仕事のプロフェッショナリズムと常に目立たないようにするため、警備員はしばしば人々に誤解されています。安全作業のミスが少なければ少ないほど、人々の想像力は多様化するため、今日は「材料」の安全作業について報告するだけでなく、これを安全作業員の「正しい名前」とし、人々に理解してもらい、理解されたからこそ自分の仕事を支持してもらいたいと願っています。
警備員に関する10の誤解と訂正をご紹介します:
迷信1:セキュリティ専門家の昇進の余地は限られている
事実:以前は、一部の組織にとって情報セキュリティはハイテクを駆使した取り組みであり、専門分野であり、多くの場合、大規模なIT組織の一部であると考えられていました。しかし、ビジネスと情報技術がより密接に結びついた現在、組織は、情報セキュリティが重要なビジネスプロセスにおいて果たす重要な役割を理解し始めています。
セキュリティの専門家は、組織のトップマネジメントとの交流が増え、組織を成功に導く重要な役割を担うようになっています。経営トップ層におけるセキュリティの席が増えたことで、セキュリティの専門家は昇進の機会を活用し、さらに上を目指すことができるようになると思います。
神話2:安全に携わる人は皆、安全の専門家
事実:セキュリティは高度に専門化・区分化された分野であり、IDSの担当者はウェブ・アプリケーションのセキュリティ・ホールを見つける方法を知りませんし、ソフトウェア・セキュリティの担当者はデジタル・フォレンジックの方法を知りません。
神話その3:セキュリティの専門家は偏執的で、何でも疑ってかかり、公開鍵交換に関することをしっかり把握しています。
事実:最近のNSAの監視スキャンダルは、10年以上前にSF的な観点からなされた理論的な攻撃予測が現実のものとなったことを証明しました。とはいえ、統計や経済学的な解釈では、最も洗練された攻撃者であっても、ほとんどの人々のモバイル機器や家庭用コンピュータのセキュリティ障壁を突破するのは困難であると言われています。
神話その4:セキュリティ専門家は、コンプライアンス=セキュリティと考えています。
事実:現実には、現在のコンプライアンス試験はまだ検証基準に過ぎません。セキュリティに対するみんなの姿勢が、従業員から不満が出ない程度であれば、そのようなレベルでは明らかに十分ではなく、高いレベルの安心感を得ることはできません。このような誤解を生む原因の一つは、CSOがセキュリティ・プロジェクトの予算を確保するために、コンプライアンスを主な手段として使用することが多いことです。しかし、セキュリティ管理者について誤解しないでください。セキュリティ管理者は、単に仕事を遂行する機会が必要なだけであり、その結果、規制要件を越えて組織の真のセキュリティニーズを満たすことがよくあります。
神話その5:セキュリティとインフラ/オペレーションは決して両立しない
事実:可用性は、いわゆるCIA(機密性、完全性、可用性)において、インフラ/オペレーションの基本的な前提条件であり、実現要因であると見なされることが多いですが、互いの役割を真に理解するためには、これら3つの柱の役割を認識し、厳格に実施する必要があります。しかし、各部門が互いの役割を真に理解するためには、3つの柱すべてが認識され、厳格に実施されなければなりません。
神話6:情報セキュリティは高度に技術的な分野
事実:一般に、この種の要約は、あまりに広範に指示しすぎると、偏りが生じたり、記載漏れが生じたりします。もちろん、情報セキュリティ分野には、高度な技術的専門知識を必要とする特定の役割が存在します。
しかし、情報セキュリティサービスの役割がリスク管理に移行するにつれて、事業部門のニーズを理解し、事業部門の言葉を話し、専門家以外の人々とうまくコミュニケーションを取ることができる実務家がより必要とされています。技術的な詳細がすべてではありません。リスクを説明し、さまざまなセキュリティ・プログラムの導入プロセスや技術的リスクについて、管理者だけでなく一般スタッフを教育することも重要です。
神話その7:ハッキングは映画やテレビ番組で描かれるようなもの
事実:映画やテレビ作品ではすべてが誇張されていることを認識すべきですが、それがどの程度誇張されているかは理解できないかもしれません。まず第一に、ハッキングに成功しても、ターゲット・デバイスのインジケータ・ランプが激しく点滅することはないということ、第二に、誰かのパスワードの内容を一文字ずつ解読することは不可能だということです。
いったん侵入に成功したら、データベース構造を3Dで画面に表示したり、ゲームのようにモジュールからモジュールへジャンプしたりすることは絶対にできません。また、文字化けした文字が突然目の前で直接読める文字に変わることもありません。本物のセキュリティ・ツールも時折登場しますが、観客の注目を集めるほど派手なものではないので、登場するのはほんの1〜2秒程度です。
神話その8:安全の専門家は実用性よりも安全性を重視
事実:「セキュリティ」という肩書きにもかかわらず、ほとんどのCSOは、トレードオフや譲歩があって初めてビジネスが成功することを理解しています。従業員に窮地を強いることは不可能であり、新しい状況や前例のない状況を実際の脅威として扱うことは不可能であり、IT部門が管理できないという理由だけでプログラムの展開を妨げることはできません。
このような誤解は、長年CSOが多くの人々の心の中で邪魔者、あるいは乗り越えられない溝という役割を担ってきたことが大きな原因です。しかし、ここ数年でこの状況は劇的に変化しました。CSO がすべての新しいメカニズムにゴーサインを出すことは依然として不可能ですが、IT のコンシューマライゼーションやクラウド・コンピューティングなどの新たなトレンドが到来したことで、セキュリティ組織がセキュリティへの取り組みとビジネスとの関連性を維持するためのダイナミズムが変化しています。
神話9:安全は決して忙しくないし、迷惑でもない
事実:8時間の間に従業員に100%の興奮をもたらす仕事はありません。ほとんどのセキュリティの仕事は、セキュリティ製品の操作、例外ログの内容の集計と分析、ルーチンタスクを実行するための自動化ツールの作成、そして最悪なのは、特定の監査を通して完了しなければならないタスクやプロジェクトです。
神話10:セキュリティの要諦は攻撃活動から守ること
事実:ほとんどの組織にとって、情報セキュリティチームの使命は、IT資産の機密性、完全性、可用性を確保するために、組織全体のリスク管理を支援することです。
もちろん、情報セキュリティチームには、予防型のセキュリティ対策を専門とするリソースが存在します。しかし、現在の脅威環境を踏まえると、組織は検出の側面に注意を向け、予防的な対策を回避することに成功した攻撃活動を迅速に検出して封じ込めることを目指す必要があります。脅威環境は極めてダイナミックであり、常に進化しているため、組織は予防だけに運命を委ねてはなりません。
