情報セキュリティー担当になったら

このページを開いたあなたは、情報セキュリティー担当者もしくは未来の情報セキュリティー担当者だと予想して話を進めていきますね。

あなたはしっかり情報セキュリティーに関して学んだかもしれないし、ある日突然、他の人よりもなんとなく詳しそうだから…と「来月から情報セキュリティー担当者になってね。」とムチャぶりされた方かもしれません。
専任で担当されている方もいるでしょうし、兼任を任されているかもしれません。
とにかく情報セキュリティー担当者になったからには！と検索してここにたどり着いた勉強熱心な方ですね。素晴らしい！


この記事では、情報セキュリティー担当者になったら知っておきたい情報、やるべきこと等を簡単にまとめていきたいと思います。
情報セキュリティー担当者って何から始めればいいんだろう？と不安に思っているあなたにとって、少しでも参考になれば嬉しいです。

＜情報セキュリティー担当者の役割＞

そもそも、情報セキュリティー担当者って普段何をしているのでしょうか？
実は、筆者であるこの私もこの記事を作成するまではよくわかっていないので、実際に弊社の情報セキュリティー担当者に話を聞いてみました。
会社によっても業務内容は異なるかと思いますが、弊社の場合は下記の業務を担当していました。

• 情報の把握（守るべきものは何か）
• リスク分析
• リスクに対しての対策、実行
• 社員教育
• 監査

…と、大まかにいうとPマーク・ISMSに準じたのPDCAを回しているようです。
Pマークとは「プライバシーマーク」ISMSとは「情報セキュリティーマネジメントシステム」です。
どちらも情報のセキュリティーを管理するために必要な枠組みを制定しています。

※PDCAとは事業活動における生産管理や品質管理などの管理業務を円滑に進める手法の一つ
　Plan（計画）→ Do（実行）→ Check（評価）→ Act（改善）の 4 段階を繰り返すことによって、業務を継続的に改善する　引用：wikipedia

　P⇒Plan　 計画を立てる
　D⇒Do　　実行する
　C⇒Check 評価する
　A⇒Action 改善する

＜情報セキュリティー担当者に求められるもの＞

次に、情報セキュリティー担当者に求められるものは何でしょうか。

それはずばり社内の情報を守ること。
この社内の情報というものは、業務で取り扱う情報もありますし、お客様から預かる情報でもありますし、社員の名前・住所・メールアドレスなどの個人情報も含まれます。
いずれの場合でも社内で取り扱う情報は会社の財産です。
その情報が流出してしまうと会社の信用問題、ひいては会社の存続問題にもかかってきます。

会社の財産である情報を社外から不正アクセスや乗っ取りを企むサーバー犯罪者はもちろんのこと、社内に潜む漏洩の可能性も事前に察知し防御することが情報セキュリティー担当者には求められます。

常に最新のセキュリティー動向を把握し、それに対する防御する。
その為には、コンピュータ・プログラム・ネットワーク等ある程度の知識が必要です。
ここがわからない方は、まず基礎を固めてからの方がセキュリティーについて学びやすいかと思います。

＜情報セキュリティー担当者の知識の蓄え方＞

では、情報セキュリティー担当者はどのように情報収集や勉強をしているのでしょうか。
初心者の方には、主に下記のようなサイトを覗いてみたり、セキュリティー系のイベントに行くことをお勧めします。

おすすめ情報取集先
・IPA　　　　https://www.ipa.go.jp/
・JPCERT/CC　https://www.jpcert.or.jp/
・IT系のニュースサイト（セキュリティーを取り扱っていることがある）
・セキュリティーのイベント
・IT系の展示会

実際の攻撃手法の概要やトレンド、危険性やなどが理解するために、サイトやイベントで情報を収集しましょう！
被害の実例も掲載されている場合がありますので、自分の会社だったらどう対策できるかと考えてみるのもいいでしょう。

また、セキュリティー系の資格取得の為勉強するのも、効率よく学べると思います。

おすすめのセキュリティー関連の資格
・情報セキュリティーマネージメント試験　　　　　　経営層・リーダー層が知っておきたいレベル
・情報セキュリティースペシャリスト試験　　　　　　エンジニア向けに技術的な深い要素を含む
※今秋より情報処理安全確保支援士試験

＜セキュリティー担当者になったらやっておくべきこと＞

それでは、セキュリティー担当者になったらやっておくべきこと3つをご紹介します。

①セキュリティーのベンダーにミーティングや会社のセキュリティーで気になる点を相談する。
なぜ何も事件が起きていないのに相談する必要があるのかと不思議なそこのあなた！！！
関係をつくっておかないと、何か問題が起きたとき初めてベンダーに問い合わせになると 　その後の対応が後手後手になります。
問題が起きたときはどれだけ短期間で収束できるのか、時間勝負のため何も起きていない時にベンダーと関係を築いておくことが重要なのです。

ちなみに弊社の情報セキュリティー担当も通常時からセキュリティーベンダーとのやり取りがあるとのことでした。
ベンダーの営業と仲良くなって、セキュリティーの情報収集するのも一つの手かもしれませんね。

②問題が起きたとき用に連絡する体制図を作っておく
こちらも①と似ていますが、万が一問題が発生したときの為に社内や外部の関連する組織（警察、自分の属する業界団体など）へ連絡する体制図を作成しておくとよいでしょう。
問題が起きないように防御することも大切ですが、起きてしまった後いかに短期間で解決できるかも情報セキュリティー担当者の重要な役割の一つです。

③セキュリティー対策の目的について話し合っておく
会社ごとによって自社のデータだけを守ればいいのか、顧客のデータも守らなくてはならないのか、それぞれセキュリティーの意味が異なると思います。
どういう目的でセキュリティー対策するのかを社内で決めておくと、会社と情報セキュリティー担当者で共通認識が持てます。
（自社のセキュリティーを守るのを優先するなら社内教育に力をいれる、他社へセキュリティーアピールしたいのであれば、資格の取得など）

＜最後に＞

何も起きないことが一番の成果である情報セキュリティー担当は、一見地味なようですがかなり重要なポジションです。
一緒に会社の平和を守りましょう！