企業のセキュリティ対策概論（2/5 ページ）

[Mayank-Sharma，Open Tech Press]

人的リソースへの投資

　セキュリティソリューションへの投資は、それらを使いこなせる人材がいなければ無意味だ。実際、シュナイダー氏は、組織のセキュリティ確保では1つのツールであらゆる状況に対応できることはない、と考えている。「高価なツール、アナライザ、侵入テストツールを買いそろえるだけでは何の足しにもならない。スキルを持ち、トレーニングを受けた人材が必要だ」。スウィニー氏もまた、組織に最大の効果を与え得るセキュリティチームの特徴の1つが教育訓練にあることを認めている。すべての社員にセキュリティ研修を必ず受けさせること、というのが彼のアドバイスだ。

　クルス氏は、社員の教育訓練に加え、社内にいる専門のセキュリティコンサルタントからなる優秀な（そして十分な規模の）チームに適切な投資を行うように勧めている。彼らには、特定の規制への準拠のためだけでなく、自社のデジタル資産保護のためにも十分な権限を持たせる必要がある。「彼らの目的は、自社のデジタルインフラストラクチャのどの部分を重点的に保護すべきかを理解し、その結果に応じてリソースを適切に割り当てることにある」（クルス氏）。もちろん、こうしたチームのメンバーには、自らのスキルを継続的にアップデートしていくことも求められる。組織のセキュリティに最も直接的にかかわる人々には、専門分野の最新動向を絶えず把握しておくことを必須の目標として課す必要がある、ともクルス氏は述べている。また、スウィニー氏も「セキュリティチームの中に、過去3カ月の間に実践的なセキュリティ研修を受けていないメンバーが1人でもいれば、その会社はすでに脆弱性を抱えていることになる」と警告している。

　シュナイダー氏は、あらゆる企業の経営陣に社員への投資の重要性を理解するように呼びかけている。「BS 7799、ISO 17799、ISO 27001といった規格に従えば、経営陣は安心するかもしれない。だが、どんな組織でも、外的脅威や内的脅威の回避には“防御の多重化”が必要だ。経営陣はITセキュリティ活動を支援し、リソースの削減によって活動を妨げないようにする必要がある」