セキュリティ現場のリアル 企業間におけるITスキルの“ギャップ”が生む悲劇とは：セキュリティ担当者の独り言

セキュリティの現場ではITスキルの習熟度によって案件の難易度が大きく変化することも多い。顧客や開発ベンダーも含めたシステムに関わる全従業員のITリテラシーを向上させるにはどうすればいいのだろうか。

[伊藤聡司，ITmedia]

　前回はシステム開発にありがちな突然の規定準拠に関わる割り切りや心構え、事前対応について説明した。今回はセキュリティにおいてITリテラシー不足が招く問題について解説しよう。前回に引き続き今回も筆者の主観が含まれているためご了承いただきたい。

併せて読みたい関連記事

• セキュリティ担当者はつらいよ　組織間で発生するギャップにどう立ち向かうか
• システム復旧には時間がかかる　現場担当者が考える再開に向けた4つの基準
• 突然の規定準拠要求、費用はポケットマネー？　システム開発現場は自衛せよ

セキュリティの現場で発生する認識の相違　考えられる原因は？

　セキュリティ業務では、インシデント発生時の上席への報告や顧客とのセキュリティ要件の合意、社内の品質管理部門およびCSIRTへの自社システムの説明など、関係者間で情報を伝達する場面があるが、そこではしばしば認識の食い違いが生じることもある。認識をすり合わせるために想定以上の時間がかかってしまうケースも多い。

　特にインシデント発生時の報告フォーマットが定まっていない組織では、必要な情報が十分に吸い上げられていない可能性が高い。極端な話だが、現場は“10”の説明を上層部にしたつもりでも実際は“1”の理解にとどまっていたとすれば、結果的に想定と異なる情報が伝わり混乱を招く。