GoProのCISOが遭った痛い目とは？ 外部ベンダーのリスク評価はお早めに：セキュリティマネジャーのリアルな一日【後編】

GoProのCISO、トッド・バーナム氏は午後も忙しい。事前に決まっていた仕事に加え、急きょ経営陣から指示されたタスクもこなさなければならない。仕事術についてさまざまなヒントがある同氏の午後を紹介する。

[Isabella Harford，TechTarget]

　ウェアラブルカメラ大手GoProのCISO（最高情報セキュリティ責任者）トッド・バーナム氏が執筆した書籍『The Cybersecurity Manager's Guide: The Art of Building Your Security Program』（2021年刊行）。独自の視点でセキュリティマネジャーの仕事をリアルに語っている。同書の抜粋でバーナム氏の午前中を紹介した中編「午前中に会議が4回　GoProのCISOの超多忙な一日とは」に続き、後編となる本稿は同氏の午後を見る。

---

“サボっていた仕事”を上から指示　GoProのCISOのリアルな午後とは？

併せて読みたいお薦め記事

セキュリティ研修を面白くするこつ

• セキュリティ研修の内容はこの「4つのトピック」で成立する
• セキュリティ研修で従業員の心をつかむために欠かせない4つのポイント

正午〜午後1時

　当社が契約を結んでいるサードパーティーベンダーのリスク評価を進める。サードパーティーベンダーのシステムが安全でなければ当社にも被害が及ぶ可能性があるため、重要なことだ。このリスク評価は本来であれば、契約を結ぶ際にしなければならない。しかし、していなかったので、今になって経営陣から「やれ」と言われ、急きょする羽目に陥った。

午後1時〜午後2時

　法務部と行動規範の文書を更新する（これはつらい）。

午後2時〜午後3時

　外部機関を利用して実施したセキュリティ監査の結果を経営陣にプレゼンテーションする。

午後3時〜午後4時

　上司と一緒に取締役会用のプレゼンテーション資料をレビューする。

午後4時〜午後5時

　ネットワークチームと会議。セキュリティ強化の方針を確かめるとともに、ネットワークスキャンの結果を確認する。

午後5時〜午後6時

　やっとさまざまな会議が終わって席に戻ると、私に対処を求める部下からのメールが大量に届いている。今日もまだまだ仕事が終わりそうにない。

---

　あなたもセキュリティマネジャーであれば、似ているスケジュールだろう。そしてこのスケジュールは毎日毎日、こなさなければならない。私はこれまでのキャリアで社内外からの要求が絶えず「平穏な時期」は一度もなかった。

　世の中のセキュリティ意識が高まれば、企業にも高いセキュリティ基準が求められるようになる。セキュリティマネジャーの仕事はアイスホッケーの試合に例えると分かりやすい。常に戦いが激しく、休むために一時的にリンクから出ることはできない。セキュリティマネジャーは戦い続けるという覚悟を決めることが重要だ。そうしないと、このタフな仕事はできないだろう。

　Deloitte Touche Tohmatsuで興味深い表を見たことがある。同社の8つのセキュリティ部門を176領域に分割して掲載した表だ。表はやっとオフィスの壁に収まるほどの大きさだった。この表を見て、セキュリティマネジャーの仕事の幅は、社内の他の誰のものよりも広いことを実感した。ぜひこの表を皆さんにも見せて、セキュリティマネジャーの大変さを共感してもらいたい。いや、それは無謀なお願いか。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。