【候補者の実務能力を見抜く】「エンジニア採用面接質問例」セキュリティ編： エンジニアの採用や育成を迅速化

人手は足りない。しかし、せっかく候補者の採用を進めても、非IT人材である上職者を説得できず、採用に至らない。IT部門として候補者のスキルや知識を理解し切れない。このような場面で使える質問例がある。

[TechTargetジャパン]

　AIの台頭、DXの推進、SaaSの多様化と、企業のIT部門に求められる知識や役割は高度化している。これからのIT部門をリードする人材を”確実に採用したい”採用担当者に、面接時、採用候補者の実務能力を見極めるために使える質問例を贈る。今回は、セキュリティ編だ。

想定する質問者：企業グループ全体のセキュリティガバナンス強化に悩み、組織的・管理的な視点を持つセキュリティ専門家を採用したい情シス部長やCISO

質問の前提となる資格：情報処理安全確保支援士

関連用語：サプライチェーン攻撃、最小権限の原則 、need-to-knowの原則、脆弱性診断、多要素認証

質問

「子会社や外部委託先（サプライチェーン）が、セキュリティ対策が不十分なために攻撃の踏み台とされるリスクをどう評価し、そのリスクを低減するために、グループ本社としてどのような組織的・管理的な対策を優先して指導しますか？」

どんな答えはNG？

併せて読みたいお薦め記事

AIの最新動向をおさらい

• 高齢のITエンジニアは“人手不足の救世主”になり得るか
• 「ITエンジニア不足」は採用ではなく“育成”のせいだった？

NGな回答例：

「自社のファイアウォールを強化し、外部からのアクセスをすべてブロックすればよいです。子会社の対策はそれぞれの責任とします」

よい回答例：

「社内外問わず、アクセスを無条件に信頼せず、多要素認証や細かなアクセス制御を適用し、内部侵入の被害を抑えます。委託先や子会社とは、契約段階でセキュリティ要件を明確化し、定期的な監査やセキュリティ評価を実施して、基準の維持を担保します。グループ全体で脆弱性情報やインシデント報告を共有し、迅速に対応できる体制を組織的に整えます。セキュリティリテラシー向上のための研修を定期的に実施することも重要です」

NGな回答例の要注意ポイント：

　NGな回答例は、ファイアウォールなど技術的な対策のみに言及している。委託先へのセキュリティ要求事項の事前審査や、子会社を含めたグループ全体の統制強化といった組織的・管理的な視点があるかどうかは不明瞭だ。グループ内の会社が独自にセキュリティ対策を実施しているために、セキュリティ対策が不十分な会社が存在する懸念を理解していない恐れがある。