二つ目は「セキュリティ体制の構築」。

社内CSRITを立ち上げた時の体制図例や、組織のセキュリティ計画の立て方などをひととおり学習しました。

ちなみに、1-2章で、登録セキスペは、経営層と現場をつなぐ「経営層の右腕」としての活躍が期待されるとの記載があります。セキュリティの体制構築について提言・または推進していくことが求められることもある…そうです。重要な任務ですね！

さてさて、内容について。

予算と人材の確保については、経営層に「対応優先度」と「費用」を繰り返し報告するプロセスが重要との記載があります。セキュリティ対策の費用対効果は見えにくいため、経営者からサイバーセキュリティ対策の予算確保への理解は得られにくい、と書かれてしまっています！（しかし、同じことを今夏の授業でも聞いたような気がします。）

自組織を中心に連携すべき領域以外は専門ベンダの活用を検討するのも良いとの記載がありました。これを活用すれば、自組織の人材は「専門ベンダとコミュニケーションできるレベルのセキュリティの基礎知識」「自社にとって最適なサイバーセキュリティ対策を選択する能力」を有すればよいので、教育範囲が絞れます。

下記に業務のインソース・アウトソースに関するモデルが公表されています。

https://cyber-risk.or.jp/contents/xs_20160914_C_Report_JinzaiTeigiReference_1.0.pdf

産業横断サイバーセキュリティ人材育成検討委員会　産業横断セキュリティオペレーションアウトソーシングガイド

さて、じつは私は実務でアウトソースにセキュリティ対策を委託している場面に出くわしたことがないのですが、世の中にはどんな専門ベンダがいるのでしょうか？

セキュリティ機器のレンタルや監視要員の派遣などではなく、リスク評価・分析やサイバー攻撃上表提供・脆弱性診断など、より専門性の高いものを想定して検索するとインターネット検索でのヒット数は少ない印象です。「セキュリティ　アウトソーシング」で検索したところ、大手ベンダだと下記がヒットしました。

サイバーセキュリティ - アウトソーシング【日本ユニシス】

実際の現場では懇意のベンダーへの相談から話が始まるのでネットで広告を見つけて相談するケースは稀なんだと思います。

他方、セキュリティ人材をアウトソースで賄うことについては、近年のIT記事がいくつか載っています。

中小企業こそセキュリティをアウトソースすべき？ 任せるときに知っておきたいこと - ITmedia エンタープライズ

セキュリティ人材不足の特効薬は、"アウトソース"にあり | マイナビニュース

企業のセキュリティ対策は“アウトソース”がカギ | Bizコンパス -ITによるビジネス課題解決事例満載！

これだけテレワークも進みセキュリティ対策が騒がれている昨今、セキュリティ対策専門に特化した会社も探せばたくさんありそうです。時間があるときに調べてみます。

にほんブログ村