日本の企業文化でCISSPが活躍できる場はあるか
--米国企業のセキュリティ対策の取り組みはいかがですか。やはりCISSP保持者が中心になっているのでしょうか。
衣川氏: 
米国では性悪説に立って物事を進めますから、非常にシビアな考え方をしています。セキュリティ対策にしても、「何から手を付けよう」から始まり、組織内でプログラムを組みます。そのプログラムの設計や運用段階で重要なのは、やはり「人」という結論なのです。つまり、できることは自社の中で推進して、その中心にはセキュリティのプロフェッショナルを置く、という考え方です。
ところが日本の場合は少し異なり、例えばセキュリティリスクをITツールでカバーするとか、あるいは自発的な誰かの行動に任せるとか、“能動的”ではなく依存傾向にあると思います。米国の場合、いろいろな技術が混在しているので「何をどうすれば最適なセキュリティ対策になるか」ということを総合的に判断できる人材が社内に必要になります。そこでCISSPは、その意思決定部分を確立するための資格として重宝されていますね。
--CISSPを国内でどう根づかせるかが課題になるかと思います。さらに突っ込んで、米国その他の国と企業文化が異なる中、日本でセキュリティプロフェッショナルやCISSPへの認知をどのように高めていくのかを教えて下さい。
衣川氏: 現在、国内企業でCIOやCISOの位置づけに当たる方が少ないのは確かです。しかもセキュリティへの取り組みといえば、ISMSやプライバシーマークなどの企業・組織全体の認証に主眼が当たり、個人レベルにまで落ちてきていません。その中でセキュリティの専門家への道筋をどう付けていくか。これはたいへん難しい問題で、われわれだけで対処できるものではないと思っています。
ただ、企業・組織全体としてセキュリティへの取り組み意識が高まっているのは喜ばしいことだと考えています。いまは確かに外部のコンサルティングサービスやツールに頼っていますが、やはり使う「人」がいないと機能しません。そこで最終的には「人をどうするか」という問題がクローズアップされていくと思います。
--人の問題は重要だと思います。セキュリティ対策の中では、必ず人材の問題が出てきます。
衣川氏: それだけ重要性が認識されていると思います。ですから米国のように、CISSPあるいはそのほかのセキュリティ資格に対して報酬を払うといった取り組みが望ましい姿です。いまは、例えばベンダーの方がこうした資格を取ると、一時金という形で支払われますが、そうではなく、そのスキルを大いに活用し、そのうえで適切な報酬を支払うといった形になれば、セキュリティ体制の確立が進むと思います。その実現が難しければ最低限セキュリティのプロが組織のなかで“プロ”として認識される仕組みや人材配置が成されていないといけないのではないでしょうか。
CISSPの独自性は日本企業の中で薄れる?
--仮に日本企業特有の課題や文化に試験内容を合わせると、グローバル資格であるCISSPの普遍性に影響が出ると思いますが、その辺りについてはいかがでしょうか。
衣川氏: CISSPはグローバルで普遍的な知識を問うもので、そのスタンスに変わりはありません。ただし、ある特定の技術分野やローカルな制度に対応させて、CISSPの上位資格という形でローカル版資格を開発することはできると思います
例えば米国防省(National Security Agency)では、彼らの独自資格とCISSPを組み合わせた新しい資格を作りたいということで問い合わせがあり、実際に共同開発を進めています。これと同じように、特定の技術分野やベンダーの資格とCISSPを組み合わせることで、「セキュリティのプロフェッショナルであり、さらに特定の分野に精通した専門家」という認定を得ることができると思います。ですから、CISSPの普遍性を損なわず、日本独自のCISSPを作るということも可能だと思います。
--(ISC)2 Institute Japanだけではなく、ほかの団体やベンダーの方と協力し合うのですね。
衣川氏: 
そうです。団体だけではなく、教育機関や官庁との協力体制も視野に入れています。これは資格試験のレベルを向上させるだけでなく、先ほどからお話ししている「人材育成」に対する取り組みでもあります。
情報セキュリティ大学院大学などの教育機関も設立され、セキュリティ人材育成へも本腰が入ってきました。できれば、職業訓練校のように目的が明確な教育機関でもCISSPを採用していただきたいと思っています。
さらにいえば、官庁からの後押しがあると、資格そのものだけでなく、「セキュリティ対策において、意思決定権を持ち、的確に判断できる人材」に対する認識が深まるでしょう。こうしたセキュリティ専門家に対する定義も必要です。実際に現在いろいろな論議があるようですが、ぜひわれわれもその論議に加えていただき、10年以上セキュリティのプロフェッショナルを輩出してきた知識・経験をいかして「セキュリティ専門家」の定義作りを行っていきたいですね。この辺りの取り組みは実際に動き出しているので、詳しいことは次回お話ししたいと思います。(第12回へ続く)
※ISMS
Information Security Management Systemの略。
日本情報処理開発協会(JIPDEC)が管理する認定制度で、企業や組織が自身の情報セキュリティを確保・維持するために、ルール(セキュリティポリシー)に基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する体制を確立するための枠組。事業部を単位として認定が行われる。情報資産の機密性、完全性、可用性の確保を主要コンセプトとしている。BS7799 Part2がベース。
※プライバシーマーク
JIPDECが管理する、事業所の個人情報取り扱い体制に関する認定制度。個人情報の収集・管理などについてJIPDECの定める基準を満たして適正に管理していると認定されれば、マークの使用許諾を得ることができる。審査基準は基本的にJIS Q15001(個人情報保護に関するコンプイアンス・プログラムの要求事項)に準拠しており、有効期間は2年間。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
