セキュリティ・リーダーを含めた情報セキュリティ体制を構築せよ

　ガートナーでは2015年3月、ユーザー企業に対して「この2年間に情報システム部門で、情報セキュリティの専門職を採用したか」と聞くアンケート調査を実施した。

　その結果、採用計画すらなかった企業が実に48.9％にものぼった。これは企業が、セキュリティ人材は必要ないと考えているということではなく、「既にセキュリティ人材は自社の中にいる」と認識している結果だと我々は見ている。だが果たしてそうだろうか。

　一方、セキュリティ人材を採用した企業は29.1％にのぼった。ただし、その内訳を詳しく見てみると、ユーザー企業からユーザー企業、あるいはベンダーからベンダーへの転職による採用で、ベンダーからユーザー企業に転職したセキュリティ人材はほとんどいなかった。

　これが、これからの日本企業における1つの課題になると思われる。つまりプロフェッショナルな人材が、なかなか民間企業には下りてきてくれないということだ。ユーザー企業にとっては、情報セキュリティ分野で人を採用するための予算を確保することが重要な取り組みとなる。

　これに関連して、我々は2018年までに20％の企業において、CSIRT管理者の年俸がCIOの年俸を超えるだろうと見ている。つまりあと3年も経てば、これぐらいの報酬を払わなければ、民間企業は必要とするセキュリティ人材を確保することができなくなってしまう。今後企業のセキュリティ人材の採用に対する意識は、大きく変わらざると得ないだろう。

　ここで少しセキュリティ・リーダー像というものを考えてみたい。企業の情報システム部門の場合には、情報システム子会社のセキュリティ営業担当者や技術担当者、あるいはベンダーのCSIRT経験者、また内部監査の経験者でISO27001の審査員といった人たちがセキュリティ・リーダーに相当し、非常に重要な役割を果たすことになる。

　さらにセキュリティ・リーダーはセキュリティ分野の知見だけでなく、高いコミュニケーションスキルを持っていることが基本条件となる。CEOやCIOと対等に会話ができ、最終的には取締役会で稟議書の説明をすることまで求められるからだ。

　今後企業は、セキュリティ・リーダーを含めた情報セキュリティ体制の構築を検討する必要がある。セキュリティ・リーダーの社内における位置付けを明確に定義し、取締役会に出席できる権限までを付与しておくのだ。またセキュリティに関する内部監査を行う独立した組織を設けることも重要だ。その際にコストをかけられるなら、外部の監査機関を利用することも選択肢に入れていいだろう。

今注目すべき最新のセキュリティテクノロジー

　先と同じ調査で、日本企業に関心のあるセキュリティ分野を聞いたところ、圧倒的に多かったのが「ネットワーク・セキュリティ」という項目で、64.3％を占めた。サイバー攻撃の脅威はネットワーク側で防ぐもの、という一般的な認識があることを物語る数字だ。

　しかし現代においては、アプリケーション・セキュリティやアクセス管理といった分野にも投資していく必要があるし、さらにはネットワーク・セキュリティにエンドポイント・セキュリティを組み合わせた多層防御も重要になってくる。

　下図に示すのはガートナーの提唱するセキュリティ・フレームワークで、今存在しているさまざまなセキュリティリスクを、この三角形に含まれるレイヤーに分けて捉え、各々に分類される詳細テクノロジーで防ごうというものだ。


　まず上から大きく3つ、ヒューマンレイヤー、ソリューションおよび認証／規格レイヤー、テクノロジーレイヤーに分けられ、さらに3つめのテクノロジーレイヤーは、データ・セキュリティ、アプリケーション・セキュリティ、インフラストラクチャ・プロテクション、アイデンティティ／アクセス管理（IAM）に分類される。ちなみに我々のアンケートで日本企業の関心が高かったネットワーク・セキュリティは、インフラストラクチャ・プロテクションの領域に属するものだ。

【次ページ】進化し続けるサイバー攻撃にどう対応すべきか