好きな所から読む
昨今のITサービスの普及、テレワーク環境の整備などによりセキュリティがより一層世間の注目を集めています。今回は企業のセキュリティを外部からサポートしていくセキュリティコンサルタントについて紹介致します。
セキュリティコンサルタントとは
各企業のIT環境における課題を抽出し、セキュリティレベルの改善とトラブルを未然に防ぐ仕組み作りを考え、企業に提言していく仕事となります。また、各企業の予算や企業規模に応じた提案が求められるため、経営的な視点も必要です。ITやセキュリティ面の知識だけでなく、企業の経営や法務など幅広い知識が求められる職業になります。
セキュリティコンサルタントの役割や業務
企業のセキュリティ面でのレベルの向上と管理、運用を考えていくことが主な仕事です。セキュリティ面レベルの向上に関しては、経営層にセキュリティ強化の重要性を理解してもらうことから始まります。セキュリティは目に見えない部分なので、企業によってどこまでお金をかけるかといった温度差が、非常に大きいからです。
例えば、目の前の売上を優先している企業であれば、「売り上げに直結しないセキュリティ対策にお金をかける余裕はない」と、思う可能性があります。特に資金的に余裕がない企業に上記の傾向は強く、導入を勧めても耳を傾けない可能性が高いでしょう。経営者は企業を健全に存続させることを最優先に考えているので、経営者の言い分も一理あります。
しかし、近年情報の価値は上がっており、現在は情報がお金を生む「取引の対象」となる時代です。顧客データが流出したら「あの企業は信頼できない」との噂が、あっという間に広まるでしょう。取引先の信用を失うとともに、経済的にも大きな損失を受けるため、今後のビジネスに大きな影響が出てきます。このような事態を避けるためにも、情報の価値を経営者に意識してもらい、資産として情報を守る必要性を感じてもらうことが大切でしょう。
さらに、セキュリティコンサルタントは、企業規模に合わせた最適なセキュリティ対策を作り、運営と管理をしていきます。コストがかかりすぎると、企業側への負担が大きくなるからです。企業とコミュニケーションを取りながら、経営状態と照らし合わせて導入時期を見極めてください。
セキュリティの戦略を構築する
各企業によってセキュリティの課題は異なります。例えば、PCが個々の管理になっている企業の場合は、管理の煩雑さと余計なコストが掛かっている点が課題です。そういった状況の企業は、Active Directoryを導入することで、ユーザー情報やPCの情報を一元管理が可能になります。また、データ処理やソフトの更新作業も自動で行ってくれるため、人為的なミスによる情報流出や漏洩を防ぐことが可能です。Active Directoryは初期投資が数百万円必要にはなりますが、長期的な視点で見たときに、企業側にとってはメリットも大きいでしょう。個々に払っていたソフトのライセンス費などのランニングコスト削減だけでなく、管理者の業務負担に伴う作業効率の改善にも期待できるからです。
一方で、在宅勤務やモバイルワークなど、場所と時間の制約を受けない働き方改革の実現を目指す企業に対しては、異なる提案が必要です。上記の希望を持つ企業に対しては多要素認証の導入と端末のシンクライアント化を提案します。シンクライアントは、サーバー側でデータ処理や更新作業を行い、PCなど端末側ではクリック操作やキーボード操作といった最小限の機能に留めます。データもPC上に保存できない仕組みとなっているため、紛失や盗難にあっても被害を最小限に留めることができるでしょう。
外回りの多い営業マンや一人で完結する仕事が多いプログラマーやデザイナーといった職業の方々だけでなく、出産や結婚を機に退職しようと考えていた、女性たちにも新たな選択肢を提示することができます。このような職種の方は、社外で仕事をすることが多く、外部でPCを使った場合でも社内と同様で利用できるネットワーク環境を整えることが大切です。シンクライアントは、USB端末を差すだけでPCがシンクライアント対応可能とする方法があるなど、手軽な方法で行うことができる点も魅力の1つです。
セキュリティ管理・セキュリティ対策の仕組み化
セキュリティ管理や対策面の仕組みとしては、よく以下の提案がセキュリティコンサルタントより実施されます。ゼロトラストモデルになっていない、境界型の提案が多いですが、おさらいとして今一度確認致します。
ファイアウォール
ファイアウォールは、ネットワーク上で、その通信をさせるかどうかを判断し、許可・拒否を行う製品です。しかし、その通信のハンドリングには、通信の送信元とあて先の情報のみをみて判断しており、通信の内容により動作することはありませんは見ていません。
尚、企業などのネットワークに使用するファイアウォールは、インターネットと社内のLANとの間に設置する形式をとっており、この場合ファイアウォールの責務としては、外部からの不正なアクセスを社内のネットワークに侵入させないことを目的にしています。具体的には、外部からの不正なパケットを遮断する機能や、許可されたパケットだけを通過させるという挙動をとります。
セキュリティパッチ
セキュリティパッチは、OSやソフトにある脆弱性を見つけ、修正するプログラムです。OSやソフトウェアの脆弱性は、不正アクセスやサイバー攻撃がのターゲットになりやすく、速やかに対処することが望まれます。また、セキュリティパッチを導入する以外にも、サーバーに残っている不要なアカウント・アプリケーション・ソフトの削除をしておくことで、不正利用のリスクを軽減することができます。
WAF
WAF(Web Application Firewall)は、Webアプリケーションを狙った不正アクセスやサイバー攻撃を防ぐ、ファイアーウォールです。Webアプリケーションは便利な反面、設計段階でのプログラムミスやバグ修正を行うパッチの更新作業の滞りなどによって不具合が起こるため、脆弱性が課題とされています。WAFはWebサーバーの前に設置して通信の解析と分析を行い、不正なアクセスや攻撃を遮断します。
セキュリティ対策の実務を最適化
顧客企業の抱えるリスクや予算に応じて、最適な対策計画を立案します。リスクを見える化することで、セキュリティ対策を行うことでの改善効果や担当者の業務負担軽減につながります。
セキュリティコンサルタントの資格
資格は必要?
資格が無くても業務を行うことはできます。ただし、IT知識やセキュリティ関連、企業経営などに関する知識は必要です。
資格の一覧
セキュリティコンサルタントに関わる資格の一部です。セキュリティコンサルタントは社会的に重要が高まっており、試験にも様々な種類があります。
実務をこなしながら自身のレベルに合わせた試験を受けて合格し、自らのスキルを証明してください。
| 資格試験名 | 試験分野 | 特徴 |
| ITストラテジスト |
|
|
| システム監査技術者 |
|
|
| CISA |
|
|
| GIAC |
|
|
| プロジェクトマネージャー |
|
|
| 情報セキュリティマネジメント |
|
|
| CompTIA Security+ |
|
|
ITストラテジスト
企業の経営戦略に応じて、企業にとって最適なITの活用方法や仕組みを考える戦略家です。
非常に高度な専門知識を求められる資格で、合格率は15%未満と難易度が高いことがわかります。
合格率が低いのは、情報処理だけでなく企業の経営や法務など幅広い知識を必要とされるからです。
ITストラテジストは、情報処理に関してトップクラスの知識や技能を必要とするシステムアナリスト試験と、企業会計や経営戦略の分野での知識が必要な上級システムアドミニストレータ試験をミックスさせた試験になります。
長い実務経験を通して知識や実力を身に付けた、マネージャークラスや部長クラスのキャリアを持つ方が受ける資格とされています。
IT系の資格では唯一、専門職として認定されており、合格すれば相当なキャリアとスキルを持つ者として尊敬されるでしょう。
システム監査技術者
システム監査技術者の役割は、情報システムや組込みシステムのリスクや課題を抽出し、企業にとって最適な運用方法や保守などの助言を行う役割です。
システム監査の重要性は、近年のインターネット環境の普及によって情報に対する価値が上がり、評価する体制が社会に根付いてきました。
一方で、価値ある情報を狙って情報システムの脆弱性を突いた、不正アクセスやウイルスなどによって起こる情報流出や漏洩での企業への影響力が、
大きくなりました。
特に独自性や専門性の高い技術を持つ企業の情報は、「非常に価値があるものだ」との認識が高まっています。
システム監査技術者には、情報システムのリスクチェックや企業経営へのコストパフォーマンス、開発工程におけるマネジメントなど、
幅広い範囲でのチェックが求められます。
そのため、試験内容も高難度であり、ITストラテジスト試験と並んでIT系の国家試験では、最も難しい試験の1つだと言われています。
合格率は15%未満であり、合格した場合は周囲からの尊敬を集め、確かなスキルと知識を持った人物だとして評価されるでしょう。
CISA
CISA(Certified Information Systems Auditor)とは、公認情報システム監査人と呼ばれる資格になります。
情報システムの監査やセキュリティ面の効果的な運用に関して、専門性の高い高度な知識や技能、豊富な実績を持っている人物であることを認定する資格です。
認定する団体は1967年に設立されたISACA(The Information SystemsAudit and Control Association, Inc. 情報システムコントロール協会)と呼ばれる協会で、情報システム関連の資格では最も歴史がある資格になります。
試験内容は、直近5年間の情報システム監査やセキュリティ分野における自らの実績を証明することが求められています。
情報システム監査のプロセスやITマネジメント能力、システム開発の開発~導入など、あらゆる場面での整合性やパフォーマンスの質が評価対象になっているためです。
合格率は非公開になっていますが、CISAに認定された後も資格保有のための条件が厳しく設定されています。
ISACAが設定している継続教育プログラム(CPE: Continuing Professional Education)で、水準以上のポイントを獲得しないと、
合格実績が取り消される仕組みになっているからです。
継続的に最新の知識を取り入れ、能力を実証し続けなければなりません。
CISA認定者は、世界でも約15万人が資格認定されており、国際的にも広く知られている資格だということがわかりました。
近年では、情報システムやプログラマーとして経験を積んできた人物が、会社の重要なポストを担うケースが増えてきていることから、
今後注目の資格だと言えるでしょう。
日本では、主にコンサルティングティング会社や外資系企業、金融機関などでCISA認定者が活躍しています。
GIAC
GIAC(Global Information AssuranceCertification)は、情報セキュリティ分野でファイアーウォールやセキュリティ監査、Windows OSなど、幅広い情報知識やスキルを身に付けていることを証明する認定です。世界トップレベルの情報セキュリティ教育・研究機関であるSANSがGIACの認定をしています。
アメリカで創設されたSANSは、米国内において情報セキュリティ分野でのトップクラスのブランドと評価されています。GIAC認定者は、社会で必要とされるソフトウェアやネットワークスキルを高度なレベルで身につけていると周囲に示すことができるでしょう。GIACは有効期限が4年間であり、継続的な受験が必要です。
