セキュリティ担当は簡単じゃない

遅れながら、2019年あけましておめでとうございます。
昨年12月に念願であった「ばりかた文系専門セキュリティ勉強会」を福岡市にてスタートしました。

記念すべき第1回勉強会は、1/20に開催します。
現在30名程度の参加申込を受け付けており、準備に勤しんでる年明けとなっています。

さてここで私がユーザー企業のセキュリティ担当を対象にしたコミュニティを立ち上げた経緯と今年のテーマについてお話しいたします。

セキュリティ担当とその上司

セキュリティに限ったことではありませんが、

「(そこそこの規模)ユーザー企業のセキュリティ担当のお仕事は簡単じゃない」

「そこそこの規模」というのは、生活していて誰もが一度は名前を聞いたことがある大企業と言われている企業のことです。

セキュリティ業界に足を突っ込んで23年、これまでに数多くのユーザー企業のセキュリティ担当と話してきました。

しかし、ここ最近良い話よりはあまりよくない話が多くなったように感じます。
諦めて転職する方も増えてきました。

その要因はいくつか考えられますが、もっとも影響を与えている直属の上司との関係性が大きいのではないかと考えます。

日本企業に多いのが、直属の上司だけでなく役員クラスまで何層も上司がいるケースです。
こういった場合の大体がそのユーザー企業に在籍しているIT関係出身者(法務や経理の場合もある)で、セキュリティについてあまり詳しくない。
下記のような上司にあたった場合は、セキュリティ担当のミッションを遂行する前にいくつもの高い壁にブチ当たることは目に見えてます。
この場合は、「転職」するのが関の山ですね。

・やる気もなく、勉強もしようとしない上司
・知ったかぶりで聞きかじった持論を振り回して意見を聞かない上司
・インシデントなどで自分の責任になるのを過剰に恐れて部下のせいにしようとする上司
・現状維持で新しい事はするなという保守的な上司 など

テーマは2つの立場を交差させること

ただし、一方的にタチの悪い上司のせいにしても何もはじまらないし誰も幸せにならなりませんね。

ここで立ち止まって私なりに考えてみました。

ばりかた文系専門セキュリティ勉強会の目的は、実務派のセキュリティ担当の勉強をすること。
セキュリティ担当がミッションを全うすることを目指している。
これを目的にした場合は、「タチの悪い上司」ではなく、視点を変えて「これまでにセキュリティに携わった経験がないのに突然上司になった人」も本勉強会の対象にしなければならない。
つまりは、「セキュリティ担当とその上司」の2つの立場を交差させながら、ユーザー企業のセキュリティの未来をテーマにします。

しかし、道は長し!激闘の2019年を迎えます!

参加者の皆様、また講師になっていただく可能性のある方々、今後ともよろしくお願いいたします。

おまけ「毒舌笑えないショートコント」

上司「競合会社がCSIRT構築しはじめたな」
担当「はい、そうですね。サイバー攻撃も複雑化しているので他社の取り組みも参考にして強化していく必要ありますね」
上司「よし、うちもCSIRTの加入をゴールに頑張ろう!」
担当「?」
上司「大事な事なので二度言っておくが、CSIRTの加入をゴールに頑張ろう!」
担当「・・・」