特別寄稿「情報セキュリティ認証取得のデスマーチ実態」
ソフトウェアやシステム開発の世界には「デス・マーチ」という言葉がある。エドワード・ヨードンによる同名の著書によれば、開発期間、開発者数、予算が必要量の半分以下にもかかわらず、クオリティ要求が倍以上もあるプロジェクトが、適切なプロジェクトマネジメントを
特集
特集
情報セキュリティ管理業務は「マーチ」=「行進」というよりは、居心地悪い塹壕に釘付けにされて日々集中力をつくす「塹壕戦」に近いが、情報セキュリティの世界にも同様の実態はないのだろうか。
たとえば2007年2月14日現在、6,775 社がマークの使用許諾を得ているプライバシーマークの認証取得の現場もかなり厳しい状況だという噂を聞く。プライバシーマークに詳しいコンサルタントの言によれば、プライバシーマーク取得担当に任命された担当者が次々と退職することは決して珍しいことではないという。そして、その理由は三つあるという。
プライバシーマーク取得を考える企業は、最初は費用がかからない(ように見える)自社担当者による自前取得を目指して、社内の情シス部門の若手などを担当者に任命する。しかし、なぜか一人辞め、二人辞め、という状況になってはじめて埒があかなくなって、社外のコンサルタントに相談するケースが多いのだという。この段階になってから引き受けるコンサルタントの苦労も計り知れないが、ここでは話を前に進めよう。
担当者退職の理由の一つ目は、責任の重さだという。いまや個人情報漏えいのトラブルは、会社の業績や株価にも影響を与える重要項目で、責任の重さでは事業部長や取締役にも匹敵する。その重責を、ろくに権限委譲も昇給も行わない若手担当者に負わせるのは酷というものである。割に合わないミッションを与えられた担当者の多くは見切りをつけて退職するし、運良くナローパスをくぐり抜けて認証を取得した「実力のある生き残り」は、あっという間により良い条件で他社に転職してしまうそうだ。
二つ目の理由は…
【執筆:芦原穣】
フリーライター。
1999〜2000年にかけて、ITバブルを暖かく見守るコラム(共同執筆)を多数発表し話題に。今回初めて、セキュリティ業界を暖かく見守るコラム執筆に挑戦。
──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
アクセスランキング
-
範を示す ~ MITRE がサイバー攻撃被害公表
-
ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入
-
東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される
-
「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい
-
脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺
-
個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服
-
太陽光発電施設向け遠隔監視機器「SolarView Compact」にサイバー攻撃、対策の実施を強く推奨
-
脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得