このページを見ている皆さんの中には、あまり知識もないのにいきなりセキュリティ担当者に任命されて困っている、という方も多くいらっしゃることでしょう。今回のテーマは、セキュリティ担当者としての業務と心構え。セキュリティ担当者に任命されたらいったいどんな仕事が待ち構えているのか、ということを解説していきます。

目次

1.はじめに
2.セキュリティ担当者の業務範囲
3.幅広い業務の全てをひとりで?担当者のホントのところ。
4.会社から望まれているのは何か?求められる役割を知ろう。
5.権限、それは上役が見た恐怖。ぼくが見た希望。
6.兼任ならセキュリティ業務にどれだけの時間を使う?
7.協力なくして安定なし、信頼を得るにはどうすればいい?
8.居て良かったと思われるセキュリティ担当者になれ!

はじめに

最初にはっきりと言っておきますが、セキュリティ担当者の仕事内容というのは会社によって大きく異なります。セキュリティ担当者として任命した側である、会社がどんな仕事を望んでいるのか、また、任命された側である自身がどこまで果たすべきだと考えているのかによって、その業務内容は大きく変わることになります。

間違いなく言えるのは、自身の中にセキュリティに対するしっかりとした考え、あるいは信念がなければ務めあげることはできない仕事であるということです。自分が所属している規模の会社ではどんな作業が必要なのか、という全般的/一般的な知識から始まり、事業の内容や保有している機器、それぞれに対しての細かい知識まで、しっかりと検討の俎上に載せ、将来のヴィジョンまでを考える事ができる最高のセキュリティ担当者を目指しましょう。

セキュリティ担当者の業務範囲

いきなり仕事の話しに入る前に、セキュリティ担当者とは何なのかをしっかりと把握しておきましょう。
辞書的な意味で言えば、セキュリティ担当者というのは「職場でのセキュリティを確保する人」ということになります。ここで気をつけておかなければならないのが、セキュリティという単語の示す範囲の広さです。皆さんが普段から想像している、コンピュータに関する脆弱性やウイルス、迷惑メールなどへの対応業務はもちろんですが、紙媒体などの企業の情報管理などもセキュリティに含まれます。
たとえばメモとして使っていた裏紙が、様々な情報が印刷されている紙だったら、廃棄する際にはきちんとシュレッダーにかけなければなりません。場合によってはそもそも裏紙として使ってはいけないものもあるはずです。もちろん社員名簿や出勤簿などは、使われ方によっては企業や社員に影響を及ぼす可能性があるものですから、きちんとした管理が必要になります。また、このような「社員が知らなくてはいけない、様々な情報の扱い方」を、周知徹底させる教育・啓蒙も不可欠です。

整理してみればわかるように、セキュリティ担当者というのは会社のセキュリティに関することならソフト・ハードを問わずにやらなければなりません。そのため日頃から、業務を遂行する上で必要な知識を身に着けるための情報収集をする必要があります。しかしここまで幅広い業務内容を、果たして自分の力だけでこなせるのでしょうか。

幅広い業務の全てをひとりで?担当者のホントのところ。

前述ではセキュリティ担当者がこなすべき仕事について紹介しましたが、実は全ての作業をいつまでも自分が直接管理する必要はありません。内容が多岐にわたるものなのも理由の1つですが、企業は継続することで自ずと規模が大きくなっていくものです。事業規模が大きくなるに従い、セキュリティ担当が行う業務内容もボリュームも多くなっていきます。結果、1人では手が回らなくなる状況となり、必然的にセキュリティ担当部署(あるいはチーム)というものが組まれることになるでしょう。そうなると、チームができるまでは自分1人で行っていた業務を、内部、外部を問わずチームメンバーに分散させていかなければなりません。

全ての管理作業をいつまでも自分が直接管理ないし指示することは、メンバーの教育・人材育成の観点からも望ましくありませんし、余計な手間が発生してしまいます。さらに、企業の規模が小規模であったとしても、日常業務と兼務してセキュリティの業務を行う場合、全てを自分が管理するというのはその膨大さから不可能に近いでしょう。

セキュリティ担当という責任を負う立場としては、全ての作業を自らの目で確認したくなってしまうものですが、自分に許された時間というのは限られているはずです。限られた時間でしっかりと管理をしていく上で重要なことは、「セキュリティポリシーに基づいた管理体系」です。
字面で見ると難しく思えてしまいますが、簡単な例で言えば、「不要となった紙は必ず全てシュレッダーにかける」「社員名簿や出勤簿は必要のない閲覧をさせず、複写・印刷を原則認めない」といった単純なもの。より情報機器寄りの例でいえば「管理者の認可を取らずに勝手にコンピュータにソフトウェアをインストールしない」「個人利用の外部デバイス、未確認の情報機器は原則接続しない」といったものです。
セキュリティポリシーを組み、それに沿って判断をしてもらい、どうしても不明な点についての最終的な判断だけを自分の手で行っていく、このような「管理体系」を組み上げることでセキュリティ担当者が常時携わらなければならない作業の量を減らすことができるようになっていきます。また、セキュリティポリシーに基づく管理体系が組まれることにより、企業の規模が大きくなっても、従うべき指針が明確になっていればその応用は難しくはありません。

会社の規模に応じて変化せざるを得ないセキュリティ担当者の仕事、何に焦点を置くかによってその負担は大きく変わることでしょう。

会社から望まれているのは何か?求められる役割を知ろう。

とはいえ、実際に自分がセキュリティ担当者として任命された際、「明日から何をしなければならないのか」ということは非常に重要です。セキュリティ担当者は、「あなた、今日からセキュリティ担当者になったから」といったような言い方で任命されることはまずないでしょう。多くの場合、セキュリティに関係する作業を依頼され、その延長線上にある職務としてセキュリティ担当者というものがあるのです。

昨今最も多い事例が、「セキュリティソフトの導入をしたいんだけど、詳しそうだから考えてくれないか」という業務からセキュリティ担当者に任命されるパターンです。このサイトを見ていらっしゃる方であれば昨今、企業で使用しているコンピュータにセキュリティソフトが入っていないということは稀だとは思われるかもしれませんが、実態はそうではありません。事実、多くの中小企業で購入時点の初期状態のまま、数多くのコンピュータが稼働しているのです。
もちろん導入されていないようでしたら、セキュリティソフトの導入は最優先課題となります。セキュリティソフトにもそれぞれ特徴がありますから、それらをしっかりと見極め、会社や自分が管理しやすいソフトを選ぶことで、効率面やコスト面での無駄を省いた運用ができるようになります。
ソフト面でのセキュリティの第一歩であり要でもあるのがセキュリティソフトです。セキュリティソフトが導入されていないということは、明日全てのコンピュータが動作しなくなってもおかしくない、という意識で臨んでください。

一方で「これから導入するセキュリティソフトの運用をしてくれ」という要請だった場合には、どういう役割が求められているのでしょうか。導入と言われた時との違いとして1点あるとすれば、そこには社員への教育的な側面が含まれていると思ってください。導入するセキュリティソフトの、その使い方も含めた管理を行っていくということまで考えて欲しいのです。
この場合、セキュリティソフトの運用に先立ち、是非確認して欲しいことはセキュリティポリシーの策定と、その伝達です。基本的には「このセキュリティソフトに従った使い方をしてください」という内容をアナウンスすることになると思います。
ですが、そこで問題になるのがフリーソフトなどの使い方です。よく社員からあがってくる悩みとして耳にするのは、「今まで使っていたフリーソフトがセキュリティソフトから有害判定を受けて困っている」というものです。このような相談に対策を練り、対応していくのもセキュリティ担当者の重要な仕事です。
考えられる対応方法も様々ですが、セキュリティポリシーに基づいて、どの対応が正しいのかを検討し、場合によってはセキュリティポリシーの変更を行った上で実情に即した運用を行うというところまでできれば、一人前のセキュリティ担当者といっても問題ないでしょう。

(対応方法の例)
・取り付く島もなく「セキュリティソフトの表示の通り、使用しないでください」と否定
・そのPCだけセキュリティソフトの設定を緩める
・なぜ有害判定を受けたのか調査し、問題のない機能と使ってはいけない機能の線引きをしルール化する
・同じ機能を持つ別のソフトを紹介する
とその対応方法も様々です。

権限、それは上役が見た恐怖。ぼくが見た希望。

このように、セキュリティ担当者は現場の声に適宜対応していかなければなりません。その際に必要なのが権限、それも社内の全てのデバイスにアクセスできるような管理権限です。権限がなければ「各社員の働きやすい環境を作る」という柔軟な対応は難しくなるでしょう。
多くの場合、この権限を持っているのはセキュリティ担当の上役になることが多いのですが、実態を見てみるとその権限はセキュリティ担当者本人には渡されていないことがほとんどなのです。高度に情報化が進んだ現代において、アクセス権限を渡すというのはとてもリスクの大きい行為だから仕方がないと言うこともできますが、それではセキュリティ担当者としての責務は全うすることができません。そして、実はこの状況こそがセキュリティ担当者の仕事内容を困難にしている原因なのです。

その理由は単純です。通常の仕事において責任と権限はセットになっています。だからこそ仕事に対してしっかりと業務をこなすことができるとともに、責任をもって遂行しなければならないと考えるわけです。しかしながら、権限のないセキュリティ担当者の業務では、必要に応じて一時的に権限を移動したり、上役の監視と許可のもとに業務をしたりしていくこととなり、セキュリティ担当者本人にとっての「責任」というものがあやふやになってしまいます。
この状況ではセキュリティ担当者の仕事に対する責任感もなかなか生まれません。しかし、仕事に対する権限を与えられることによって、セキュリティ担当者の仕事に対する責任が明確になり、自分が手を出さなければならない範囲というのも決まってきます。
責任と権限が伴わない状況は、セキュリティ担当者にとっても上役にとっても時間と業務に対する責任感の無駄といえるでしょう。

兼任ならセキュリティ業務にどれだけの時間を使う?

社員数の多い企業ならともかく、中小企業だと多くの場合が通常の業務と兼任のセキュリティ担当者となります。つまり自分の業務を持ちつつ、企業のセキュリティのことも見ていくことになるわけです。そこで気になるのが、自らの仕事を優先するのか、それともセキュリティの仕事を優先するのか、ということです。少し考えてみて下さい。

筆者個人の考えとしては、このどちらか一方を優先することではないと思っています。どんな企業にせよ、あなたがセキュリティ担当者に任命されたというタイミングは、会社にとってセキュリティ担当者が必要になったタイミングにほかならないのです。自らの仕事とセキュリティの仕事、どちらも担保しつつこなしていくのが理想だと言えます。
そうは言っても、自らの仕事とセキュリティの仕事、どちらも全力投球では体が持ちません。自らの仕事は過剰となった部分については他のメンバーなどに協力してもらい、セキュリティ業務は可能な限りシステム化・体系化して自分の手がなくても回るような形を作っていく、という努力が必要です。

その上で個人的に理想だと思う仕事の配分は、セキュリティ業務6:通常業務4です。セキュリティ業務というものは本来企業全体を見なければいけないものなので、こちらのほうが比重は大きくあるべきだと考えます。同時に、全体を見るということはマネジメント能力も必要になります。例えばプロジェクトチームのセキュリティメンテナンスを行うとき、そこで使われているシステムを一時的にストップしなければなりません。どのタイミングであればチームの進行を阻害せずに済むか、影響を最小限にとどめられるかを把握するためには、チームのマネジメントに関する知見があってこそ成り立つ業務となるでしょう。
ですから、先ほどあげたセキュリティ業務の6という割合のうち、2くらいはこうしたマネジメント業務に当てることになる、という意識を持っておくと素晴らしい結果を生むことができるでしょう。
このクオリティで会社のセキュリティを担保しているにもかかわらず、もっと自分の業務もこなせ、と言われるならば、給与交渉ぐらいはしてもいいかもしれませんね。

協力なくして安定なし、信頼を得るにはどうすればいい?

さて、これから努力して会社のセキュリティを管理していくわけですが、このような管理というのは現場からはどうしても嫌われがちです。それまで自分が何年もやってきた我流の方法を否定される恐れがあるわけですから、当然といえば当然かもしれません。しかし、しっかりと社内のセキュリティを担保していくためには、現場の社員との協力を欠かすことはできません。

この協力体制が整っていないとどうなるのか。各現場での勝手な判断が始まってしまいます。例えば新しく部署に人が入ってきたとき、当然ネットワークを追加しなければなりませんが、この追加作業を部署の判断で勝手にしてしまったら。勝手にアカウントの追加や削除をし始めたら。セキュリティの担保という面で見ると非常に危険な行為です。さらに、そういった作業をしたという事後報告さえないままだと、マルウェアに感染したとしてもどこが原因だとわからず、抜本的な復旧が行えない、というケースも大いにありえます。

こうした状況を防ぐためには日ごろからの現場の社員とのコミュニケーションに加え、セキュリティ担当者の仕事が会社全体にどんなプラスの影響を及ぼすのか、あるいはどんなマイナス要素を排除できるのかをあらかじめ説明し、理解・協力を求めていくことが重要な要素となります。社員からの不満も、一方的に否定するのではなく、もしそれがセキュリティポリシーに抵触するようなことであっても本当に役に立つことなら、セキュリティ担当者が自ら入り込んで使用に当たってのルール作りを行う、ということも必要になります。このように現場の社員の声を聞き、セキュリティ担当者としてしっかりと意識した仕事を行っていくことで、セキュリティ担当者の印象もよくなり、社内での協力体制が生まれてくることでしょう。

こうした観点から見てみると分かるように、セキュリティ担当者の仕事の領域は勝手に決めてしまうのではなく、ある程度柔軟に、実際に使用する社員や会社全体のことを考えて、セキュリティポリシーを含めて正しく変化していくことが重要です。

居て良かったと思われるセキュリティ担当者になれ!

セキュリティ担当者というポストは、創業当初から社内に設置されていることは少なく、状況に応じて作られることがほとんどです。逆に言うと、セキュリティ担当者が任命されたときというのはセキュリティ担当者が必要とされた時だといえます。

自分がいったいどんな場面で必要とされているのか、そのためには何をすれば良いのか、ということを意識してください。セキュリティ担当という業務を、ただの1つのポストと捉えるのも構いませんが、情報化社会の現代においてはそのポストは企業全体の業務に影響を及ぼすのだ、ということは忘れないでください。

繰り返しになりますが、セキュリティ担当者というのは求められて作られるポストです。本サイトを含め、その業務や知識を学び、企業や社員、さらには顧客から「居てよかった」と思われるようなセキュリティ担当者になってくださいね。