企業には、さまざまな情報セキュリティ業務に対して、柔軟に対応できる“セキュリティ人材”が必要不可欠です。
では、企業におけるセキュリティ人材が担うべき業務には、具体的にどんなものが挙げられるのでしょうか?
特に重要なものをいくつか紹介しますので、ぜひ参考にしてください。
企業におけるセキュリティ人材が担うべき業務①脆弱性診断
脆弱性診断とは、サイバー攻撃による経済的ダメージや信頼性の低下を防ぐため、定期的に行う脆弱性の洗い出しのことを言います。
ちなみに脆弱性とは、サーバ上で稼働するOSやアプリケーションに、プログラム設計、開発時に制作者の意図しない部分で内包されてしまった不具合によって生じる、情報セキュリティにおける“潜在的な欠陥”のことを指します。
企業におけるセキュリティ人材が担うべき業務②セキュア開発
セキュア開発とは、要件定義や設計、コーディングの段階で、脆弱性を作り込まないようにする考え方のことを言います。
これを行うことで、システムの情報セキュリティ被害の発生を抑え、ひいてはその後のコードのメンテナンスが楽になり、再利用性の高いプログラム資産が増えることにもなります。
ただ、日本の企業では、セキュアなプログラミングが可能な人物が著しく不足していると言われています。
企業におけるセキュリティ人材が担うべき業務③インシデントハンドリング
インシデントハンドリングとは、インシデントの発生時から解決までの処理を行う活動のことを言います。
具体的には、インシデントの発見から始まり、インシデント対応の優先順位づけ、インシデント対応、情報公開、事後対応を順番に行います。
企業におけるセキュリティ人材が担うべき業務④情報セキュリティ監査
情報セキュリティ監査とは、脆弱性を洗い出し、情報セキュリティ問題に繋がる脆弱な設定、および攻撃者にとって意味があるデータの収集が可能かどうかを、技術的な側面から監査する業務のことを言います。
一般的には、サービス中あるいはカットオーバー前のシステムに対して実施されます。
その他のセキュリティ人材が担うべき業務
企業におけるセキュリティ人材が担うべき業務には、他にもまだ以下のようなものが挙げられます。
・情報リスクストラテジー
・情報セキュリティデザイン
・情報セキュリティアドミニストレーション
・情報セキュリティアナリシス
・CRISTキュレーション
・CRISTリエゾン
・CRISTコマンド
・デジタルフォレンジクス
・情報セキュリティインベスティゲーション など
まとめ
ここまで、企業におけるセキュリティ人材が担うべき業務について解説しました。
セキュリティ分野が細分化され、高度化された今、企業のセキュリティ人材は、これだけ多くの業務の柔軟に対応しなければいけません。
したがって、ある分野の専門家ではなく、情報セキュリティ全般の知識をバランスよく持っている人材こそ、セキュリティ人材として適していると言えます。
個人情報保護の第三者認証制度、JAPHIC(ジャフィック)マーク等を取得することで社員全体のリテラシーも上げることができるかと思います。
