコンドミニアム
Picasso Sky Gemmeの魅力徹底解説セミナー
