- 経営層とのコミュニケーションは、根気強く続ける
- 専門性の向上や悩みは、コミュニティの仲間と励まし合いながらアゲインストも楽しむ
- 情報セキュリティはすべての仕事のベースとなるもの。そこに新たな専門性が加われば、変化に対応できる人材になれる
- 複数の専門性を身につけるためには、心を柔らかくして他人へのリスペクトをもつことが大切
主査 池田 香苗氏
コミュニティに参加し、励まし合いながら根気強く
情報セキュリティへの投資に対して経営層の理解が得られず、頭を悩ませている担当者は少なくないようです。
「デジタル」「法律」「情報セキュリティ」という3つの言葉が掛け合わさった瞬間、経営層に限らず多くの方は心のシャッターを閉じてしまうのかもしれません(笑)。情報セキュリティ投資に対する経営層の意識は企業ごとに異なると思いますが、デジタルが事業の主軸ではない企業の経営者が、事業の屋台骨となる領域により大きな関心を払う傾向があることは否めませんよね。
私も以前は、「また来たの!? 」といわれながら、デジタルのガバナンス領域について何度も経営層のところに足を運んだものです。決して対岸の火事とは思えない事例をイラストや図などを使ってわかりやすく伝えようとトライし続けた結果、少しずつ経営層の理解を得られるようになりました。
私の経験上、他社がサイバー攻撃で損害を被った事例などを交えながら話すと、経営者に興味を持ってもらいやすいですね。そして、一度経営者に興味を持ってもらえれば、会社が動き出します。日本シーサート協議会への参画は経営層の理解があるからこそ続けられますが、特にCIOからの大きな後押しがあることは幸運です。
池田さんのように経営層から頼りにしてもらうためには、何が必要でしょうか。
信念とアゲインストを楽しむことでしょうか(笑)。私はもともと、「自分が生まれ育ったこの国や人々の幸せのために動きたい!」「自分が損をしてでもやらなきゃ!」という使命感を人一倍強く持って生きてきました。いってみれば、青臭いまま大人になってしまったわけですね。
でも、1人で活動していたら、このような活動はきっと続けられなかったと思います。私には日本シーサート協議会を通じて社内外に多くの仲間がいて、その仲間たちと一緒になって悔しがったり励まし合ったりすることで、根気強く取り組むことができました。高い専門性と倫理観を持ちながら、謙虚である方々や、「この人みたいになりたい!」と尊敬できる素敵な諸先輩方にも出会うことができました。法制度研究WGの参加者のみなさんをはじめ周りの方からのさまざまなフィードバックが、私の熱量になっています。
成長の両輪は知識と実践
情報セキュリティ担当者が必要な知識を身につけるために、おすすめの方法はありますか。
まずは資格試験を利用してみるのもよいと思います。資格試験の内容は整理・体系化されているので、試験の合否はさておき、自分で勉強するにはとても良い教材になりますよ。もちろん、試験が終わった瞬間に忘れてしまうような内容もあります。ですから、実践や経験もとても重要です。そして、その実績は自信になります。
たとえば、インシデント対応をイメージしてもらえるとわかりやすいと思います。インシデント対応の現場では、普段は穏やかな性格の方が、突然人が変わったように大きな声で指示をしたり、現場の雰囲気がピリピリしていたり、正直怖いです。こればかりは実際にやってみなければわからない感覚ですね。頭ではわかっていても、経験してみないとなかなか身につかないんです。
法律やガバナンスの領域に関しても同様です。スキルを磨くにはさまざまな方法がありますが、知識と実践の両輪を大切にしていくと良いと思います。たとえば、他社の炎上事例の報道を目にした際に、「これがもし自社で発生したら、どうやって対応しただろう?」と考えてみるのも1つの方法です。また、コミュニティなどの人脈を使って、教訓を直接その会社に教えていただくこともできます。そうすることで他社事例が他人事にならず、セキュリティ担当者としての成長につながっていきます。
知識だけを持っていても、現場に寄り添う人間力やモチベーション、思いを掛け合わせて成長していかなければ、ただの評論家になってしまいます。誰かの相談に乗ることもできないし、誰かに相談することもできません。そうなってしまうと、セキュリティ担当者として、愛され頼りにされることはないでしょう。確かな専門性で自信とプライドを持ち、事業に貢献しているということを実感することも大切です。
心は柔らかく、他分野を尊重して
池田さんのお話を聞き、自分から「やりたい!」と手をあげて道を切り拓くことの大切さを感じました。ただ、これまでの日本企業はジェネラリストの育成に力を入れてきた一方で、スペシャリストが育ちにくいともいわれます。そのような状況で、どのように専門性を身につけていけば良いのでしょうか。
一番大事なものはモチベーションです。私なんて、「やるなよ」といわれてきたことさえやっているくらいですから(笑)。私自身はもともと本社部門スタッフのジェネラリストとして採用され、セキュリティだけでなく、IT企画や調達、コストマネジメント、ガバナンスなど、さまざまな業務を経験してきました。しかし、私はジェネラリストというよりは、「複数の専門性」を持っているという感覚があります。
ANAグループの本社部門スタッフは「複数の専門性を持ちながら、ジェネラリストの視点を持つこと」や「複数の専門性を持ち、物事をクロスの目で見ることで経営判断や戦略に活かしていくこと」を指導されています。それが、私にとってはデジタルに関するガバナンス、法律や契約だったということです。その他、企画・総務、経営戦略の知識や経験も活きていますね。目の前にある仕事にひとつひとつ真剣に向き合ってきて、無駄なことはなかった、と心から思えます。特にデジタルに関するガバナンスは、この横串で見られる目が必要です。
情報セキュリティ人材が法律知識を身につけると、キャリア形成に役立ちますか。
もちろんです。たとえば、技術ばかりに注力してしまうと、時代の変化がつかみにくいし、偏った考えや判断をするようになる恐れがあるのではないでしょうか。複数の専門性からなる目を持っていれば、時代が変化してもきっとまた新しい仕事を見つけられますし、それは心の安定にもつながります。特に、情報セキュリティはすべての仕事のベースとなるものです。そこに新たな専門性が加われば、より変化に強い人材になれるはずです。
情報セキュリティ人材には、気楽な気持ちで、心を軽くして、さまざまな領域に興味・関心を持っていただきたいですね。人生の経験も仕事に活かせると思います。特に人の弱さから起こる漏えいなどは、挫折や失敗を味わったことがある人ほど、良い対策を考えられ、教育や相談ごとにも受け手の立場に立った対応が取れると思います。また、他分野のことを尊重できるようになります。そんなスタンスで仕事を続けていければ、変化の激しい時代でも生き残っていけるのではないでしょうか。
私自身はこのところ、ずっと個人情報保護法への対応に取り組んでいるのですが、1つの分野を極めることの大変さを痛感しています。最近は他のことを勉強する時間が取りづらいのも事実ですが、心だけは柔軟に持っておきたいですね。多くの方が心を柔らかくして他者へのリスペクトを持っていれば、日本はきっと良くなるはずです。日本シーサート協議会でもこのような考え方が重視されており、他のコミュニティを否定するような言動は禁止されています。
横串の情報連携を目指し「絆」を深める場に
今日お話を伺うなかで、幅広い領域で高い熱量を持って取り組んでいらっしゃることが印象的でした。
私にはやりたいことがまだまだあります。情熱が冷めやらず、自分でも困っているくらいです(笑)。この国が幸せでありつづけるために少しでも役に立てることがないかといつも考えています。そうすると、自然とこういう熱量になってしまうんです。
最後に、法制度研究WGの今後の展望をお聞かせください。
法制度研究WGをはじめ、日本シーサート協議会では特にコラボレーションを重要視しています。脆弱性管理WG、インシデント対応演習訓練WGなど現在は全部で17のWGが活動しており、いずれの分野にも密接に法律が絡み合っています。法制度研究WGとしても、WG間の連携を積極的に進めているところです。
- CSIRT課題検討WG(旧:組織内シーサート課題検討WG)[2007年9月~]
- 脅威情報共有WG[2007年9月~]
- シーサートWG[2012年7月~]
- インシデント事例分析WG[2013年11月~]
- CSIRT人材WG[2014年10月~]
- インシデント対応演習訓練WG[2018年4月~]
- 机上演習手法検討サブWG[2018年4月~]
- メール訓練手法検討サブWG[2018年6月~]
- セキュリティレポーティングWG[2016年4月~]
- ログ分析WG[2016年7月~]
- CSIRT評価モデル検討WG[2016年11月~]
- 法制度研究WG[2017年1月~]
- ツール共有WG[2017年12月~]
- 工場セキュリティWG[2018年7月~]
- システム連携推進SWG[2020年3月~]
- 脆弱性管理WG[2022年2月~]
- セキュリティ教育検討WG[2022年10月~]
また、法制度研究WGの成果物に対するコラボレーションも進めていきたいです。以前も法令集などの成果物作成に取組み、内閣サイバーセキュリティセンターのヒアリングやその成果物にも引用いただくなど、国とのコラボレーションを行ってきました。日本シーサート協議会の内部だけにとどまらず、お役に立てるのであればさまざまなところで成果物を活用していただき、ディスカッションを深めていきたいですね。
とはいえ、あまりハードルの高いところは目指していません。何よりも参加者に楽しんでもらえることが一番ですから。法制度研究WGは、敷居を低くし、誰でも参加できて、笑って帰れるような会であり続けたいと考えています。参加してくれた方には、「法律の話をしに来たはずなのに、なんだか笑ってばかりいたな」と思ってもらえたらうれしいです。情報連携のベースは「絆」です。法制度研究WGは、情報セキュリティの横串の情報連携を目指して、参加者同士の絆を深める場として育てていきたいですね。
(取材・文:周藤 瞳美 、写真:岩田 伸久)
最新情報をフォローする
