組織の強化

米国の保険会社、チューリッヒ・ノース・アメリカは昨年、自社のファイアウォールがウイルスに侵されるという事態に陥った。

その際、同社の上級副社長兼CIO、デビッド・ソール氏は、十数人のITスタッフを通常業務から外し、緊急の対策チームを組織した。そのチームは、2日間に及ぶ格闘のすえ、ウイルスによる被害を最小限に食い止めた。しかし、その間、彼らの本来業務は完全に滞ってしまい、それによるIT組織の混乱が沈静化するまでに、かなりの時間が費やされることになった。

この出来事から、ソール氏は1つの教訓を得たという。それは、セキュリティ専任の組織を拡充・強化することの重要性だ。

実のところ、チューリッヒ・ノース・アメリカでは、以前から顧客情報の保護を目的にした総勢12人のセキュリティ・チームが編成されていた。だが、そのチーム内には、コンピュータ・ネットワーク（インターネットなど）を介した、今日のクラッキング行為に精通した技術者が存在しなかった。そのため、彼らだけでは、上述したようなウイルスの侵入に対処できなかったのである。

「仮に、我々のセキュリティ・チームが、かねてからサイバー・テロの手口を深く理解し、その対処法に精通していれば、（上記のような事件が起きた際にも）ITスタッフに緊急動員をかけずに済んだだろう。このような失敗を二度と繰り返さないためにも、セキュリティ専任チームを強化し、その技術力を向上させることが急務だと考えた」と、ソール氏は言う。

こうした方針の下、同社のセキュリティ専任チームは12人から18人に増員され、その陣容もITスタッフを中心にしたものへと変更された。と同時に、18人のチーム全員に対して、セキュリティ技術に関する再教育も行われたという。

「優れたセキュリティ対策は、問題の予防、発見、対応というプロセスによって実現される。これらのプロセスが円滑に進められる体制を築かなければ、自社システムが危険にさらされるおそれは強まる」と、ソール氏は付け加える。

拡大する脅威

確かに現在、サイバー・テロの脅威は増大する一方だ。

例えば、米国のCSI（コンピュータ・セキュリティ・インスティチュート）とFBI（連邦捜査局）が2001年に実施した共同調査によれば、調査回答者（企業や政府機関に所属しているセキュリティ担当者）の実に85％が「過去1年の間に自社システムにおいてセキュリティ侵害を検知した」と報告しており、その64%が「金銭的な損害を被った」としているという。

また、最近になって、サイバー・テロの手口はさらに巧妙になっている。そのため、そうした1つ1つの攻撃に対して、他の業務を抱えるITスタッフがケース・バイ・ケースで対処していくのは事実上不可能となっているのだ。

それを指摘する1人に、年商470億ドルの医療サービス会社、カーディナルヘルスでセキュリティ／企業サービス担当副社長を務めるジョン・ハートマン氏がいる。同氏はこう断言する。

「今の企業にとって、セキュリティの専任者、ないし専任チームを組織するのは必須事項だ。そもそも、同じITスタッフに、セキュリティの確保と他の業務を兼務させていて、システムの安全性が保てるわけがない。今日のサイバー・テロは、ITスタッフが業務の片手間で防げるほど単純なものではないのだ」

もちろん、米国のCIOの中には、こうした見解に異を唱える向きがないわけではない。例えば、米国の電子／生物医学／情報技術会社サーノフのCIO、ティム・ミッチェル氏は、「セキュリティの専任チームをIT組織から切り離す必要はない」とし、「事実、われわれのIT組織は、本来のIT業務もセキュリティ業務も見事にこなしてくれている」と胸を張る。

とはいえ、そのミッチェル氏も、セキュリティ管理にかかわるITスタッフをチームとして機能させることの重要性は認めており、以下のようなコメントを付け加える。

「重要なのは、セキュリティの責任を持つチームが、本当に機能するかどうかであって、その組織形態がどうあるかではない。要するに、セキュリティに責任を持つスタッフがだれかを明確にし、その担当者らが一貫したセキュリティ・ポリシーを共有し、相互にコミュニケーションを取りながら、自らの責任を確実に遂行することが大切なのだ。そうすれば、セキュリティ・チームの組織形態がどうあれ、サイバー・テロに対処していくことは可能となる」

究極の課題

確かに、セキュリティの専任組織を物理的に形成したとしても、それだけでシステムの安全性が自動的に高められるわけではない。

実際、ウイルスに苦しめられた前出のチューリッヒ・ノース・アメリカにしても、セキュリティ専任のチームは以前からあった。しかし、それがうまく機能せず、ITスタッフに緊急出動を請うことになったのだ。

そう考えると、セキュリティを確保するうえでの体制的な問題は、「人材の確保」という1点に集約されることになろう。つまり、サイバー・テロから自社システムを防御するうえでのカギは、「セキュリティの専任チームを（物理的に）組織するかどうか」ではなく、「セキュリティに精通した有能な人材をいかに育成・確保するか」にあるというわけである。

今日、企業のセキュリティ担当（または専任）チームには、セキュリティ・ポリシーを策定する能力はもちろんのこと、自社システムの脆弱性を評価したり、不正侵入を検知したり、何らかの異変に即座に対応したりできる技能が求められる。また、そうしたチームの能力を引き出すには、有能なリーダーの存在も不可欠だ。

ところが現在、このリーダー役をこなせるような人材はもとより、その指揮の下で自分の役割を着実にこなせるセキュリティ担当者を確保するのも困難な状況にある。というのも、システムのセキュリティに関して豊富な経験とスキルを持つ技術者の数が絶対的に不足しているからだ。その問題について、米国のIT労働者調査／コンサルティング会社、フット・パートナーズの社長兼最高調査責任者、デビッド・フット氏はこう説明する。

「これは米国に限った話ではないが、優秀なセキュリティ技術者の数は非常に少なく、その人材市場の需給バランスはかなり悪い。例えば、米国の場合、13人の求人に対して、求職者が1人しかいない、といった状況が続いている」

人材雇用の戦略

もちろん、米国IT市場の冷え込みを背景に、ここ数年の間、IT技術者全体の雇用件数は下降線をたどっている。それに伴い、セキュリティ関連の技術者も、1年前に比べれば、雇用しやすくなってきたようだ。

「昨年の初めごろは、セキュリティ関連の技術者を1人確保するだけでも、ヘッドハンターに多額の手数料を払い、人材を見つけ出してもらう必要があった。しかし今日では、その必要性は徐々に少なくなっている」と、米国のセキュリティ・サービス会社、ビジリンクスのCEO、ブルース L.マーフィー氏は指摘する。

とはいえ、セキュリティに精通した人材が、市場にあふれているわけでは決してない。また、優れたセキュリティの技術者は、大抵の場合、ITベンダーによってすでに確保されている。したがって、一般の企業は、有能な人材を獲得するために、他社との競合を余儀なくされるだろう。

そうした競合に打ち勝つ手段はいくつかある。その1つは、自社のセキュリティ・ニーズを明確にすることだ。その重要性を、セキュリティ技術者の人材会社、L.J.クシュナー・アンド・アソシエイツ（LJAA）のCEO、リー・クシュナー氏は、以下のように説く。

「仕事に熱心なセキュリティのプロフェッショナルは、雇用目的を明確にできない企業を相手にしない。よって、優秀な人材を得たければ、自社のセキュリティ・ニーズをしっかりと特定しておくことが大切だ」

また、クシュナー氏によると、セキュリティの技術者は「ムラ社会的なコミュニティ」を形成しており、人材を求める企業は、その内情にも通じている必要があるという。

そこで浮上してくるのが、これらのコミュニティと企業とのパイプ役を演じてくれる存在だ。「現在、そうしたパイプ役として最も頼りになるのが、セキュリティ分野に特化した人材会社だ」と、米国インスティネットの副社長兼グローバル情報リスク管理責任者、デニス・バードン氏は言う。

「我々はこれまで、さまざまな人材会社を通じて、セキュリティ技術者を募集してきた。その中で、最も高い割合で質の高い人材を紹介してきたのは、セキュリティに特化した人材会社だった。これは、彼らが、セキュリティ技術者のコミュニティと深いかかわりを持っていたからにほかならない」

なお、インスティネットは、機関投資家や証券会社向けの電子証券取引ネットワークを運営する企業であり、現在、年間で15億ドルを売り上げている。

独自ルートの確立

むろん、上記のような人材会社に人材雇用の協力を要請した場合、それ相応の対価を、その会社に支払わなければならない。もし仮に、企業が、そうしたコストを排除したいと考えるのであれは、その会社のCIOは、自力で人材発掘のルートを確保する必要がある。要するに、セキュリティの技術者を数多く輩出する、もしくは、そうした技術者が多く存在する“金脈”を探し当て、それとのパイプを自ら築かねばならないわけだ。

とすれば、そのような“金脈”は果たしてどこにあるのだろうか。「米国の場合、それは米軍にある」と語るのは、大手通信機器メーカー、米国モトローラの最高情報セキュリティ責任者、ビル・ボニ氏だ。同氏は続ける。

「米軍は、間違いなくセキュリティ技術者の有力な供給源だ。疑うならば、一度、サンアントニオやサンディエゴといった軍関係者が多く住む都市でセキュリティ・スタッフの求人広告を打ってみるとよい。おそらく、かなりの反響が得られるはずだ」

また、セキュリティ・サービス会社、ガーデントの前副社長、エディ・シュウォーツ氏も、ボニ氏と同様の見解を示す。

「企業のCIOには、ぜひ、米軍基地の転職支援スタッフに渡りをつけておくことをお勧めしたい。そうすれば、有能な人材が確保できる可能性は高まる」と、同氏は主張する。

一方、初歩的なセキュリティ業務を担当させるスタッフを探しているのであれば、大学も有力な供給源となる。また、企業には、自社が契約するセキュリティ・サービス会社から人材を引き抜くという手段もある。この手法を強く推奨するのは、情報セキュリティの教育／専門家団体、SANSインスティチュート（SANSI）の調査担当ディレクター、アラン・パラー氏だ。同氏は言う。

「米国には、セキュリティのサービス会社やコンサルティング会社が数多く存在する。しかし、そのすべてが経営的にうまくいっているわけではなく、危機的な状況にある会社も少なくない。そうした会社で働く技術者は、一般企業への転職を心底望んでいる」

この意見には、モトローラのボニ氏も賛同する。ただし、同氏は、「サービス・ベンダーから人材をスカウトしたければ、その意向を相手の会社にしっかりと伝えたほうがよい」とも付け加える。それは、以下のような理由からだ。

「経営難のベンダーは、必ず人員削減に苦心している。そのため、自社の顧客企業が人材をスカウトしたいと望めば、喜んでそれに協力するだろう。また、自社の技術者を顧客側に移籍させれば、その顧客との取り引きを維持できる可能性が大きくなる。それは、彼らにとって大きなメリットなのだ」（同氏）

人材流出を防ぐ

上に挙げた何らかの手法を用いて、優秀な人材を確保できたとしよう。その場合、今度は、その人材を自社に定着させる手だてを講じなければならない。その際にカギとなるのは、「就労環境」と「評価」、そして「給与」の3つだ。

このうち就労環境はきわめて重要であり、とりわけ、セキュリティ技術者が望むIT環境を用意するのは、彼らを会社につなぎ止めるうえでの必須要件となる。

実のところ、セキュリティ技術者の大半は、そのピラミッドの頂点とも言える「セキュリティ・マスター」になることを目指している。それには、先端のセキュリティ技術についての経験と知識、および活用のノウハウを得ることが不可欠であり、ゆえに、彼らは、そうしたものを得ることが可能な最新式のIT環境を強く求めている。

「そのため、セキュリティ技術者にメインフレーム・システムのような旧来型のIT環境をあてがうのは避けたほうがよい。なぜならば、そうしたシステムは、彼らのスキル向上とはまったく無縁の存在だからだ。そのような環境を押しつけられたセキュリティ技術者は、必ず欲求不満を募らせる。そして最後には、会社を辞してしまう」と、SANSIのパラー氏は指摘する。

また、セキュリティ技術者に、自身の就労環境をより魅力的に見せたければ、彼らのトレーニングや資格取得を金銭面でバックアップする姿勢も大切だと、LJAAのクシュナー氏は言う。

「自分のスキル向上を会社が支援してくれると分かれば、技術者らは、会社に対する忠誠心を抱くようになる。そのため、我々も、技術者らと雇用契約を結ぶ際には、彼らのトレーニングやコンファレンスへの参加費を一部負担するとの条項を盛り込むようにしている」

さらに、企業のCIOは、セキュリティ技術者の功績をきちんと評価する努力も怠ってはならない。システムの安全性を確保するという彼らの業務の功績は、他のIT業務とは異なり、なかなか表面には表れてこない。というのも、彼らの任務は、システムを外敵から守り、それを通常どおり稼働させておくことだからだ。すなわち、彼らの成果は、企業の現場で働く第三者にはほとんど見えないのである。

しかも、皮肉なことに、彼らの存在は、何らかのセキュリティ障害が発生した際に、いきなりクローズアップされる。むろん、このようにして周囲の注目を浴びたとしても、それは、セキュリティ担当者の評価を上げることにはならず、むしろ下げることになるのである。

したがって、CIOは、セキュリティ担当者の日々の業務を常に注意深く見守り、その成果に対する社内的な評価を高めるよう配慮しなければならない。例えば、社内でセキュリティ・セミナーを実施し、彼らの成果を広く発表できる機会を設けるのも一案だろう。加えて、セキュリティ担当者の成果を、自社の首脳陣に正確に伝える努力も惜しんではならない。

このほか、給与面で彼らを優遇することも大切だ。ちなみに、METAグループの人的資本管理プログラム担当ディレクター、マリア・シェーファー氏によれば、米国における一般的なセキュリティ技術者の年収は、最低で6万ドル、最高で約10万ドルが相場であり、セキュリティ管理の責任者の場合は、13万〜18万ドルにもなるという。

既存スタッフの活用

自社のセキュリティ・スタッフ、もしくはチームを強化する手法は、何も新たな人材を雇用するだけであるとは限らない。例えば、既存のITスタッフ、具体的には、社内のシステム管理者やネットワーク管理者を、セキュリティの専任者として起用するという手もある。

事実、システム管理者やネットワーク管理者であれば、技術的なスキルも高く、セキュリティの概念や問題についてもすでに一定の知識を有している。また、日々のIT業務を通じて、自分が管理するIT環境のセキュリティ設定を調整したり、セキュリティ障害に対処したりしている可能性もある。

しかも、SANSIのパラー氏によれば、彼らの多くは、セキュリティ管理の専任者になることを強く望んでいるという。同氏は語る。

「セキュリティ管理の仕事は、第三者から見れば地味な仕事に思えるだろうが、IT技術者にとっては決してそうではない。その逆に、見えない敵と技術を競い合い、それを打ち砕くというのは、技術者にとってやりがいのある任務なのだ。また、セキュリティの技術者は、今日のIT技術者の中では『花形』的な存在でもある。そのため、システム管理者やネットワーク管理者の多くは、上司からこう命令されるのを待っている。『君には、明日からセキュリティ管理をフルタイムで担当してもらう。ついては、セキュリティのスキルを高めてほしい』と」

こうした社内の人材を集め、彼らに対して、さらなるセキュリティ教育を施せば、おそらく、有能なセキュリティ・チームが出来上がるはずである。

その実現に向けた最初のステップは、もちろん「有志を募る」ことである。ただし、もしパラー氏の言葉どおり、システム管理者やネットワーク管理者の多くがセキュリティの専任者になることを望んでいるならば、その志願者はかなり多いはずである。

そこで重要になるのは、セキュリティ管理の適任者を慎重に選考することであり、その基準をしっかりと定めておくことだ。例えば、セキュリティ・スタッフを選考する際に、技術的なスキルだけで、その良否を判定するのは禁物だ。それと併せて、「誠実さ」や「倫理観」、「人との折衝能力」、「協調性」などもチェックする必要がある。

実際、社内のセキュリティ・スタッフは、セキュリティ上の必要性から、現場によるシステム利用に制限を与える場面にしばしば直面する。この場合、必ず現場との対立が生じるが、そうした摩擦を丸く収めるには、折衝能力や協調性が不可欠なのだ。

「折衝能力や協調性に欠けたセキュリティ・スタッフは、現場に対して自分の考えだけを一方的に押しつけようとする。それでは、現場はついてこない。よって、セキュリティ・スタッフには、たとえ現場との摩擦が生じたとしても、彼らのビジネス・ニーズに耳を傾け、折衝を重ね、より良い解決策を見つけ出せる能力が求められる」と、カーディナルヘルスのハートマン氏は語る。

教育の手法

ところで、セキュリティ管理の適任者を選考できたとして、CIOが次になすべきことは何なのだろうか。

それは、先の記述からも察せられるとおり、新任のスタッフに適切な教育を施すことである。ならば、その「適切な教育」とは何なのか。この問いに対し、米国のセキュリティ・コンサルタント、スティーブ・カッツ氏は、「セキュリティ全般の基礎知識を徹底的にたたき込むことにほかならない」と答える。

ちなみに、カッツ氏は、米国シティグループとメリル・リンチで最高情報セキュリティ／プライバシー責任者を歴任した人物だ。同氏によれば、新任のスタッフに、セキュリティ全般の基礎を理解させれば、あとは各自の自助努力によって、ファイアウォール管理や侵入検知といった専門ノウハウを個別に身に付けていくことが可能になるという。

現在、そうした知識をスタッフに習得させる手段は、いくとおりかに分かれている。その1つは、コンサルティング会社にスタッフ教育を委託することである。

通常、新人のセキュリティ・スタッフの教育には、何カ月もの期間がかかる。そのため、社内スタッフが一定の知識を身に付けるまで、外部のコンサルティング会社がそのスタッフの代役を務めるケースが少なくない。しかも、大手のコンサルティング会社は、大抵の場合、教育体制も整えており、企業はセキュリティ・スタッフの教育も併せて委託することができる。

こうしたかたちで、コンサルティング会社にセキュリティ業務の代行とスタッフ教育をともに任せれば、その企業のセキュリティ・スタッフは、実際の現場でコンサルティング会社による教育を受けることもできる。こうした実地訓練は実に合理的であり、教育を受けたスタッフは、吸収した知識を即座に業務に生かすことが可能になるのである。

スタッフ教育のもう1つの手法は、教育機関が提供している認定資格の取得コースを受講させることだ。

むろん、認定資格の取得は、セキュリティ・スタッフにとって必須ではなく、重要なのはあくまでも経験とスキルである。しかしそれでも、認定資格の取得コースを受講すれば、セキュリティに関する基礎的な知識を身に付けることができる。しかも、米国のCSIやISACA（情報システム監査コントロール協会）、およびSANSIといった団体が提供している教育コース（認定資格の取得コース）であれば、その受講料はさほど高価ではない。少なくとも、コンサルティング会社に委託するよりは、はるかに低コストで人材教育が行えるはずだ。

さらに、セキュリティ・ベンダーの教育コースも、セキュリティ・スタッフを育成するには有効な場である。実際、前出のパラー氏によれば、こうしたベンダー教育は、（そのベンダーの製品に偏った教育ではあるものの）実際的な技術を学ぶうえでは効果的であるという。ただし一方で、同氏は、「ベンダーによる教育コースは総じて受講料が高価であり、なかには、自社の認定資格を取得させるコースに4,300ドルもの受講料を設定しているベンダーもある。この辺りは改善の余地があるだろう」ともしている。

このほか、米国では、セキュリティ・サービス会社が社員をユーザー企業のもとに出向させ、スタッフ教育を行うという形態も広がりを見せている。この場合、セキュリティ・サービス会社は、一定範囲のセキュリティ業務の代行契約を顧客から取り付ける。彼らは、そのサービスの一環として、顧客企業のスタッフに対する（出向社員による）実地教育サービスを無償で提供しているのである。

意識を高める

上記のいずれかの方法で教育を行えば、セキュリティ専任のスタッフと、そのチームの能力は確実に向上するだろう。

ただし、それだけで自社のセキュリティ・チームが、システムの安全性を完全に確保できるかと言えば、そうとばかりは言い切れない。というのも、クラッキングの手口やウイルスは、日々刻々と高度化し、また変化しているからだ。したがって、自社のセキュリティ・スタッフには、そうした変化に即座に対応できるよう、セキュリティ情報を常に収集し、追跡させるよう指導しておく必要がある。

今日、セキュリティに関する情報源としては、SANSIのIncidents.orgや、米国セキュリティフォーカスのサイト、Bugtraqなどが広く知られている。企業のセキュリティ・スタッフは、こうしたソースから常に最新の情報を入手することを怠ってはならないのである。

また、セキュリティ関連の各種コンファレンスも、セキュリティの技術者が情報を収集したり、同業者と情報交換したりする場として役に立つ。よって、CIOは、自社のセキュリティ・スタッフに、そうしたコンファレンスに参加するよう促すべきだろう。

「さらに、CIOは、セキュリティ・スタッフに対して、セキュリティ関連の最新情報を毎週報告するよう義務づける必要がある」と、前出のシュウォーツ氏は語り、こう続ける。

「そしてもし、セキュリティ・チームの報告の中に、CIOが独自に入手した重要な最新情報が含まれていなかった場合には、セキュリティ・チームの歯車が狂い始めた兆しであると見なしたほうがよい」

もちろん、このような情報の食い違いは、「情報の記載漏れ」といったささいなミスによっても起こりうる。よって、一般的に考えれば、この種の問題はさほど深刻ではないように思える。しかしながら、セキュリティの世界では、「ささいなミス」も絶対に許されず、それを決して見逃してはならないのだ。

それだけに、セキュリティのチームは、あらゆる局面において細心の注意を払う必要がある。また、そのことは、彼らを取り巻くCIO、そして他のITスタッフにも同様に言えることだ。すなわち、サイバー・テロの脅威から自社のシステムを守るには、セキュリティ・チームとCIO、そしてIT組織全体が、セキュリティに対する意識を高め、人為的なセキュリティ上のミスを排除していくよう心掛けなければならないのだ。逆に、そうしなければ、いくら有能なセキュリティ技術者を雇用し、または育成し、彼らによって優れたチームを編成したところで、サイバー・テロの餌食となることを避けられないのである。

[ この記事のバックナンバー ]

• 人材バンクネット
• 『日本の人事部』
• 会社概要