スーツ姿の人が南京錠を持っている。

企業において、情報セキュリティ担当者が担う役割は非常に大きなものです。とは言え、情報セキュリティ担当者が具体的にどのような仕事をするのか、想像がつかないという人も少なくないのではないでしょうか。そこで今回は、情報セキュリティ担当者という職業について、概要や仕事内容、従事する上で必須となるスキルなどについて解説します。

セキュリティ関連の求人

1.情報セキュリティ担当者の役割

まずは、企業の情報セキュリティを担当するということは、どういうことなのかを見ていきましょう。

そもそも情報セキュリティは、情報の安全を守ることです。より具体的には、企業が持っている機密情報や個人情報といった、「他人に知られることで不利益が発生する情報」や「悪用されると危険な情報」について、その情報を知る権限の無い人から守ることを指します。また、こうした情報を取り扱う情報システムを守ることも情報セキュリティに含まれると言えるでしょう。

情報セキュリティを構成するのは機密性・完全性・可用性の3つの要素です。機密性は権利を持った人だけが情報や情報システムにアクセスできること、完全性は元の情報が破壊・改ざん・消去されず、そのままの状態で保たれていること、可用性は、その情報へのアクセスを許可された者がいつ何時でも情報を利用できることです。

上記3つの要素を維持することこそが、情報セキュリティ担当者の使命。次項で説明する情報セキュリティ担当者の業務は、情報セキュリティの3つの要素を保つことを目的に行われます。3要素のどれか1つが欠けてしまえば、その瞬間に情報セキュリティは保てなくなってしまいますから、情報セキュリティ担当者は三要素の維持に全力を傾けなければなりません。

2.情報セキュリティ担当者の主な仕事内容

上記で説明した役割を果たすために、情報セキュリティ担当者は具体的にどのような仕事を行うのでしょうか。以下では、情報セキュリティ担当者の仕事内容について、代表的なものをいくつかピックアップして紹介します。

2-1. 情報セキュリティポリシーの策定

情報セキュリティ担当者の仕事内容の中でも特に重要なのが、情報セキュリティポリシーの策定です。情報セキュリティポリシーとは、企業が情報セキュリティ対策を実施・推進していく上で、どのような方向性で進めていくかを定める方針や行動指針のことです。情報セキュリティに対してどのようなスタンスであるかを宣言する「基本方針」、どのような対策を施すかを定める「対策基準」、そして対策基準を具体的にどのような手段で実現するかを策定する「実施手順」の3つから成ります。この情報セキュリティポリシーを定めることで、社員にどのような方針で情報セキュリティ対策を進めていくかを周知することが可能です。

2-2. 企業の情報資産確認

企業の情報資産を確認することも、情報セキュリティ担当者の仕事のひとつです。ここで言う「情報資産」とは、企業が保有している情報全般を指します。各社員のパソコン上に保存されている個人情報や機密情報、データベースやバックエンドシステムなどのソフトウェア資産がまず思い浮かぶことでしょう。しかしそれだけではなく、パソコンやサーバーそのものに加えて、LAN機器やテレビ会議システム、業務連絡用の携帯電話などハードウェア資産も情報資産に含まれるのです。

情報セキュリティ担当者はこれらの情報資産について、社内の各部門の協力を受けながら何が存在するのかを把握する必要があります。社内に存在する全ての情報資産をリストアップすることで可視化、及び一元的に管理するために作られるのが「情報資産管理台帳」です。情報資産管理台帳に記録された情報資産の内容は、どのようなリスクがあるのか、どのような対策を取ればよいのかを検討する上で大いに役に立ちます。

2-3. リスク対策

情報セキュリティ担当者は、情報資産を把握する中で浮き彫りになったリスクについて、適切な対策を取っていかなければなりません。情報セキュリティにおけるリスクは主に3種類に分けられます。以下ではそれぞれのセキュリティリスクとその対策について見ていきましょう。

1つ目は技術的脅威です。コンピュータウイルスやトロイの木馬といったマルウェア感染、標的に偽のサイトにアクセスさせて情報を窃取するフィッシング詐欺などといった、悪意のある人物や組織が情報技術を活かした攻撃手段で情報資産を盗んだり破壊したりする種類の脅威を指します。ソフトウェアの更新やアンチウイルスソフトの導入、ファイアウォールによるネットワークの防御など、技術的な防御手段を整えて攻撃に備えることが対抗手段となるでしょう。

2つ目は人的脅威です。メールの誤送信やSNSの炎上、社員による不正な情報持ち出しなど、故意の有無を問わず人的要因による情報流出やネガティブ情報の流布といった被害を受けるリスクは人的脅威に分類されます。情報セキュリティポリシーの策定と運用、SNSの利用等に関する注意喚起、情報の取扱いに関するルール整備や教育による周知によって、社員全体に情報セキュリティに関するリテラシーを意識させることが人的脅威への対策として有効です。

そして3つ目は物理的脅威です。社内で管理しているパソコン等の情報機器が盗まれたり、天災などによってパソコンやサーバー等が破損したりするなど、ハードウェアそのものに発生しうる様々なリスクを指します。施錠などで適切な権限を持った人員以外入れない場所にサーバーを設置する、停電などに備えてUPSを設置する、バックアップや予備機などを用意するなど、ハードウェアに対する物理的な損害を予防、あるいは物理的な損害が発生した際の影響を最小限に留める施策を取ることが対策となるでしょう。

2-4.社員教育

情報セキュリティ担当者がセキュリティソフトなどで技術的な対策を行い、バックアップの定期的な取得によって万が一の事態に備えていたとしても、社員の情報セキュリティリテラシーが低ければ意味がありません。企業で業務に従事する社員全員が、情報セキュリティに対する意識を高く持つことが重要となるのです。情報セキュリティのリテラシーを高める上では、社員に対する情報セキュリティの教育を行う必要があるでしょう。とは言っても、情報セキュリティ担当者が扱う専門知識を教える必要はありません。

例えば、SNSを使用する際の注意点や、パスワードの正しい管理方法、社内における情報資産の取り扱い方に関するルールのおさらいといった事柄について、社内セミナーや勉強会を開催して周知していくといった方法が考えられます。もちろん、新人研修でも情報セキュリティに関する講義を行い、実際に現場で仕事を開始する前に情報セキュリティの意識を持ってもらう必要があるでしょう。社員への教育もまた、情報セキュリティ担当者の重要な仕事なのです。

3.情報セキュリティ担当者の年収

情報セキュリティ担当者の年収に関する公式なデータは存在しないため、民間企業などによる独自調査などから実態を把握するしかありません。様々な民間のサイトの調査を確認する限りでは、情報セキュリティ担当者全体の平均年収として459万円~651万円といったデータが出ています。ただし、企業によって差が激しい上に、経験やスキル、資格によっても年収は大きく変動するため注意が必要です。大手企業に務める情報セキュリティ担当者の中には、年収1000万円を超える収入を手にしているケースも存在します。

4. 情報セキュリティ担当者の将来性

情報セキュリティ担当者に限った話ではありませんが、情報技術のさらなる進歩により高度なITスキルを有する人材の需要がますます高まる一方で、その需要を満たすだけのITスキルを持った人材はIT業界の歴史の浅さから不足傾向にあります。特に情報セキュリティ分野はIT業界全体で見てもさらに歴史の浅い部類に入るため、経験者が少なく、将来的にもこの人材不足傾向は続くと見られます。今後の課題としては、如何に人材を育てていくのか、他分野の人材にセキュリティに関するスキルをどのようにして身につけてもらうのかといったことになるでしょう。海外では、情報セキュリティだけを専門にする人材ではなく、ネットワーク管理者やヘルプデスクなど、様々な分野のスペシャリストが情報セキュリティに関する知見も有した状態で分野を横断したチームを組み、組織全体の情報セキュリティ対策を推進しています。海外にならい、情報セキュリティのスペシャリストに頼り切りになる構造を脱却し、他分野のIT人材が情報セキュリティスキルも身につけていくこともまた、人材不足を解消する上で有効な手段となることでしょう。

5.情報セキュリティ担当者におすすめの資格

情報セキュリティ担当者を目指す上では、資格を取得してスキルを磨いておくことが重要です。そこで、以下では情報セキュリティ担当者にとっておすすめの資格について解説します。

  • 情報セキュリティマネジメント試験(SG)

IPAが主催する情報セキュリティマネジメント試験は、IT系の国家資格の一つであり、情報処理技術者試験の一区分です。組織における情報セキュリティ確保を遂行するだけの知識を有し、様々な脅威から組織を守るための基本的なスキルが身に付いているかどうかが試されます。情報セキュリティに携わるものとして最低限必要となる知識が問われるため、まずは情報セキュリティマネジメント試験に合格することを目指しましょう。

  • 情報処理安全確保支援士試験(SC)

情報処理安全確保支援士試験は、情報セキュリティマネジメント試験と同じく、IPAが主催する情報処理技術者試験の一区分です。IT系の国家資格であることも情報セキュリティマネジメント試験と共通していますが、こちらはより高度な知識とスキルが身に付いているかどうかを確かめる試験となります。情報セキュリティに関する国家資格としては歴史が浅く、2017年4月に情報セキュリティスペシャリストから移行する形で新設されました。この資格に合格することで、情報セキュリティに関する知識・スキルを有すると認められ、「情報処理安全確保支援士(登録セキスペ)」の肩書を名乗ることを許されます。

情報セキュリティ担当者は企業の資産情報を守る要

情報セキュリティ担当者は、企業の情報資産を様々な脅威の魔の手から守る番人としての役割を持っています。慢性的な人材不足ではありますが、その分多くの企業が喉から手が出るほど欲しい人材と言えるでしょう。情報セキュリティ担当者としてキャリアを積んでいきたい、あるいは情報セキュリティ担当者の働き口を探したい、という場合は、外資系転職のマイケル・ペイジをご利用ください。
 

セキュリティ関連の求人

メールマガジン登録

転職やキャリアアップで一歩先に行くための情報を受け取ることができます

アプリをダウンロード

App Storeからダウンロード Google Playで手に入れよう