成功するセキュリティ担当者だけが持つ「4つのソフトスキル」とは：「ダメ出し屋」になってはいけない（2/2 ページ）

[Steven Weil，TechTarget]

3．情報セキュリティ意識を高める

　情報セキュリティ担当者は、情報セキュリティがいかに重要であるかを理解している。だがほとんどの企業では、セキュリティが最大の目的ではない。多くの企業では、従業員の大半が情報セキュリティのリスクを十分に理解していないのが実情だ。セキュリティの重要性を従業員に認識させるには、それが彼らの利益につながることをアピールする必要がある。例えば、自社がフィッシング攻撃にさらされる危険性を減らすには、従業員の銀行口座などの個人情報を盗み出すのにフィッシングが利用されることを従業員に教えればいいのだ。事あるごとに、セキュリティの脅威を分かりやすい言葉で説明し、セキュリティコントロールは従業員と会社を守るためのものであることを説明することが大切だ。

　多くの従業員は自分の“本来の仕事”の妨げになるような面倒なセキュリティコントロールを嫌い、これを避けようとするということを、情報セキュリティ担当者は理解する必要がある。情報セキュリティ担当者は高度な技術スキルを備えているが故に、技術に詳しくないユーザーの視点や彼らの仕事の実際の状況を理解するのが難しいかもしれない。エンドユーザーおよび彼らをサポートするチームと定期的に会合を持つことが、適切かつ合理的なセキュリティコントロールの策定および導入に役立つ。

関連記事

標的型攻撃の実体を知る

• 日本年金機構の事件でも悪用か　マルウェア「Emdivi」の恐ろしさ
• 「Microsoft Office」よりも「一太郎」が狙われる？　標的型攻撃の国内動向
• 標的型攻撃の“常とう手段”、送信者詐称メールにどう対処すべきか
• 標的型攻撃にも悪用、ボットネットによるサイバー攻撃の手口と対策

標的型攻撃対策の考え方

• 現実の手法で自社を標的型攻撃する「レッドチーム演習」とは？
• 標的型攻撃で情報セキュリティ部門の役割はどう変わる？

4．戦いを選ぶ

　情報セキュリティ担当者は毎日、自社に影響する可能性のある脅威や脆弱性の膨大なリストに向き合っている。そこで大切なことは、自社が重視すべきリスクと法的要件を理解し、その解決に役立つセキュリティコントロールの実現に向けて戦うことである。四六時中、危険性を騒ぎ立てている「セキュリティの悲観論者」や、ユーザーのあらゆる要求を拒否する「ダメ出し屋」になってはならない。そんなことをしていると、いずれ従業員に無視されたり、避けられたりされるようになり、経営幹部の支持も失うことになるだろう。

　「必須」のセキュリティコントロールと「あればよい」程度のコントロールとを区別しなければならない。そしてセキュリティコントロールやセキュリティプロジェクトの推進に向けて戦うときがきたら、丹念な調査に基づく事実と費用便益分析を提示して意見を主張すればいい。

ソフトスキル開発の重要性

　情報セキュリティ担当者にとって、ソフトスキルの開発は当初、煩わしく思えるかもしれない。だが情報セキュリティの境界線は次第にぼやけつつあり、情報セキュリティ担当者がセキュリティプロジェクトと自身のキャリアで成功するためには、ソフトスキルの重要性を理解し、それを開発して活用することが不可欠なのだ。