パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #05/セキュリティマネジメントにおける 「ハード」と「ソフト」~最優先すべき事柄は何か?~

セキュリティ対策への効果を期待した機器の導入が結果的に失敗に終わってしまうことがある。原因の一つには、海外メーカーの製品が多いということがあげられる。海外では企業の買収が頻繁に行われており、導入した製品のメーカーが買収されたなどの理由でサポートが終了してしまうといった、ユーザーが手を出せない問題もある。その一方で、ユーザー側の導入に対する計画の甘さや思慮不足によって失敗してしまうケースもある。失敗しないために、導入前に何をするべきなのか?最優先で取り組むべき事柄について考察する。

f:id:sky-pca:20191015132432p:plain

セキュリティマネジメントの「ソフト」とは?

一般的にセキュリティ対策の実施や強化をするとなれば、まずはすでに導入されている対策機器やソフトウェアで補完できない範囲を認識し、補強するために必要ないくつかの選択肢の中から導入・施行の計画を策定していく。そこには、ベンダーが推奨する最新の技術を搭載していると言われるものや、予算に合致したものだけでなく、時には選定者の趣向や勘で選択されたであろうものが盛り込まれることになる。この段階で必要とされる機器やソフトウェアは総称して「ハード」に含まれる。なぜ、セキュリティ対策では「ハード」が先行してしまうのだろうか?

f:id:sky-pca:20191014124853p:plain

それは、計画をリードする要員がテクニカルな知識と情報は保有しているが、導入・施行後の運営・運用面などにおける知識や想定する能力が乏しいためだと考えられる。目に見える「ハード」を優先させることでセキュリティ対策が順調に進んでいるという安心感と満足感を得ることができるという側面があることは、筆者の経験からも否定できない。しかし、「ハード」を選ぶ、その前段階を最優先させることがセキュリティ対策の強化には重要な視点ではなかろうか。

実際に導入・施行後のことを想定しながら図1にあげた内容を基に、詳細に計画していかなければ、本当に必要な機能や設備の種類、規模が把握できず、適切な配置ができないことになる。セキュリティ対策は「ここまで実施すると良い」という明確な基準がなく、脅威に関しても想定できるものだけがすべてはないため、「こうあるべき」と画一的に計画することは難しい。しかし、運用のシミュレーションや教育・訓練のようなことにも、時間とコストを費やし経験を有する知見者の知恵をつぎ込んで体制を作り上げていくことで対策が強化されていくことになる。これらが、セキュリティ対策における「ソフト」の構築と言える。

「ソフト構築」の視点

セキュリティ対策コストは導入する機器などに目を奪われがちで、目先のコストを削ってなるべく安価で機能・性能の優れているものを導入しようとする。しかし、ソフトの構築に十分な時間とコストを掛けなければ、せっかく導入した機器も宝の持ち腐れとなる。使用するのが一部の機能に限られている、特定の状況下でしか使われていない、運用(操作)できる人が不在となることでアップグレードされずに導入時のままただ稼働しているだけ、などという状況になりかねない。

f:id:sky-pca:20191014124848p:plain

何らかの機能を導入するにしても、導入後の運用面において事前に検討しておくべきことは図2にあげているように多岐にわたる。テクニカル面を整え優れた環境にしても、自社の事業運営環境や人数、スキル、配置などといった情報部門の体制によって、機器を適切に稼働させることができず効果が出ないまま運用コストだけが膨らんでしまった結果、せっかく導入したセキュリティ対策を停止せざるを得ないということになる。そうなれば、すべてのコストが無駄になるか、コストを増大させることにつながってしまう。

経営層は技術的なことに詳しくない場合が多く、ITインフラの整備やセキュリティ対策の検討においては、どうしても導入コストなどの目に見えるものを優先的な判断指標とすることが多い。また、セキュリティ対策を講じることは一部の専門知識を有する人の特権のようになってしまいがちで、対応は現場に依存されてしまう。このような状況では、情報部門の要員に必要なスキルのバランスが崩れてしまい、特定の従業員の業務量が増大してしまうなど労働環境にも影響を与えることになり、これはITに対する造詣の有無という問題だけではなくなる。

セキュリティエンジニアの不足が叫ばれる昨今、労働環境や待遇を改善するなどの「ソフト構築」により魅力的な仕事にしていくことが求められる。これからはエンジニアを育成していくこともセキュリティ対策の中で考慮していくべき課題の一つであると考える。

どれほど技術が進歩・進化してもそれを操作するのは「人」である。

操作する人が安心し、満足できる環境を構築していくことが、セキュアな「ソフト構築」と考えられるのではないか。

第6回/「自動化」がより堅牢な システムの構築につながる~人為的ミスを最大限に排除するという視点~

 

インフォフラッグ株式会社 代表取締役:神戸 仁

クライアント管理ツールメーカー勤務を経て、2008年にインフォフラッグ株式会社を設立。IT関連企業の新規ビジネス企画、マーケティング戦略策定等のコンサルティングを行う。また企画だけではなく実動部隊を育成する社員教育(新入社員から幹部教育)事業にも注力。その傍らで、長年従事しているITに関わる講演活動および執筆活動を精力的に行っている。