セキュリティを学ぶのに必要な2つの視点とは?【新連載】Hackademy・実践的サイバーセキュリティの学び方(1/3 ページ)

ITが苦手な人にも詳しい人にもセキュリティは難解かもしれません。本連載では、そんな人々がサイバーセキュリティへの理解や知識を分かりやすく学べる方法を紹介していきます。第1回目は、いまのセキュリティで大切な2つの視点を取り上げます。

» 2016年07月06日 08時00分 公開

 数々のセキュリティ侵害事件や情報窃取事件がビジネスに及ぼす影響は、増大の一途にあります。単にブランドや評判に傷がつくというレベルではなく、業務の停止、人材の流出、顧客への対応も困難になっており、適切な対処のための方策が求められています。

Hackademyのシンボルです

 この状況へ対処していくためには、誰が、どうすれば良いのでしょうか。わたしたちは、技術者のみならず、さらに多くの人がサイバーセキュリティに関してさまざまな角度から学びやすいようにすることが解決の糸口になるのではないかと考え、2016年4月にサイバーセキュリティ教育のための「Hackademy Project」(ハカデミープロジェクト)という活動を始めました。

 本連載は、Hackademyが最初にリリースした講座の内容を中心に、サイバーセキュリティに関する基礎的な情報などを「つまみ食い」しながらお届けしていきます。できるだけカジュアルに取り上げることで、より多くの方にセキュリティを考えていただくきっかけにしていきたいと思います。今回は、サイバースペースの移り変わりを踏まえ、現在のサイバーセキュリティ教育に不可欠な視点を考えます。

セキュリティ対策が求められる背景の変遷

 サイバーセキュリティは、「技術・運営の現場の問題」から「役員会・経営会議で語られる問題」へと移ったと言われています。これはIT関連の会社だけではありません。あらゆる種類の企業・団体の経営層が関心を持ち、意思決定に取り組むべき課題として認識されるようになりました。

 つまり、現在のサイバーセキュリティは単純にテクノロジー面だけの知識を取得すれば良いというものでないということになります。実際のビジネス、顧客や関連企業へ、ひいては業界への影響があるからです。サイバーセキュリティにかかわるリスクを考える人は、この視点で経営層への説明をしなければならない場面も増えています。また、社内では部門ごとの業務への影響という視点、事前対策・事後対応のアプローチも不可欠になっています。まさに、テクノロジー面とビジネス面の双方からのアプローチが必要になっているのです。

 これまでのセキュリティは、社内で規定した「情報」をどうするかということに終始し、そこを守るのは情報システム部門の仕事――という共通理解があったことでしょう。現場の情報システム部門、システム構築部門、システム運用部門などのいわゆるIT プロフェッショナルが、社内の別のプロフェッショナルに情報共有するシーンは多くあったと思います。もっとも、そこを円滑に行う取り組みは引き続き重要です。

 しかしながら現在では、セキュリティにかかわる以前の認識が大きく変わってきました。経営層に対して、自社が現状で導入しているセキュリティ対策を解説し、それがどのようなリスクにどの程度役立っているのかを示したり、昨今頻発するサイバーセキュリティ関連事件などのニュースがあれば、「同様の事象が発生した際に自社は大丈夫なのか?」といった部分の解説が求められたりしています。

 経営層へのブリーフィングに与えられる時間は、せいぜい5分から10分ほどですが、その頻度は増していることでしょう。短時間できちんと俯瞰した、かつポイントをついた情報にしなければなりません。また、株主総会でサイバーセキュリティに関する質疑応答が発生するシーンもよく見かけるようになりました。こうした場面で解説を的確に行うことは、実はITプロフェッショナルとして従来に求められたスキルを大きく超える範囲になります。もしかすると、読者の皆さんも肌で感じているのではないでしょうか。

Hackademy 有価証券報告書へのサイバーセキュリティリスク開示

 これにより、いわゆる困ったことにならないための「保険」程度に位置づけられていたセキュリティ対策は、社会人が入社する会社を選ぶ材料に、経営陣が継続的にその立場にいるべきなのかを検討する材料に、または投資家が株を売買する材料に、さらには広くステークホルダーがその会社をどう見るのかの材料としての役割に変わりました。既に上場企業は、有価証券報告書などにサイバーセキュリティ対策を記述し、投資家やステークホルダーが見て安心できるよう取り組んでいます。企業の経営戦略において、戦略的な投資としてのセキュリティ対策をどう考えるかという要素の影響が大きくなってきました。

 つまり、サイバーセキュリティを取り巻く状況を俯瞰(ふかん)し、自社の状況をもとにビジネス面での意思決定につなげていくことは、もはやITプロフェッショナルだけが努力すればどうにかなるという類の問題ではないということです。このようなサイバーセキュリティ対策の位置づけや求められる役割の変化は、テクノロジー面のキャッチアップだけの問題ととらえるのでは不十分なのです。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ