第11回：組織的なセキュリティ対策の実現には「人材」が必要

個人情報保護法の施行を前に、企業・組織はISMSやプライバシーマークの取得に勤しんでいる。こうした組織的な取り組みを継続的に運営していくには、専門知識を持つ管理者の存在が必要だ。そこでCISSPが果たす役割は何か。(ISC)² Institute Japanの衣川俊章社長に、企業・組織のセキュリティ対策とCISSPとの関係について語ってもらった。

衣川俊章 氏 (ISC)2 InstituteJapan社長 2004年5月より（ISC)2 InstituteJapan社長。米国バブソン大学大学院MBA取得経て、米国ソフトベンチャーオペレーションディレクター、戦略コンサル会社コグテック社協同経営者、米国コンテンツ配信関連ベンチャーでのアジア太平洋地区営業責任社、NTTコミュニケーションズでのセキュリティーサービスの新規市場開拓担当者を歴任。成城大学文学部英文化卒。

日本の企業文化でCISSPが活躍できる場はあるか
CISSPの独自性は日本企業の中で薄れる？

--前回は、日本企業におけるセキュリティ専門家の待遇についてお話いただいたところで終わりました。いまの日本企業では、とりあえず個人情報保護法のためのプライバシーマークやISMSといった認定を取得し、「企業・組織としてきちんとセキュリティ対策に取り組んでいる」といったアピールを行う企業が多いと思います。しかし、企業として定めたセキュリティへの姿勢を実務レベルに落とし込んでいく過程で悩んでいる経営者も多いようです。こうした問題をどうご覧になりますか。

衣川氏：　そこは最大の問題ですね。CISSPは個人にフォーカスした資格であり、企業全体の姿勢を評価するものではありません。CISSPをどのように普及させていくかは大きな課題だと考えています。
　あるユーザー企業の方が次のようにおっしゃっていました。「セキュリティ対策が大切と考え、いろいろなベンダーやコンサルタントの方と会うのだが、どの担当者の言うことも最終的にはみんな似通っている。その中から自社に最適なセキュリティ対策の方法やツールをどう選んでいくかを相談できるような、さらに上位のコンサルタントがほしい」と。
　これは象徴的な発言だと思います。つまり、ユーザー企業では、セキュリティのプロであるベンダーやコンサルタントに接しようという意欲が高いということです。ベンダーやコンサルタントのいうことを鵜呑みにせず、自社に最適なセキュリティ対策は何なのか、どんな技術やツールを選べばよいのかで悩んでいる。
　ただ、これはやはり第三者が決めるべきものではありません。自組織の体制や風土、抱えているリスクに合ったセキュリティ対策は社内で考えていくべきものです。そのために必要な知識体系として、われわれは10の普遍的な知識「CBK」（Common Body of Knowledge）によるセキュリティプロフェッショナルの認定試験を行っています。

--これまでもCIOやCISOなどの必要性が叫ばれてきましたが、日本企業の中にそのような役職や肩書きを持つ方は大変少ないという現実もありますね。

衣川氏：　そうですね。ですからCISSPも、CIOやCISOという“役職”に限定しているわけではなく、職責としてのCIOやCISOということを念頭に置いています。日本の企業で当てはまる役職でいえば課長や部長ということになるのでしょうが、企業内においてセキュリティ施策に関する意思決定を行ってプロジェクトを推進し、体制を整え、セキュリティ対策を展開できる人物が対象です。