ITエンジニアを目指す学生と話す機会がたまにあります。
話を聞くと「情報セキュリティの仕事がしたい」という学生が多いことにビックリします。
外からみると情報セキュリティの仕事をする人というのは、冷静・沈着なイメージがありそうです。そして、企業の機密情報や、個人情報を守るという正義感を達成するので、やりがいを感じやすい職種なのかもしれません。
社会的にもDX化が推進し、組織の情報流通がスピード化されることで、ランサムウェアに象徴される情報搾取が問題視されてます。情報化は不可逆的な進化をするのと歩調を合わせるように、情報セキュリティも重要な役割となっているのは確かです。
しかし、会社組織に入ると、情報セキュリティの仕事は疎まれてます。一般社員からみれば、情報セキュリティの担当者は、自分の仕事をしにくくするような対策を企てるやっかい者と思われます。
多くの会社では、情報セキュリティ対策として、多要素認証をしています。システムにログインする認証方式は3つあります。記憶 と 所持 と 属性 です。この3つを「認証の3要素」と呼びます。
| 要 素 | 認証方式の例 |
|---|---|
| 記 憶 | パスワード認証/暗証番号(PINコード)等 |
| 所 持 | 端末認証/ICカード認証 等 |
| 属 性 | 生体認証(指紋認証/顔認証 等) |
多要素認証といって、ここに挙げた3要素のうち、2つ以上を使って認証するシステムを指します。
多要素認証が情報セキュリティ対策として有効とは思いつつ、一般社員からみれば、これを喜んでしたい人はいません。社員は仕事に必要なExcelに早くアクセスしたいし、いま手元にある伝票を早くシステムに登録したいと考えてます。
多くの社員にとって、会社が行う情報セキュリティ対策は、自らの仕事の生産性を下げる要素だと感じてます。会社はISMS(情報セキュリティマネジメントシステム)の一貫で、情報セキュリティは重要だと、研修で教えますが、情報セキュリティに従事する人は「縁の下の力持ち」以上にはなりません。
経営者や組織の管理職は、情報セキュリティ対策が、経営や業務に於いて重要であることを当然認識してます。しかし、対策が出来ていることで、情報セキュリティ担当者の評価はされません。
今日も顧客情報が漏えいしなくて、よかったよ。君たちが会社の情報セキュリティを日ごろからしっかりと守っていてくれているからだよ。
こんなことを考える経営者は世の中にまずいません。顧客情報は漏えいしないことが当たり前だからです。当たり前のことを当たり前にやることが、評価される風土があればいいのですが、そんな組織は希少です。
一方、情報漏えいが疑われたら、インシデントが発報されます。これは 1年365日 予告なく、突然起きます。会社はCSIRT(シーサート)と呼ばれる、インシデント対応のプロジェクトチームを立ち上げます。そして、下記のようなインシデント対応フローに沿って行動します。
ワークライフバランスが重視された働き方が推奨される世の中です。でも、インシデントが起きたら、CSIRTメンバーにとっては、朝も夜も土日祝日も関係なく働きます。
情報セキュリティの仕事というのは、上司からは、出来て当然の仕事と思われ、一般社員からは、疎ましい存在とされながら、いざ問題がおきたら、誰よりも働かなければならない仕事です。
この仕事はどうしたら、報われるのでしょうか?
春をながめる
余裕もなく
夏をのりきる
力もなく
秋の枯葉に
身をつつみ
冬に骨身を
さらけ出す
今日ですべてが終わるさ
今日ですべてが変わる
今日ですべてがむくわれる
今日ですべてが始まるさ
~「春夏秋冬(泉谷しげる)1972年」
同じ、情報セキュリティの仕事をするのであれば、情報セキュリティに対する理解が深い会社で働きたいと思うのが普通だと思います。
外から見ているだけだと、それを判別するのはなかなか難しいのですが、評価材料になるひとつは、会社のホームページのSSL証明書を確認することです。
SSL証明書の確認は簡単にできます。わたしのブログを例にすると、下図(GoogleChrome)のように表示URLの左側をクリックすることで出てきたメニューから、順にたどることで、証明書を確認できます。
わたしのブログでは、一般名(CN)には、www.three-wise-monkeys.com と書かれ、組織(O)には、<証明書に含まれていません> と記されてます。これは、「DV証明書」というもっとも安価なドメインを取得していることを意味します。ドメインの証明書は、DV証明書、OV証明書、EV証明書 とグレードアップしていき、上位にあるほど、維持費が高くなります。
「DV証明書」が使われているということは、暗号化通信のみが保証されていると考えるべきです。組織の実在性については保障されてません。
試しに大手新聞社4社の証明書を見ると、産経新聞を除き、組織(O)に名前が入ってることが分かります。これは、「DV証明書」より高額な「OV証明書」を取得していることになります。
会社ホームページのSSL証明書のグレードだけで、会社の情報セキュリティ対策のレベルをはかるのは、無謀かもしれません。でも、一応の判断材料にはなると思います。
