-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
セキュリティに強い組織を目指す、ITエンジニアの「ビルトイン・セキュリティ」
前回の記事『専門家だけがセキュリティに対応する時代は終わり?新たに注目を集める「プラス・セキュリティ人材」』では、サイバーセキュリティ経営ガイドラインの話から、セキュリティ専門家以外の方に向けた「プラス・セキュリティ」人材の教育について触れました。
今回は、セキュリティの専門家ではないITエンジニアのセキュリティ教育について考えます。
プラス・セキュリティ人材とは
事業開発者、事業をコントロールする責任者、企業を運営する総務、契約内容を確認する法務部門がセキュリティに関するリスクと対応について理解をしていないと、セキュリティ事故につながります。
事業責任者は、自社の製品やサービスにどのような情報が含まれ、機能が実装され、どのように使われるのかを考える必要があります。例えば、製品の製造にあたって工場にどのようなセキュリティリスクが潜んでいるかを把握しなければなりません。また、企業運営では、どこに情報漏えいのリスクが存在するかを知り、契約内容にセキュリティリスクが考慮できているかを判断します。
このように、セキュリティの専門家ではない方も、セキュリティに関する知識が必要です。
では、製品やサービスの開発や社内の仕組みを設計・実装するITエンジニアはどうでしょうか?
ITエンジニアにとってのセキュリティとは
もともとソフトウェアを設計・実装するITエンジニアには、多様なセキュリティ知識とその周辺知識が必要です。
データ保護方式、暗号化技術、ネットワークの知識、脆弱性を作りこまないセキュアコーディングの仕方、ミドルウェアの脆弱性対策、認証と認可の仕組み、ECサイトであれば決済方法まで、知るべき領域は多岐にわたります。
しかし、広い領域のどの知識やスキルが欠けていても大きなインシデントが起こりえます。実際にインシデントが発生すれば、対応と原因究明についての知識まで求められるでしょう。ITエンジニア以外から見れば、ソフトウェア開発の専門家なのだから、そのようなことは知っていて当たり前だと思うかもしれません。しかし、実際は異なります。
経済産業省が示す「デジタルスキル標準」には、ソフトウェアエンジニアだけで4つの職種が記載されています(実際の現場ではもっと細かく分類されているでしょう)。その周辺に「セキュリティ専門家」「データサイエンティスト」「デザイナー」といった関連のカテゴリーがあり、それぞれのカテゴリーにも複数の職種があります。職種が多いということは、それだけ専門領域が多様化しているということです。
設計・実装するITエンジニアのみで、セキュリティ対策のすべてを理解し、セキュリティ対策を実装することは不可能です。
ITエンジニアは、本来ビルトイン・セキュリティ人材であるべきだ
ソフトウェア実装の最前線にいるITエンジニアにセキュリティの知識が不足していると、セキュリティリスクを考慮した経営ができていたとしても、セキュリティリスクを回避・軽減することはできません。なぜなら、設計・実装するITエンジニアが十分なセキュリティ知識を持っていなければ、必要な機能やリスク回避の方策が実装されることはありえないためです。
しかし、セキュリティスキルに強いITエンジニア、セキュリティの専門家が、開発チームに参加しているチームはどれだけあるでしょうか?システム部門内に専門家がいても、開発チームに常に専門家がいることは、ほとんどないのではないでしょうか?
セキュリティ対策を実装するには、ITエンジニアにセキュリティの知識とスキルを習得してもらう必要があります。実装するITエンジニアに求められるのは、専門領域にプラス・セキュリティするのではなく、セキュリティの知識を専門領域に組み込むことです。つまり、ビルトイン・セキュリティを目指すべきなのです。
では、セキュリティの専門家ではないITエンジニアが、セキュリティの知識とスキルを習得するにはどうすればよいのでしょう。
ビルトイン・セキュリティ人材を作り出すには
経営層は、上記の幅広い知識やスキルをITエンジニアに獲得することを指示して、あとはITエンジニアに任せておけばよいのでしょうか?
ITエンジニアにも得意な領域、苦手な領域、取り組みたい技術の好みもあります。ITエンジニアの自主性に任せていては、セキュリティ関連の知識にまで手を伸ばすことは難しいでしょう。さらに、チームにセキュリティの専門家がいない場合、どのようにセキュリティ領域のスキルと知識を身につければよいのでしょうか。セキュリティの知識をチーム全体でフォローし、部門内にセキュリティの専門家を確保してカバーするしかありません。
プラス・セキュリティを意識した会社・事業経営を実装するために、ITエンジニアのセキュリティ教育を会社の至上命題とすることはもちろんですが、社内で教育プログラムを考えるとよいのではないでしょうか。しかし、部門内のセキュリティの専門家に社内の教育プログラムまで押し付けてしまっていては、会社と事業のセキュリティ対策がおろそかになります。
そこで、社外の教育プログラムの活用や、セキュリティの専門家が多くいるコミュニティ活動の参加を促すことがおすすめです。
会社経営者、事業責任者、セキュリティ専門家、ITエンジニアが協調を
プラス・セキュリティの考え方に触れ、セキュリティリスクやセキュリティ対策について知った事業責任者が、ITエンジニアに正しく実装されているかを尋ね、ビルトイン・セキュリティしたITエンジニアチームが正しく設計・実装する必要があります。それから、プラス・セキュリティを理解した会社経営側がチェックするという流れを作り、サイバーセキュリティ経営を進めることが大事です。
ラックでは、セキュリティ教育の基本として、オンライン研修や集合研修を用意しています。
プラス・セキュリティ人材、ビルトイン・セキュリティ人材の育成に向けて課題を感じる方は、ぜひセキュリティ教育に関してのご検討をお願いします。
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR