GoProのCISOが語る「だからセキュリティマネジャーは大変」:セキュリティマネジャーのリアルな一日【前編】
企業の「システムの安全」を支えるセキュリティマネジャー。守備範囲が広く、苦労することもあるセキュリティマネジャーの仕事はどのようなものなのか。GoProのCISOの話を紹介する。
セキュリティマネジャーとその部下は、慌ただしい日々を送っている。攻撃の手口が巧妙化する中、脆弱(ぜいじゃく)性を修正したり、ランサムウェア(身代金要求マルウェア)攻撃の対策を講じたりと、やるべき仕事は山のようにある。
「この仕事に終わりはない」と語るのは、成長を続けるウェアラブルカメラ大手GoProのCISO(最高情報セキュリティ責任者)を務めるトッド・バーナム氏だ。セキュリティマネジャーが解決しなければならない課題は山積している。バーナム氏は「交代メンバーのいないアイスホッケーの試合のようで休む暇がない」とため息をつく。
2021年、バーナム氏が執筆した書籍『The Cybersecurity Manager's Guide: The Art of Building Your Security Program』が刊行された。この書籍でバーナム氏はセキュリティマネジャーの仕事をリアルに語る。「セキュリティの確保を要求する経営陣」と「セキュリティ対策を面倒がる現場」の板挟みになること、仕事の幅や大変さについて理解を得られないこと、セキュリティ予算の捻出が難しいことなどだ。
セキュリティマネジャーとして生き残るにはどうすればいいのか。バーナム氏の本からそのヒントを探った。
「大変さを理解して」 セキュリティマネジャーの幅広い仕事とは
バーナム氏によると、セキュリティマネジャーは「セキュリティの8つの領域」に精通する必要がある。8つの領域は下記の通りだ。
- セキュリティとリスク管理
- 資産のセキュリティ
- セキュリティのエンジニアリングとアーキテクチャ
- 通信とネットワークのセキュリティ
- IDとアクセスの管理
- セキュリティの評価とテスト
- セキュリティ運用
- ソフトウェア開発のセキュリティ
以下はバーナム氏の書籍からの抜粋だ。同氏はセキュリティマネジャーの大変さを語っている。
セキュリティマネジャーは仕事の内容が周りからあまり理解されていない。仕事をこなすにはどのような知識やスキルが必要か。それを身に付けるのはどれほど大変か。なかなか共感を得られないのだ。時々「理解している」と言う人もいるが、ふたを開けてみるとそうではないことに気付く。私は「前職でセキュリティを担当していた」と言う人と仕事をしたことがある。すぐにその人のセキュリティの理解が深くないことが丸見えになって絶望したことを覚えている。
セキュリティチームは幅広く会社全体に貢献している。セキュリティチームは異なるサポートを各部署に提供するので、セキュリティのスキルはもちろん、各部署の業務内容についても把握する必要がある。「セキュリティチームのサポートは当たり前ではない」ともっと意識してほしい。
サポートの具体例を挙げる。
- セキュリティポリシーの作成
- コンプライアンスの支援
- リスク評価
- アプリケーションの侵入テスト
- レッドチーム演習(攻撃手法の模擬的実践)
- インシデント対応
- 従業員向けのセキュリティ研修
中には退屈なものもあるため、優秀な人が嫌がることがある。そのためセキュリティチームはタスクの多さに加え、この仕事に魅力を感じて進んでチームに加わってくれる人が少ないという現実にも直面している。
中編以降は、バーナム氏の実際の一日を追う。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.