第一線エンジニアに聞く!
情報セキュリティ・コンサルタントになるには

下玉利尚明
2002/11/15

企業がセキュリティポリシーを構築し、自らの情報資産を守る。それを手助けするのが情報セキュリティ・コンサルタントの役目だ。それでは、情報セキュリティ・コンサルタントになるためには、どんなことを学べばいいのだろうか? それを第一線のトップエンジニアに聞いた。

情報セキュリティの重要性

 ハードウェアやソフトウェアを含め、企業にとって重要な資産をいかにして管理し、不正アクセスなどのリスクにどのように対処すべきか……。企業にとってセキュリティポリシーの構築が不可欠となった現在、その策定から運用までをサポートするセキュリティポリシーのスペシャリスト「セキュリティ・コンサルタント」に対する市場のニーズが高まっている。

 従来のITエンジニアに求められたITスキルはもちろんのこと、情報セキュリティのマネジメント力が重要視されるエンジニアである。コンサルティング、プレゼンテーションなどのヒューマン・スキルも求められるセキュリティ・コンサルタントを目指すには、いま、何をどう身に付けておけばいいのか。アズジェントのセキュリティポリシー事業部 取締役事業部長、BSi認証BS7799スペシャリストの駒瀬彰彦氏にお話を伺った。


――セキュリティポリシーのスペシャリストは、基礎となるITスキルからコンサルティングの技術まで、幅広い知識とスキルが求められます。駒瀬さんは、どうやって、その道を開拓されたのですか。

駒瀬彰彦(こませあきひこ)氏 アズジェント セキュリティポリシー事業部 取締役事業部長。ISMS適合性評価制度 技術専門部会委員、BSi(British Standards Institution)認証BS7799スペシャリスト、財団法人インターネット協会 セキュリティ研究部会 副部会長。暗号技術を用いた機密情報保護、認証システムの設計、開発などを担当。また、ネットワーク・セキュリティ・コンサルティングに従事。現在、セキュリティポリシー構築支援ツールである「M@gicPolicy」の開発やリスク評価・リスクマネジメントのための「RAソフトウェアツール」の日本語化や、ISMS構築のためのコンサルティング業務を携わっている。

駒瀬氏 セキュリティポリシーのスペシャリスト、セキュリティエンジニアには、その企業がどのような組織づくりをしているか、どのようなセキュリティ技術を導入しているかを判断、評価するスキルが求められます。

 このうち、特に注意すべきことは、現状では、日本企業は責任を明確化する組織づくりがうまくないということです。例えば、情報セキュリティに関して従業員の規定を作ろうとなると、人事部、総務部などから人員が集められるものの、責任者が明確にされないことがあります。「この案件は人事部管轄ですが、その中のこの部分については総務が担当して……」と、業務担当が細分化されていても、結果は複雑になっているだけで、だれが責任を取るのかが明確にされていない。責任範囲が明確化されていないということは、組織ぐるみのセキュリティ対策ができないということです。

 つまりは、知識もスキルもある少数の人間に頼ってしまっているのです。いまでも多くの企業では、1人のエンジニアにウイルス対策、不正アクセス対策、ヘルプデスクまでを任せているケースがあります。そのエンジニアは、日々の仕事をこなしたうえでセキュリティ業務もやっている。これではミスが発生したり、モチベーションが上がらない恐れがある。

 私も、もともとは開発エンジニアでした。どちらかというと、自分であれこれと考えるタイプのエンジニアで、その中での興味の1つに、「人間はなぜミスをするのか?」といったヒューマン・エラーの側面、心理的な側面に関することがありました。

 システムは人間が構築したものである以上、ミスが出るのは当たり前です。では、どこにミスが起こるのか、起きやすいのか、そこを考えることも重要だと思ったのです。当時私が所属していた会社でも、多くの日本企業と同様にセキュリティに対する組織ぐるみの対応が図られていたとはいえませんでしたし、責任も明確化されてはいませんでした。そうした中、たった1人のエンジニアでもサボればセキュリティは弱まり、企業にも取引先にも関連する各社にも影響が出るかもしれない……。そんな状況の企業は意外と多いでしょう。そこで、このままではいけないと、勉強を始めたのです。

――その勉強ですが、どのような方法で勉強をしたのですか。何か、特別なことをしましたか。

駒瀬氏 BS7799(現ISO/IEC 17799)、ISO/IEC 15408を原文で読みました。その過程で、「組織づくり」や「マネジメント」と「技術」がセキュリティのキーワードであるとする考え方に、賛同しました。イギリスに行くチャンスもあり、BS7799のISO化を担当している委員長(Ted Humphreys氏)や、BS7799の規格策定者とも直接に会い、さまざまな会合に出席し、BS7799の基本概念についての理解を深めたことは、後々役に立ったと思います。また、現在、彼らが弊社のアドバイザリをしてくれていることは心強いことです。

 例えば、BS7799のPart Iは、127項目のチェックリストから構成されているため、単なるチェックリストとしてしか理解していないエンジニアが多いのです。ところが、これは単なるリストではありません。セキュリティ対策の組織をつくり、適切な管理策を構築する際に、参照資料として活用すべき項目なのです

――BS7799を原文で読むといった努力は、多くの人が簡単にできるものではないですね。具体的にはどのような勉強をすべきなのでしょうか。

駒瀬氏は、セキュリティ対策のスキルでは、IDS、ウイルス対策、ファイアウォールを中心としたゲートウェイ対策、暗号化などを分野ごとにカテゴライズして、それぞれ機能を押さえ、引き出しを作るように整理することが重要だと強調する

駒瀬氏 セキュリティポリシーの策定については、基本的なITスキル、セキュリティ対策のスキルは大前提です。そのうえで、運用についての概念も押さえておくべきです

 セキュリティ対策のスキルについては、IDS、ウイルス対策、ファイアウォールを中心としたゲートウェイ対策、暗号化などを分野ごとにカテゴライズして、それぞれ機能を押さえ、引き出しを作るように整理しておくことが重要です。1つ1つの技術についての詳細な知識は必要なくとも、実装を担当するシステムインテグレータ(SI)や担当者らとしっかりと話し合いができるレベルの知識は必要です。

 また、知識だけではなく、企業の「組織」が分かっていないとポリシーは作れません。セキュリティポリシーの策定は、コンサルティングの要素も含みます。コンサルティングまでを視野に入れるのであれば、金融業なら金融業というように業種別の知識が求められます。特に、金融業なら金融庁に関連した財団法人金融情報システムセンター(FISC:The Center for Financial Industry Information Systems)が定めている基準があるというように、業種によっては関連省庁によって情報セキュリティについての規定が定められている場合があります。これを踏襲しなければなりませんから、業種と関連省庁や関連団体が定めた基準については押さえておくべきです。

――ポリシー策定は、その企業が何をしたいかによっても変わります。コンサルティング能力も不可欠なのですね。

駒瀬氏 「どういったシステムを構築したいのですか」と聞いても、いいコンサルティングはできません。「何がしたいか」を明確にしていくことこそ重要なのです。それによって、必要なシステムが見えてきて、そのシステムが明確になればリスクも評価でき、そこからポリシーも策定できる。要するに、ちょっと極端な例ですが、クライアントがADSLなのか1Gbitsの専用線を導入すべきなのかを考えるときに、「何がしたいのか」が明確でなければ、どちらがいいか判断できないでしょう。そのためには経営者層とのコンサルティングを通じて、「何をやりたいのか」を聞き出さなくてはなりません。

 セキュリティ技術はパフォーマンスとトレードオフのような関係にあります。よりセキュアなファイアウォールを構築すればパフォーマンスは落ちます。Gbitsクラスのネットワークでも、ファイアウォールのレベルや暗号化技術の導入により、どこまでパフォーマンスが落ちるか、そういった「技術」についても理解が必要です。

――コンサルティングまでを行うとすれば、IT技術に関する知識だけでなく、ヒューマン・スキルも不可欠になりますね。それはどのように身に付ければいいのでしょうか。

駒瀬氏 コンサルティングは、セキュリティ商品の設定などをする現場だけではなく、経営者層などに対しても行われます。むしろ、順序からすると、上層部とのコンサルテーションが先の場合が多く、そのため、上層部を納得させられるだけのプレゼンテーション能力が求められます。

企業の上層部には、IT用語を使わずに一般的な用語にいい換えることが必要だという

 ここで大事なことは、「ポートの25を止めました」といったIT用語をそのまま利用して上層部に説明するのではなく、1つ1つの用語のいいまわしを一般的な言葉に換えて、知識のない人でも理解できるようにしなくてはなりません。私たちの使命は、より強固なセキュリティシステムを構築することですが、上層部がセキュリティについて理解できるようになれば、そこから組織づくり、責任の明確化の重要性も認識されてくるのです。企業に対して、本来あるべきセキュリティの姿を理解できるように提案するのが大切なことなのです。

 そのようなIT以外のスキルを身に付けるには、エンジニアであれば、日常業務、普段から触れていて没頭している技術から、いったん目を離してみることが必要だと思います。そして、「会社とは何か」「組織とは何か」を考えてみるのです。その過程で、自分がエンジニアとして任されている仕事も、別の角度から見直すことができるでしょう。例えば、自社のシステムがウイルスに感染した場合、「自分」の役割は何かを明確にするだけでも、ポリシー策定の訓練になります。「自分」は、企業の業務プロセスの一部分を担っているはずです。何を求められていて、そのためにこういったシステムを運用しているのだと、自分、会社、システムを客観的に分析できる視点を持つことが必要です。クライアントと接するときにも視点を変えることで本質を聞き出すことができるケースがあります。

――基礎となるIT技術の上に、コンサルティングの能力などが求められるため、幅広い、知識と経験が必要なわけですね。しかし実際には、深いITスキルを持ち、コンサルティング能力も高いというエンジニアは多いのでしょうか。

駒瀬氏 ファイアウォールに関しての知識は深い、というように、ポイントを絞れば深い知識を持ったエンジニアはいます。ただ、総合的で、かつ、深い知識を持ったエンジニアとなると、数が少ないのは事実でしょう。

 しかし、自分がすべての技術について深い知識を身に付けるというのは、ある意味で現実的ではありません。ポイント、ポイントで深い知識を持ったエンジニアと協力しあう、つまり、野球の監督のように適材適所で相談しながら進めていけばいいのです。ここには、こういったセキュリティ技術が必要だと判断したら、それをクライアントに納得させ、そのシステムを構築する技術力を持ったエンジニアを集め、何をどう構築するかを説明できるような、マネジメント力が求められるのです。

 セキュリティポリシーとは、単純に「守る」技術だけではありません。企業のIT戦略にセキュリティ技術が合致して、そのうえで企業が発展していく環境を提供できる。それがいま求められているセキュリティポリシーなのです

――自分で学習し、セキュリティエンジニアを目指す過程で取得しておいた方がよい資格については、どのようにお考えですか。

セキュリティについての監査では、何をどう見るかが重要だと述べる駒瀬氏

駒瀬氏 BS7799は、セキュリティマネジメントシステムについての理解を深めるうえで勉強しておいた方がよいと思います。そのうえで、弊社が共催している「JIPDEC(財団法人 日本情報処理開発協会)認定 ISMS/BS7799リードオーディターコース」の資格は有用でしょう。

 そのほかには、情報セキュリティアドミニストレータはマネジメントやセキュリティポリシーのことも含まれているので、有効な資格でしょう。また、システム監査の資格は、監査の手法を学べるところに意味があります。セキュリティについての監査では「何をどう見る」かが重要です。暗号化されているからOKではなく、どういう要求に基づいて暗号化しているのか、反対に暗号化していないのであれば、この部分はパフォーマンスを重視しなければならないから暗号化していないなど、どちらの場合も理由が明確にできなければなりません。そういった手法、目の付けどころを学ぶ意味でも、システム監査の勉強は必要でしょう。セキュリティポリシーの策定では、経営者層と話し合いを持つケースが多くあります。個々の技術に対する知識に加え、大きなビジネスのプロセスの中で、セキュリティの重要性をとらえて、かみ砕いて理解させる能力が要求されているのです。

駒瀬氏のお薦め書籍

 情報セキュリティ・コンサルタントを目指すうえで、読んでほしい書籍をとお願いしたところ、次の5冊を推薦してくれた。ぜひ参考にしてもらいたい。

  システム監査基準の詳細を知るには
 システム監査は、情報システムの信頼性、安全性、効率性の観点から総合的に点検・評価する、有効な手段。この解説書は、旧通商産業省が公表したシステム監査基準を詳細に解説したもので、基準の改定に合わせ改訂版が出版された(写真は旧版)。
改訂版システム監査基準解説書

通商産業省機械情報産業局監修
財団法人 日本情報処理開発協会
4000円
問い合わせ先:財団法人 日本情報処理開発協会 調査部普及振興課(03-3432-9381)

  システム監査の実施プロセスなどが分かる
 システム監査のあり方を見つめ直し、時代に合った考え方を提起。システム監査の実施手順を踏んで展開された監査の実施例のプロセスも紹介されている。
システム監査の理論と実践策

財団法人 日本情報処理開発協会 調査部普及振興課著
財団法人 日本情報処理開発協会
2549円(税込み)
問い合わせ先:財団法人 日本情報処理開発協会 調査部普及振興課(03-3432-9381)

  ネットワーク管理の全般的な内容を把握できる
 ネットワーク管理の全般的な内容を網羅。「セキュリティポリシー」という言葉をキーワードに、策定過程や、筆者がセキュリティポリシーを策定する過程で収集した情報を整理し、具体的に解説されている。
図解そこが知りたい ネットワーク危機管理入門

上原孝之著
翔泳社 2000年7月
ISBN4-88135-914-2
1800円


  ネットビジネスのセキュリティ対策に役立つ1冊
 ネットビジネスのセキュリティ対策をセキュリティポリシーの視点から解説。企業の情報システム部門や総務部門など、管理者・担当者に役立つ内容となっている。
ネットビジネスのセキュリティ――セキュリティポリシーの上手な作り方

島田裕次、榎木千昭、満塩尚史著
日科技連出版社 2000年8月
ISBN4-8171-6077-2
2400円


  「ISO/IEC 17799」の規定内容を分かりやすく理解できる
 ITセキュリティに関連する国際標準規格である「ISO/IEC 17799」の規定内容を紹介。それに基づいた管理対策と、その実例について分かりやすく解説されている。
国際セキュリティ標準ISO/IEC 17799入門 個人情報の管理責任は経営者に! 個人情報保護基本法

田渕治樹著
オーム社 2000年12月
ISBN4-274-94633-9
2500円


参考記事
開発者が押さえておくべきセキュリティ標準規格動向 (Security&Trust)
情報セキュリティポリシーの現状 (Security&Trust)
ISMSの基盤となるISO/IEC 17799とJIS X5080 (Security&Trust)



@自分戦略研究所のセキュリティ関連記事一覧
セキュリティエンジニアになるための条件(前編)
セキュリティエンジニアになるための条件(後編)
セキュリティ技術の学び方
不正侵入検知のスペシャリストになるには
情報セキュリティ・コンサルタントになるには
ファイアウォール・スペシャリストになるには
こんなセキュリティエンジニアが欲しい
ソリューションを提供できるセキュリティエンジニア
2、3年後の自分を常にイメージせよ!
シスコの新しいセキュリティ資格、CCSPとは何か?
自分戦略研究所、フォーラム化のお知らせ

@IT自分戦略研究所は2014年2月、@ITのフォーラムになりました。

現在ご覧いただいている記事は、既掲載記事をアーカイブ化したものです。新着記事は、 新しくなったトップページよりご覧ください。

これからも、@IT自分戦略研究所をよろしくお願いいたします。