GoProのCISOが語る「だからセキュリティマネジャーは大変」セキュリティマネジャーのリアルな一日【前編】

企業の「システムの安全」を支えるセキュリティマネジャー。守備範囲が広く、苦労することもあるセキュリティマネジャーの仕事はどのようなものなのか。GoProのCISOの話を紹介する。

2022年04月26日 05時00分 公開
[Isabella HarfordTechTarget]

 セキュリティマネジャーとその部下は、慌ただしい日々を送っている。攻撃の手口が巧妙化する中、脆弱(ぜいじゃく)性を修正したり、ランサムウェア(身代金要求マルウェア)攻撃の対策を講じたりと、やるべき仕事は山のようにある。

 「この仕事に終わりはない」と語るのは、成長を続けるウェアラブルカメラ大手GoProのCISO(最高情報セキュリティ責任者)を務めるトッド・バーナム氏だ。セキュリティマネジャーが解決しなければならない課題は山積している。バーナム氏は「交代メンバーのいないアイスホッケーの試合のようで休む暇がない」とため息をつく。

 2021年、バーナム氏が執筆した書籍『The Cybersecurity Manager's Guide: The Art of Building Your Security Program』が刊行された。この書籍でバーナム氏はセキュリティマネジャーの仕事をリアルに語る。「セキュリティの確保を要求する経営陣」と「セキュリティ対策を面倒がる現場」の板挟みになること、仕事の幅や大変さについて理解を得られないこと、セキュリティ予算の捻出が難しいことなどだ。

 セキュリティマネジャーとして生き残るにはどうすればいいのか。バーナム氏の本からそのヒントを探った。

「大変さを理解して」 セキュリティマネジャーの幅広い仕事とは

 バーナム氏によると、セキュリティマネジャーは「セキュリティの8つの領域」に精通する必要がある。8つの領域は下記の通りだ。

  • セキュリティとリスク管理
  • 資産のセキュリティ
  • セキュリティのエンジニアリングとアーキテクチャ
  • 通信とネットワークのセキュリティ
  • IDとアクセスの管理
  • セキュリティの評価とテスト
  • セキュリティ運用
  • ソフトウェア開発のセキュリティ

 以下はバーナム氏の書籍からの抜粋だ。同氏はセキュリティマネジャーの大変さを語っている。


 セキュリティマネジャーは仕事の内容が周りからあまり理解されていない。仕事をこなすにはどのような知識やスキルが必要か。それを身に付けるのはどれほど大変か。なかなか共感を得られないのだ。時々「理解している」と言う人もいるが、ふたを開けてみるとそうではないことに気付く。私は「前職でセキュリティを担当していた」と言う人と仕事をしたことがある。すぐにその人のセキュリティの理解が深くないことが丸見えになって絶望したことを覚えている。

 セキュリティチームは幅広く会社全体に貢献している。セキュリティチームは異なるサポートを各部署に提供するので、セキュリティのスキルはもちろん、各部署の業務内容についても把握する必要がある。「セキュリティチームのサポートは当たり前ではない」ともっと意識してほしい。

 サポートの具体例を挙げる。

  • セキュリティポリシーの作成
  • コンプライアンスの支援
  • リスク評価
  • アプリケーションの侵入テスト
  • レッドチーム演習(攻撃手法の模擬的実践)
  • インシデント対応
  • 従業員向けのセキュリティ研修

 中には退屈なものもあるため、優秀な人が嫌がることがある。そのためセキュリティチームはタスクの多さに加え、この仕事に魅力を感じて進んでチームに加わってくれる人が少ないという現実にも直面している。


 中編以降は、バーナム氏の実際の一日を追う。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

鬮ォ�エ�ス�ス�ス�ス�ス�ー鬯ィ�セ�ス�ケ�ス縺、ツ€鬩幢ス「隴取得�ス�ク陷エ�・�ス�。鬩幢ス「�ス�ァ�ス�ス�ス�、鬩幢ス「隴主�讓滂ソス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�シ鬩幢ス「隴乗��ス�サ�ス�」�ス�ス�ス�ス

市場調査・トレンド ゼットスケーラー株式会社

AIの悪用でフィッシング攻撃が巧妙化、今後の予測と防御方法を解説

今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。

技術文書・技術解説 ServiceNow Japan合同会社

限られた人材でインシデントや脆弱性への対応を迅速化、その鍵となるのは?

セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。

製品資料 LRM株式会社

開封率から報告率重視へ、重要な指標をカバーする標的型攻撃メール訓練とは

年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。

製品資料 LRM株式会社

新入社員の情報セキュリティ教育、伝えるべき内容と伝え方のポイントは?

従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。

製品資料 LRM株式会社

2024年発生のインシデントを解説、組織全体でのセキュリティ意識向上が不可欠に

2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。

驛「譎冗函�趣スヲ驛「謨鳴€驛「譎「�ス�シ驛「�ァ�ス�ウ驛「譎「�ス�ウ驛「譎「�ソ�ス�趣スヲ驛「譎「�ソ�スPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

GoProのCISOが語る「だからセキュリティマネジャーは大変」:セキュリティマネジャーのリアルな一日【前編】 - TechTargetジャパン セキュリティ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

TechTarget驛「�ァ�ス�ク驛「譎「�ス�」驛「譏懶スサ�」�趣スヲ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

鬩幢ス「隴取得�ス�ク陷エ�・�ス�。鬩幢ス「�ス�ァ�ス�ス�ス�、鬩幢ス「隴主�讓滂ソス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�シ鬩幢ス「隴乗��ス�サ�ス�」�ス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�ゥ鬩幢ス「隴趣ス「�ス�ス�ス�ウ鬩幢ス「�ス�ァ�ス�ス�ス�ュ鬩幢ス「隴趣ス「�ス�ス�ス�ウ鬩幢ス「�ス�ァ�ス�ス�ス�ー

2025/05/10 UPDATE

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。