情報安全確保支援士の登録が無事に完了して、実際の業務に活用されている方々も多いと思います。
逆に、登録だけ済ませて、いつもと何も変わらないと感じている方々も多いと思います。
実際に、情報安全確保支援士の登録をしても、いきなり業務が全く変わるなどということはないのです。
でも、意識してみると意外と、情報安全確保支援士として活躍できる場面が多い事に気が付きます。
特に最近では、情報セキュリティを高める必要性が、より一層重要になってきているので、IPAも色々な方面で、セキュリティ強化を推進する活動を進めています。
情報安全確保支援士に登録して、一年近く経ったので、自分なりに、今後において活躍出来そうな場面を考えてみました。
自分は、情シスに所属するシステム部員ですが、運用、自社の社内システムの開発を、日々の業者の半分位の割合で担当しています。
運用面からの活躍
まず、運用面ですが、やはり社内システムのセキュリティ強化を高める活動にも重点を置いています。
まずは、基本的な運用として、ファイルサーバーなど、全社的にアクセスするファイルを、各部門ごとに適切なアクセス権を付与して整理しています。
情シスなら当然と思われるかもしれませんが、意外と管理が雑な場合もあるのです。
そもそも、アクセス管理をしていないというのは問題外ですが、担当部署を移動したのに、旧部署のアクセス権が残っているなど…
アクセス権限が整理されていない場合が結構多いのです。
また、情シスではよくあると思うのですが、各システムのルート権限などのアカウント情報をまとめたファイルなども、ファイルサーバーに保存して管理するのは危険です。
管理者向けのパスワード管理ツールもたくさんあるので、導入を検討してみるのも良いと思います。
開発面からの活躍
開発者の視点からでは、社内システムのアクセス制御を優先して実装するということです。
セキュリティが脆弱だった場合のリスクをしっかりと説明し、開発の最初から予算に組み込んでおくことが絶対に必須です。
顧客情報を扱っていなくとも、社員情報も、個人情報となります。
社員に安心してシステムを利用してもらうために、セキュリティ制御を確実に実装し、必要な情報を、必要がある方だけが利用できるようにするべきなのです。
パッケージ導入しているシステムもあると思いますが、このあたりの機能が有るのかも見定める必要があります。
パッケージを導入して、セキュリティ面がボロボロということも結構あるのです。
権限管理ができないので、全員のデータが参照、更新しほうだいという結果になりかねません。
そうならない為にも、パッケージ導入には慎重に検討する必要があるのです。
企画の面からの活躍
また、パッケージ導入をする際には、IT導入補助金の申請をすることもあるかと思います。
特に、中小企業では、申請対象になることが多いので、経営層から、申請するよう指示がでることもあるかと思います。
最近では、IT補助金申請では、『SECURITY ACTION』 のように、セキュリティ強化を宣言することが必須となってきています。
そのような活動計画を立案するにあたって、情報安心確保支援士の立場から、提案できることはたくさんあります。
情報安心確保支援士の活躍の場面としては、まだまだ、たくさんありますが、普段の業務でも意外と多いのです。
ぜひ、情報安全確保支援士の活躍の場を、皆さんで広げていきましょう!
