ルールを見直し、従業員が納得し、改善していくことが会社の力に
MinaSecureによる学習を通じて、自社のルールを従業員それぞれが理解し、確認するようになる。すると、あらためて「自社のルールは、従業員の視点で適切か、有効なものになっているか」を見直す機運が生まれてくる。GSXではそんな要望に答えるコンサルティングサービスも提供し、リスクアセスメントやポリシー見直しを支援していく方針だ。
GSX経営企画本部 部長の武藤耕也氏は、「自社のセキュリティの体制やマネジメント、バランスの取り方はこれでいいのか、というように、現状を可視化して確認するプロセスが回っていくようになります。ルールを再整備したら、次は『あらためて訓練でチェックしてみよう』といった具合に、良い方向でスパイラルを回していくことができます」と話す。
MinaSecureは文字通り、「従業員が『皆』、『セキュリティ』の意識を持たなければ会社を守れない」というGSXの思いを体現したサービスだ。
「わたしたちは、セキュリティ対策の最後のエンドポイントが人のセキュリティ意識だと思っています。人が本当に安全になれることを考え、名付けました」と船橋氏。従業員それぞれがルールの意味を「腹落ち」し、納得することによって、企業が強くなる。「企業のポリシーやルールにひもづいた従業員の意識があれば、それは企業の力になります」(武藤氏)とすべく、GSXはMinaSecureを提供していく考えだ。
セキュリティのプロフェッショナルに対する期待は年々大きくなっている
こうした組織全体でのセキュリティレベルを底上していく上で欠かせないのが、情報システム部門やセキュリティ担当者の存在だ。しかしながら、増加の一途をたどるサイバー犯罪やサイバー攻撃に立ち向かうプロフェショナル人材が足りないという厳しい実態がある。
GSX経営企画本部 部長の武藤耕也氏
武藤氏によると、「サイバー攻撃は【姿や形が見えない】ため、可視化する仕組みを事前に準備しておかなければ、攻撃されたかどうか、侵入されたかどうかすら分かりません。システム面での準備は当然のこと、それをしっかり監視したり、分析対処したりする人的な体制も重要です」と指摘する。
企業がリスクに向き合い、セキュリティ運用を回していく際に直面するのが、上述したセキュリティの人材不足だ。しかし情報システム部門は、システムの企画から運用、保守、ユーザーからの問い合わせ対応など日々さまざまなタスクに追われている。「企業では、システム担当者が半ばボランティアのような形で余力と正義感で活動し、セキュリティ対策を頑張っているのが実情です。システム担当の方々はサーバやネットワーク、端末のお守りなど、本業でも十分忙しく、新たにセキュリティについてしっかり勉強する時間もありません。」(武藤氏)
こうした背景からGSXでは、セキュリティのプロフェッショナルを育成するための専門教育サービス「EC-Council セキュリティエンジニア育成講座」を実施している。現在用意されているのは、「認定ネットワークディフェンダー」(CND:Certified Network Defender)と、「認定ホワイトハッカー」(CEH:Certified Ethical Hacker)の2つのコースだ。特徴的なのが、いずれもサイバー攻撃に対処する際に必要な知識を体系的に学び、実際にハンズオンで膨大なシナリオを体験実習することである。セキュリティに関するトレーニングコースは数多くあるが、知識だけでなく手を動かしながら「攻撃者がどんな視点で何をしてくるのか」「実際に攻撃を受けたときにどんな手順で何をすべきか」といった実践的なスキルを俯瞰的かつ体系的に学べるようになっている。
当初はSIerや情報セキュリティ企業からの受講者が多かったが、最近はCSIRTを構築し、運用し始めた企業が自らコースを受講することが急増しているとの事。受講者からの評価も想定以上で、ある受講者からはトレーニング修了後に「会社から取得を推奨されているのは情報処理推進機構(IPA)などの国内で有名な資格ですが、実際に業務で持たなければいけないスキルはCND/CEHの方ですね」とフィードバックを受け、まさにいま当事者の方々の悩みに応えられるトレーニングコースだと意を強くしているという。
ここまで見てきたように、組織全体のセキュリティレベルを底上げしていく上では、対策をリードするプロフェッショナル人材とともに、高いセキュリティ意識を持つ従業員の双方の取り組みが鍵を握る。その実現に向け、GSXが提供する「MinaSecure」や「EC-Council セキュリティエンジニア育成講座」といったさまざまサービスが貢献してくれるだろう。
