[インタビュー]

「ツールだけでセキュリティ対策は語れない。人とプロセスにも視野を広げよう」─RSA幹部

2016年11月22日(火)川上 潤司(IT Leaders編集部)

Dell Technologiesグループの中で、セキュリティ関連ビジネスを展開するRSA。そこでアジア太平洋&日本リージョンのチーフサイバーセキュリティアドバイザーを務めるレナード・クラインマン(Lenard Kleinman)氏は、オーストラリアの政府機関で長きにわたってセキュリティ対策の実務を担っていた経験を持つ。サイバー攻撃をはじめ“万が一”の際に、有効に機能する体制を整えるポイントは何か。同氏に意見を聞いた。

 経営幹部がデジタルテクノロジーの重要性や可能性を理解し、投資も含めていかにコミットメントするかが、これからの成長を左右することは間違いない。ここで、他社に先駆けたビジネスモデルで顧客を獲得するといった“攻め”の側面ばかりが語られがちだが、揺るぎなく足元を固めるためには、サイバー攻撃などセキュリティリスクへの備えもまた欠くことができない。ここでもまた、トップの積極的な関与が求められている。

写真1:RSAでアジア太平洋&日本リージョンのチーフサイバーセキュリティアドバイザーを務めるレナード・クラインマン氏

 私が日頃接している顧客の状況に照らす限り、幹部層のセキュリティへの関心・関与は官民問わず確実に高まっていると言える。もっとも、それは、大規模で世間に広く知れ渡るような事件や事故が相次いでいることの裏返しでもある。

 例えば2015年7月には、米連邦政府の人事管理局において2000万件を超える個人情報が流出し、その中には560万人の指紋データも含まれいたことが発覚。局長はじめ監督・管理する立場にあった重職者は引責辞任することに追い込まれた。この件に関しては、既知の脆弱性に的確に対処していなかったことがその後の調べで判明している。また、つい1カ月ほど前には、IoT関連機器への攻撃がトリガーになってDNS(Domain Name Service)プロバイダーが機能不全に陥り、Amazon.comやTwitterを含むサービスが利用できない状況になった(関連記事http://it.impressbm.co.jp/articles/-/14057)。期待と注目で熱を帯びるIoTに、冷水が浴びせられた格好である。

 こうした報道がある度に、セキュリティインシデントがビジネスや行政に多大なインパクトを与えることはもちろん、監督者の責任が厳しく問われることが広く再認識される。「うちは大丈夫なのか? 最新の脅威に立ち向かう組織や能力を備えているのか?」との議論がにわかに重ねられ、体制や対策の見直しが進んでいるのが昨今の状況だ。

 とはいえ、IT基盤の構成が複雑性を増す中で、様々な脅威に備え、万が一の際に整然と機能する体制を維持するのは並大抵のことではない。私は今はRSAに籍を置いているが、その前の14年間は、オーストラリアの税務局など政府系機関でセキュリティに関わる業務を担ってきたので、そのことを肌身で実感している。その経験を踏まえ、今日のセキュリティリスクに備える基本的で現実的なステップを考えてみたい。

 実務においては、とかく「サイバー攻撃の手口」と「それに対応する防御策」といった具合に、テクノロジーの視点に偏った議論をしがちだ。もちろんそれも大事ではあるが、忘れてならないのは、セキュリティに関わる組織をしっかりとマネジメントし機能させる取り組みである。もっと言えば、「人」と「プロセス」、そして「テクノロジー」、常にこの3つの観点で知恵と工夫を凝らし、バランスを取っていくことを意識しなければならない。

優秀な人材のリテンションを図るには

 まずは「人」。チームビルディングの最初の一歩は人材の採用・登用にある。学歴や職歴でITの基礎的バックグラウンドを持ち合わせていることに加え、性格的には、好奇心や探求心が旺盛な人が適している。別の表現をするならパズルを解くのが巧く、そのこと自体に楽しみを感じられるタイプだ。こうした人は総じて、システムの構造を多面的かつ大局的に見つめ、もしここに付け入る隙があるとしたらどんなアプローチがあるかを論拠を持って思考できる。

 一定の素養がある人であれば、認定資格の獲得するなど専門のトレーニングを積む機会を提供することで確実な実力向上が期待できる。自身のスキルアップによって、より高い目標が見え、さらに挑戦意欲が湧くというサイクルを生むことが理想なのだが、単なる精神論をかざさずに、評価や報酬で報いる制度がなければいけない。何しろ、世界的に見てセキュリティ人材はかなり不足している。待遇面が伴わないと、専門教育を施し、十分に生産性が高まった段階で他社に引き抜かれるといったことが起こっても不思議ではない。

 人材育成には投資が伴う。例えば、大学卒の新人に12~18カ月の基礎トレーニングを積むだけでも1人あたり2万5000万オーストラリアドル(約200万円)がかかるのが実状だ。ROI(投資対効果)というと語弊があるかもしれないが、部署を率いる幹部は、投じた教育費に見合う成果を得られるように、リテンションも含めて、組織運営に知恵を絞る必要がある。それも評価・報酬といった制度面だけに頼らず、そこに身を置いていれば、ワクワクする機会に恵まれるし、やりがいを感じられるという職場づくりを強く意識しなければならない。

 私がオーストラリア政府機関にいた時には、組織のメンバーを国際的なハッキングコンペティション「Cyberlympics」などに積極的に参加させた。トレーニング的要素もあるが、何よりも世界各国のチームと戦い合うことが、刺激にもなるし、視野を広げることや、人脈を形成することにもつながる。そうした場を通じて、セキュリティのプロフェッショナルになることの意義をつかみ取ってもらうよう最大限の努力をした。人は人を呼ぶ。エキサイティングで自己実現につながるような職場が、優秀な人材の獲得・維持につながるというのが私の持論だ。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
関連キーワード

RSA / 2段階認証 / Dell / Dell EMC / レッドチーム

関連記事

トピックス

[Sponsored]

「ツールだけでセキュリティ対策は語れない。人とプロセスにも視野を広げよう」─RSA幹部Dell Technologiesグループの中で、セキュリティ関連ビジネスを展開するRSA。そこでアジア太平洋&日本リージョンのチーフサイバーセキュリティアドバイザーを務めるレナード・クラインマン(Lenard Kleinman)氏は、オーストラリアの政府機関で長きにわたってセキュリティ対策の実務を担っていた経験を持つ。サイバー攻撃をはじめ“万が一”の際に、有効に機能する体制を整えるポイントは何か。同氏に意見を聞いた。

PAGE TOP