セキュリティ担当者のための情報セキュリティ対策　実践ガイド

2025, Aug 31    

「経営層にセキュリティを理解させる技術」を書かれた伊藤和也さんの書籍の紹介第3弾。 セキュリティはツールの導入のような技術的対策だけではなく、全従業員の「意識づけ」が必要になります。セキュリティ対策を考えるのは私たちの役目かもしれませんが、それが守られないと意味ないですから。しかしあまりにガチガチのルールを作ると守ってもらえません、セキュリティ疲れも起こしてしまいます。日常生活や業務の中で空気を吸うかのように自然にセキュリティ対策ができるよう、セキュリティ担当者（セキュリティエンジニア）は現実的なセキュリティポリシーを策定してリードする必要があります。

この本で書かれている内容はCIAトライアドやCIAトライアドを実現するための施策など、セキュリティの界隈では「お約束」であり、セキュリティの専門家であれば「知っているよ」という内容も多いかと。しかし”知っている”と”できる”は雲泥の差。

• 組織内でリーダーシップを発揮して他の事業部や全社員を巻き込んでルールを浸透させられるか?
• 経営層にツールの導入を承認してもらえるのか?
• 責任感と倫理観を持ってセキュリティ対策に心折れずに取り組めるのか?

セキュリティ担当の肩書が張りぼてでないかが問われます。自分も書いていながらあの対策（自主規制）・この対策（自主規制）が出来ていないことを思い出しました。多くの会社が他社のセキュリティ被害のニュースを見て”自分の会社は運よく現状攻撃されていないだけだ”と思っているのではないでしょうか。

この本では”内部犯行”についても章が割かれています。これは僕がセキュリティ対策について取引先に説明していた時です「しかしそれ、社員のAさんとBさんがグルになって不正を行ったら気が付きませんよね」実際そうなのです。セキュリティ対策が100%に達しないのも、内部不正を完全に断ち切ることができないこと。いくら操作ログを常に取得していたとしても、気が付くのは事故が起きた後、ですからね。悪意の前には無力です。 特に、ツールを導入、操作する立場にある人が内部不正を行った場合、アクセス制限は解除されてしまいますし、監視も無効化されてしまいます。登録セキスぺのオンライン研修で倫理を問われるのはそれだと思います。この本でも”サイバーセキュリティと倫理”という章で「技術力という”力”をどう使うかを考えなければならない」と書いています。 近年話題を聞かない日はないAIは、私たちのセキュリティに対する常識を根本的に変えうるゲームチェンジャーです。攻撃側も防御側もこれを利用します。つまり技術は人間の意志に従います。どれだけ技術が進化しても、セキュリティの真の鍵、真の弱点は人間です。

伊藤和也さんの他の書籍と内容が重複する部分もありますが、最後の「セキュリティエンジニアのキャリア戦略」はこれまでの書籍では書かれていなかった内容です。スペシャリストになるか、ジェネラリストになるか。自分の強み・モチベーションを踏まえてキャリアを積むことを意識しました。 このブログ記述によるアウトプット（とそれに必要なインプット）もキャリア蓄積の役に立つかもです。