情報セキュリティ人材の不足が叫ばれる一方、多くの企業は、セキュリティ関連資格をセキュリティ担当者のとりあえずの採用指標にしていることはないだろうか。
もちろん、メジャーなセキュリティ関連資格は多くはない。事業や業務の中では「情報セキュリティ」としてくくられる分野でもある。資格の有無をとりあえずの指標にすること自体が問題とは言い切れない。しかし、セキュリティ関連業務は多岐にわたる。ポリシー立案や経営戦略への関与、技術的予防策や教育、インシデント対応、フォレンジック、脆弱性診断を含む監査、検査業務と経営層から現場までかかわってくる。
企業側も、従来のようにセキュリティ担当者や CISO を置けばいいという状況ではなく、一歩進めて業務全般にセキュリティプロセスを取り込む必要がある。どの部署にどんなスキルの人員が必要か、また各部の横連携・組織構造の立て連携をどうするのか。
この悩ましい課題の参考になりそうな講演が、昨秋開催された InterneWeek2020 で行われた。内容は、情報処理安全確保支援士会( JP-RISSA )のメンバー 3 名による自身の所属企業における業務や役割の事例解説だ。本稿でその要旨をお伝えする。
登壇したお三方はそれぞれ「ユーザー企業(セキュリティベンダーではない)」「監査法人」「弁護士(法律事務所)」の肩書を持つ。彼ら三人の情報処理安全確保支援士は、各自の専門領域やバックグラウンドを持ちつつ、情報処理安全確保支援士として実務でいったいどのような業務を行っているのか。
もちろん、メジャーなセキュリティ関連資格は多くはない。事業や業務の中では「情報セキュリティ」としてくくられる分野でもある。資格の有無をとりあえずの指標にすること自体が問題とは言い切れない。しかし、セキュリティ関連業務は多岐にわたる。ポリシー立案や経営戦略への関与、技術的予防策や教育、インシデント対応、フォレンジック、脆弱性診断を含む監査、検査業務と経営層から現場までかかわってくる。
企業側も、従来のようにセキュリティ担当者や CISO を置けばいいという状況ではなく、一歩進めて業務全般にセキュリティプロセスを取り込む必要がある。どの部署にどんなスキルの人員が必要か、また各部の横連携・組織構造の立て連携をどうするのか。
この悩ましい課題の参考になりそうな講演が、昨秋開催された InterneWeek2020 で行われた。内容は、情報処理安全確保支援士会( JP-RISSA )のメンバー 3 名による自身の所属企業における業務や役割の事例解説だ。本稿でその要旨をお伝えする。
登壇したお三方はそれぞれ「ユーザー企業(セキュリティベンダーではない)」「監査法人」「弁護士(法律事務所)」の肩書を持つ。彼ら三人の情報処理安全確保支援士は、各自の専門領域やバックグラウンドを持ちつつ、情報処理安全確保支援士として実務でいったいどのような業務を行っているのか。
