セキュリティの経験不足を人的ネットワークで補う:ITpro

情報セキュリティ担当者に必要なスキルは、想像力や心配性なほどの考えの深さ、疑いを持つ事みたいですね。

すこしの事象をもとに、考えを回さないといけないので大変ですよね。

取材を通じて「情報セキュリティ担当者には、何が必要なのか」についてたずねてみた。
お会いした担当者の多くに聞いてみたところ、万が一の被害想定や事故後の対応まで考える必要があるという。つまり、セキュリティ関連の技術だけではなく、リスク管理能力が求められているのである。確かに、こうしたスキルはますます重要になっているようだが、それに加えて「心配性であること」あるいは、言葉は悪いが「疑い深いこと」がとても重要な資質ではないかと考えた。不正アクセスの手法がますます巧妙になっている現状、あるいは社内からの情報漏洩が後を絶たない実態を考えると、「仮に・・・だったら」と少しでも想像力を巡らしてみたり、社員の行動には常に疑いの目を向けたりする必要がある。

会社を超えたコミュニティ活動ってのも大切みたいですねwwwwww

今回の特集の取材で得た答えの1つが、組織の中、そして組織を越えた人的なネットワークである。一般にセキュリティ関連の情報は組織の外には出にくいものだが、ここにきて内容に応じて共有しようという動きがある。当然、相互の信頼関係がなければ情報交換はできないが、いくつかのコミュニティが機能し始めている。

CMUJのネットワークもw。じゃ、神戸情報セキュリティ勉強会は最適ですねw

例えば、組織内におけるセキュリティ対応チームによる連絡組織「日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)」が今年3月に発足、参加チーム間で情報交換を始めている。このほか、セキュリティの専門資格であるCISSP(情報システム・セキュリティグローバル・プロフェッショナル認定資格)の取得者のネットワーク、あるいは情報セキュリティ大学院大学カーネギーメロン大学日本校のようなセキュリティ専門学校の卒業生によるネットワークも、企業という枠を超えた交流といえるだろう。

screenshot