専門家の育成がこれからの課題
それでは情報セキュリティインシデント責任者はどうやって選定すればよいのでしょうか。小さい企業であれば、会社の責任者自体が兼任せざるを得ないでしょうが、その場合は情報セキュリティについては詳しくないということも多いと思われます。
情報セキュリティについて詳しい社員がいれば、その社員に技術的なところは補ってもらいつつ、最終的な判断を下すというやり方が考えられます。一方、情報セキュリティについて詳しい社員がいない場合は、外部のリソースを利用するのが合理的です。感染したマルウェアの挙動については、アンチウイルスベンダーに確認できる場合もありますし、セキュリティサービスを利用するというのも1つの手でしょう。
日本の情報セキュリティ業界の実態としては、情報セキュリティの人材確保は大きな課題となっています。そのため、ある程度の規模の会社であっても、情報セキュリティインシデント責任者を任せられる人間がいないというケースも十分にあるかと思います。
一時的には外部のリソースを利用するとしても、将来的には社内でまかなうことが望ましいため、人材育成やあるいは外部からの人材の確保を考える必要があります。ところが人材育成については、現在のところ標準的なキャリアパスと呼ばれるようなものがありません。情報セキュリティという概念自体が新しいもののため、仕方のないことではあるのですが、キャリアパスの未確立が人材確保を困難としていることの一因となっています。
もっとも、キャリアパス確率については、IPA(情報処理推進機構)が面白い取り組みをしています。情報セキュリティの一線で活躍されている方々が、これまでどんなキャリアパスを歩んできたのかを、「情報セキュリティスペシャリスト キャリアパス事例集(PDF)」としてまとめているのです。どういった教育や実務経験が、情報セキュリティへの対応に役立つかということの参考になるかと思います。
これを見ると、実にさまざまな経歴の方がいることがわかります。情報セキュリティに興味があれば、こうした情報を参考に、専門家への道を歩み始めるのも1つの手です。
最後になりましたが、1年以上にも渡りご愛読頂いた読者の皆様、このような連載を掲載する場を提供して頂いたアスキー・メディアワークス「ASCII.jp」の方々にお礼を申し上げたいと思います。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。
この連載の記事
-
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ