「これからのセキュリティ教育を考える」(1)「拡大・変質し続けるセキュリティ技術者の業務

Scan編集部
http://www.ns-research.jp/cgi-bin/ct/p.cgi?trn_scw

2007年度の従業員の研修計画を立案中の担当者の方や、今年こそは役に立つセキュリティジャンルの資格取得をと考える読者の方に向けて、JNSA事務局長の下村正洋さんのインタビューを、ScanNetSecurity注目特集として3回の連載企画としてお届けします。

───

＞＞「セキュリティ技術者」の定義がむずかしい理由

Scan編集部：
まずお伺いしたいのですが「セキュリティ技術者」の定義とはなんでしょうか？

下村氏(以下敬称略):
セキュリティを広義に考えれば、「人命や財産などを守ること」、すなわち防犯という意味です。が、ITの世界では「情報セキュリティ」という意味で定着しつつあり、“情報という名の資産”をいかに安全に確実にやり取りして保有するための技術者、というのが大まかな定義です。

ただ、この情報というのが厄介なもので、ある人にとっては紙くず同然のものでも、別の人間には数百万円の価値のあるものだったりします。だからこそ、扱いが難しいし、守るのも大変です。

＞＞セキュリティ対策発展の三段階とは

Scan編集部：
その定義も、ITの世界の発展とともに大きく変わってきたように思えるのですが。

下村：
定義自体は大きな変化はないと思います。ただ、セキュリティ対策や技術は、ものすごい発展をし、その守備範囲も大きくなっています。かつては、ただ単にファイヤウォールを設置し、リモートアクセスの安全を確保できれば十分な対策になりました。これが情報セキュリティの第一ステージで、「情報セキュリティ＝ネットワークの防衛」であり、外部からの脅威から防御がメインでした。

ところが、次は社内、つまり内側からの漏洩や盗難が相次いできました。ここからセキュリティ・マネジメント、「ISMS（情報セキュリティマネジメントシステム）」が注目されるようになりました。

そして、その次のステージとして、今度は「企業ガバナンス」が脚光を浴び、「内部統制」という言葉が流行語になりました。これは、IT面だけの話ではなく、企業全体の人的管理やらなんやらすべてひっくるめた内部の管理・統制が流行り、情報セキュリティもその中で考えなければならなくなりました。

Scan編集部：
昔はネットワークの防衛だけだったのが、どんどん拡大していった。

下村：
そうですね。セキュリティという面から見ると、かなり大きな範囲を見なければならなくなりました。今は、サーバのファイルだけじゃなく、書類も含めた会社の資産、あらゆる「情報」を守るのが仕事になりました。

＞＞設計や構築にもセキュリティの知識が必須に

Scan編集部：
セキュリティ技術者の仕事は、どのように変わっていったのでしょうか？

下村：
かつてのセキュリティ技術者は、狭義の意味では、不正な行為から情報システムを守るためにネットワークを設計したり、監視したり、分析するというのが仕事でサーバのセキュリティ対策、ファイヤウォールやルータ、スイッチなどを設定することでした。

そして今度は、セキュリティをよく理解した上で業務アプリケーションも含むシステム全体を設計・構築するのが仕事になりました。このレベルだと、もはや技術者というよりも、SEの仕事に近くなっています。余談ですが、SEや業務用アプリケーションの設計者なども、セキュリティについての知識や技術がないと立ちゆかなくなってきているのも、また事実です。情報処理技術者試験センターでの「テクニカルエンジニア試験」の「情報セキュリティ（SV）」の合格者たちが、この業務を担当する技術者に該当します。で、その直接設定を担当する技術者とは別に、もうひとりの担当者が必要になってきています。

Scan編集部：
もうひとりの担当者とは…？

※記事のつづき
「これからのセキュリティ教育を考える」
http://www.ns-research.jp/cgi-bin/ct/p.cgi?trn_scw

【執筆：Scan編集部】