EXINの情報セキュリティコースはセキュリティの基礎を学びながら、安全レベル、キーポイント、組織、BCPそれぞれの視点を持ってセキュリティを考えられるスペシャリストの育成を目指している。ITを活用する人もいれば、悪用する人もいる中で、セキュリティはITの可能性を引き出す土台となるもの。しかし、「何も起こらない」が最高の状態であるセキュリティは価値を見いだしづらい側面もある。
今回は、日米でITセキュリティ、エデュケーションを手がけ、「情報セキュリティエッセンシャルズ【試験付き】コース」で講師も務めるテルミ·ラスカウスキー氏にセキュリティの考えかた、そして情報セキュリティコースの魅力を伺った。
日本では、失敗は決して起こしてはいけないもの、100%が当たり前のリスク回避型。しかし、アメリカはリスクや損失の発生も含めて考えていく。これがセキュリティへの意識にも現れているように感じていました。アメリカではセキュリティを漏れて、トラブルが発生しても対処をしようとしますが、日本ではトラブルが発生した時点でアウト。「セキュリティを施してもトラブルが発生するなら必要ないのでは?」とまで考えてしまう傾向が強いと感じています。
ラスカウスキー:ITは本来、人の仕事を楽にするもの。手書きで手紙を作成するよりタイピングしたメールを送るほうが速いですよね。しかし、リスク回避型は失敗を過剰に恐れてしまいます。ITを使えば仕事が早くなる、効率化できる、と思いながらも失敗を恐れてしまう。このような場合、失敗を防ぐITを求めてしまう。メーラーを開くのにパスワードを要求し、送信ボタンを押したあと取り消しができるような仕組みを用意する。シンプルなものを複雑にして、効率を下げてしまうケースを見かけることもあります。
ラスカウスキー:ここ数年、開発の現場で「アジャイル」「DevOps」という考えかた、手法が注目されています。旧来のようにあらゆる失敗要因を潰して100%の状態でリリースするのではなく、60-80%の状態でリリースし、運用しながら100%を目指し開発していく。リリースを行えばユーザーが参加してくれるため、ビジネスも動きます。そして、失敗要因も特定しやすくなります。これにより、改善を行うリソースも節約できます。セキュリティ面で懸念も残りますが、あらゆる面で柔軟性が増していきます。この考えかたは日本の開発の現場でも定着しつつありますが、「新しいことには障害がつきもの」。失敗を恐れるのではなく、細かな失敗を経験しながら大きな失敗を防ぐように考えていくのが大事ではないでしょうか。
ラスカウスキー:セキュリティは、国内外問わず多くの企業が「重要」と考えているものの、経営層がITに疎い場合、現場に一任してしまっている ケースが見受けられます。ITはもちろん、セキュリティに対しても「難しいのではないか」と思い込んでいるのではないでしょうか?本来ならば経営層が率先してセキュリティも含めたIT全体を引っ張っていくのが望ましいですが、現実的には難しい。本コースは、ITセキュリティの分野でリーダーシップを取り、実装することができる人材を目指しています。私の経験も踏まえて、ITセキュリティをより身近に感じて貰えるよう心がけてもいます。
ラスカウスキー:セキュリティは専門性のある分野です。いっぽうで、全体像を掴みどのようなことをするべきかを考えるのは、セキュリティの専門家でなくても十分できると考えています。本コースでは、セキュリティを論理的に考えられるような知識を、私の経験も踏まえて教えています。企業秘密や個人情報、顧客情報はITを使って簡単に社内“外”にも共有ができてしまう。意志決定はもちろん、ビジネスのスピードを加速させるためにも、セキュリティは「ビジネスのために必要だ」と言う意識を持ち帰ってもらいたいです。
ラスカウスキー:先ほどもお話ししたようにセキュリティは専門性が高い分野でもあります。コースによって狙いや持ち帰って貰いたいものが異なるため、ご紹介する事例の深度、種類も変えています。ファンデーションコースは、ITの基礎知識は持っているものの、セキュリティにはあまり触れたことがないかたが対象ですので、「会話」を大事にしながらセキュリティの押さえどころ、エッセンスを伝えるようにしています。細かい技術的な話も重要なのですが、全体像を掴んだ上で考えていかなければ思わぬ穴を作ってしまいかねませんので、受講者の知識や理解に合わせて伝えていくことを心がけています。常にそのように考えながら講師を務めています。学んだことを実践する、そして教える。このサイクルで考えることで、私自身も本コースを通して成長を実感しています。
ラスカウスキー:情報セキュリティは「何も起こさない」のが最高の状態。売り上げを上げることもなく、価値が感じづらい面もあるため、日本では優先度が低くなってしまう傾向もあります。しかし、たとえば暮らしの中にある「防犯」をイメージしてください。外敵から身を守るために城壁を備えたお城のように物理的に強力なセキュリティを備えた建物は少なくなり、センサーやカメラを使ったさりげないものへと変化しています。昨今、注目されているIoTがより身近になれば、セキュリティを必要とするシーンはより広がっていく反面、クラウドなど上層で行われるようになり、よりどこで誰がどのように行っているかは見えなくなっていくように思っています。
ラスカウスキー:セキュリティはお金を生み出すこともなく、価値が見えづらいものです。セキュリティの価値、効果を知るには、知識も時間も必要です。そして、「完璧」「パーフェクト」という状態もありません。常に気を払って、向き合う必要もあります。情報セキュリティコースでは、セキュリティの基礎から、現場、組織、社会などさまざまな視点でセキュリティを見る目が養えます。手間もかかり、それ自体で利益も生み出さない、そんなやっかいものが、ビジネス上「なくてはならないものである」、そして「セキュリティがあるからこそITの可能性が広がる」ことに気づいていただけると考えています。
【テルミ·ラスカウスキー氏】プロフィール:米国陸軍大尉を経て来日。ゴールドマンサックス証券会社、スイス銀行などでIT部門に属し、システムアナリストから部門長などを歴任。SYMANTEC社では執行役員兼務コンサルティング本部長を勤める。テンプル大学日本校客員教授(ITガバナンス、マネジメント、情報セキュリティ、ビジネスコミュニケーション)。その他、大手日系·外資系企業向けコーチング、リーダーシップ、マネジメント、戦略など実績多数。英語·日本語ともにネイティブスピーカー。現在、パスファインダーズ·ジャパン株式会
社代表取締役社長
PDF版の記事をダウンロードはこちらから>>