2016年3月8日
2016年3月8日
2016年3月8日(火)
情報セキュリティの仕事に資格は必要か?
(株)KBIZ 代表取締役 / (ISC)2 Director of Business Development, Japan
小熊 慶一郎
情報処理技術者試験の試験委員になってから8年近く経つ。加えて、最近CISSPやSSCPを普及する立場になったこともあり、資格のことを考える機会が多い。「資格が無くても情報セキュリティの仕事はできますよね?」と問われれば、全くその通り、と答えるしかない。「資格を持っていても仕事の能力が高いとは限らないですよね?」と問われたら、「まぁ、学歴も職歴も似たようなものですよね。」と軽く反論した上で「でも、資格を持っているといいことありますよ。」と続ける。
資格は、個人の特性を会社の名刺上に表せる数少ない手段である。自分が持つスキルが相手に簡潔に伝わる。会社名や所属で理解してくれない海外の人に対してはなおさらである。スキルがわかれば話が早く進む。「MACアドレス」と言って「マクドナルドのメアドですか?」なんてことは起こらないということだ。保有者数の少ない資格を自分が持っていて、名刺交換した相手も同じ資格を持っていたりすると妙に嬉しい。神経衰弱の一回目で同じカードをめくれた感覚だ。
資格がビジネスに直接貢献できるときもある。入札案件で資格保有者が求められている場合がその一つだ。自分の持っている資格が入札の条件になっていたら面目躍如である。資格保持者を探して慌てる上司に聞かれたら、にっこり笑って「安心してください。持ってますよ。」と資格証を指させばよい。
一部の資格では継続教育が必要だ。情報セキュリティに関する環境は常に変化していくので、一定のレベルを維持するためにはセミナー等に参加して勉強し続けなければならない。以前ある人に「情報セキュリティって、どんどん新しい情報が出てきて飽きなくて良いですよね。」と言われたことがある。変化を「大変」と思うのではなく、「飽きない」と考えられることが大事だと思う。決して情報セキュリティ専門家が飽きっぽくて根気が無いということではない。念のため。
最近、情報セキュリティ人材への需要は高い。人材は流動化している。以前はほとんどの情報セキュリティ専門家がIT企業に在籍していたが、最近はユーザ企業に所属する専門家が増加している。今後情報セキュリティ専門家にどのような未来が待ち構えているのか見極めるのは難しい。数年後、情報セキュリティ専門家からオリンピック選手が生まれても不思議は無いのではないか(いや、不思議だ)。
しかし、いくら環境が変わり、会社を変わったとしても、資格は個人についてまわる。そして、継続教育のためにセミナーに参加すれば、同志がいる。会社の外にも知り合いがたくさんいて、自ら勉強し続ける人生は、たぶん良い人生だろう。そんな良い人生を過ごす、ちょっとしたきっかけにでもなれたら良いなと思い、資格に関わる仕事をしている。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年3月8日(火)
組織のセキュリティを高める投資とは
伊藤忠テクノソリューションズ株式会社
クラウド・セキュリティ事業推進本部 セキュリティビジネス部
セキュリティアセスメント課 課長
大谷 誠司
インターネットとビジネスの結合がより深まる時代、アジャイルによる開発スピードの高速化、スケーラブルかつ柔軟なIT基盤、機械学習・深層学習による制御の自律化によって、その深化のスピードは計り知れないものになっています。
翻って見てみれば、これらの変化は攻撃側においても同様です。大規模なDDoS攻撃が頻発し、自律的にアクセス元を変化させるような、高度に自動化された攻撃も発生しています。IoTの普及が進めば、攻撃対象となるプラッフォトームが、社会や生活の至る所に入り込むでしょう。生活はより豊かに、便利になるが、これらのプラットフォームに対して、利用者自身が攻撃から身を守る手段は乏しいのが現状です。
商品やサービスを提供する側から見れば、新たなリスクが台頭してきたと言えるのではないでしょうか。セキュリティが破られることによる影響は、単なるデータの漏洩だけでなく、社会的・人的な損害にまで達する可能性も高くなります。そうなれば、組織のブランドが大きく毀損し、継続的な経済的損失へも直結します。
果たして、厳格なポリシーを作り、ルールを徹底し、セキュリティ対策の機器を導入するだけで、ビジネスのスピードにセキュリティがついてきていると言えるでしょうか。
近年、DevOpsという言葉が登場してきました。開発部門と運用部門が、自律的に連携して協力する開発手法であり、刻々と変化するビジネス環境に合わせた、製品やサービスのリリースを実現しています。しかし、インターネットとビジネスの関係がより深くなる中、DevOps だけでは十分とは言えません。
よりセキュリティを高めるには、相互理解のもとでビジネスを推し進めるスクラムの中に、セキュリティを組み込むべきだと考えます。つまり、セキュリティを加えた、DevSecOps を実現することこそが、セキュリティをビジネスに実装でき、ビジネスを盤石にするだけでなく、ビジネスを牽引する動力と成り得るのです。
セキュリティに対するコストの意識は、まだ多くの組織において存在していると感じていますが、セキュリティを自律的に判断する組織・体制を整えることは、将来にわたる組織の収益を最大化するための投資と考えることができます。局所的なモノや、形だけのガワではなく、セキュリティを大局的に見据え判断できるヒトや、セキュリティをビジネスと連動させる仕組みへの投資も積極的に行ってはいかがでしょうか。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。