企業や組織の規模、もしくは業界や業種によってはセキュリティ人材が不足したまま事業を続けていることがあります。
いわゆる「ひとり情シス」と呼ばれる状態であり、セキュリティインシデントが発生した時、もしくは既に発生している可能性も高く、安全な状態とは言えません。
今回はひとり情シスに関する基礎知識、ひとり情シスに潜む危険性およびリスク、そしてセキュリティ体制を拡充する際のポイントについてお話します。

ひとり情シスに関する基礎知識

はじめにひとり情シスに関する基礎知識について簡単に説明します。

ひとり情シスとは何か

ひとり情シスとは社内や組織内において情報セキュリティにおける人材がひとり、もしくは数名の状態を意味する言葉です。企業や組織の規模によるものの、セキュリティ人材が足りている状態とは言えず、とても危険な状態と言えます。
また、ひとり情シスの場合、セキュリティに関する権限が不足、またはシステム的な部分においても適切なコストを割り当てられておらず、物理的にもシステム的にもセキュリティ性が確保されていないケースも考えられます。

なぜ、ひとり情シスが存在してしまうのか

ひとり情シスが存在してしまう理由は「セキュリティ人材が確保できないこと」が主な原因です。並行して「セキュリティを軽視している」ことも重なり、セキュリティ体制や環境の改善や拡充がなされないのも理由と言えます。
実際にセキュリティインシデントに遭遇していない場合にありがちであり、システム的なアップデートやソフトウェアの入れ替え、またはデバイスの点検など「なんとなくITが得意な人に任せていた」だけの状況でもあります。

ひとり情シスは属人化・ブラックボックス化・レガシーシステムなどの元凶でもある

現実問題として、ひとり情シスは決して他人事ではなく、まだまだセキュリティどころかITに関する理解が浅い企業が存在していることから、実は自社においてもひとり情シスと同じ状況だったという可能性も存在します。
DXの推進において顕在化したレガシーシステムやブラックボックス化、属人化などの課題や問題が複合的に重なっているのがひとり情シスでもあり、企業や組織にとって無視できないどころか、現状、ひとり情シスであればすぐにでも改善しなければならない問題です。

ひとり情シスに潜む危険性およびリスク

次にひとり情シスに潜む危険性およびリスクをご紹介します。

セキュリティに関する監視や管理が行き届かなくなる

セキュリティ人材が不足している状態、もしくは監視する人数が足りない場合、監視や管理が行き届かなくなります。単なるOSやソフトウェアのアップデート、またはデバイス機器の入れ替え、もしくはネットワーク等の調整など、少ない人数では処理や解決まで多くの時間を必要とするためです。
また、確認する人員が足りないような状況ですと、うっかりミスやヒューマンエラー、ケアレスミスなどによって思わぬ間違いが発生することも考えられます。人間ひとりでできることには限界がありますし、規模や人数によっては物理的に対応しきれていないようなこともあり得るでしょう。

セキュリティインシデントが発生した際の初動が遅れる

ひとり情シスの場合、セキュリティインシデントが発生した際の初動が遅れるのもリスクです。セキュリティインシデントを検知し、原因を特定し、対策を行うためには人手も手数も足りないからです。すぐに対策できれば被害が拡大しなかったようなケースでさえも、原因がわからないどころか、何が起きているかもわからない状況が続いてしまうことで、想像できないような甚大な被害を受ける可能性もあるということです。
逆に言えば、セキュリティ人材が確保されており、適切な権限を持ち、検知や原因の特定がスムーズかつスピーディであれば、セキュリティインシデントの被害を最小限に留めることが可能です。実際、原因を特定するためにはひとりの考え方や経験、スキルだけでは足りないこともあり、複数のセキュリティ人材でインシデントに取りかかれた方が安心ですし、安全なのは間違いありません。

そもそも、セキュリティインシデントが起きる可能性が高い

監視や管理が行き届かない、または経験やスキルが人員的に足りないような状況では、そもそもセキュリティインシデントが起きる可能性が高くなります。そのため、対策すらできていない箇所があった、人数さえいれば解決できる簡単な問題を解決できていなかったなど、事後で見れば「単なる人手不足」でしかないという残念な結果を招きます。
情報システム部やセキュリティ担当など、セキュリティ人材は直接的に利益や売上に影響しないように思われがちですが、セキュリティインシデントを引き起こさないこと、セキュリティインシデントによる影響を最小限に留めること自体が、不要なコストを発生させないという利点でもあります。しっかりとセキュリティ人材を確保しておけば、せっかくの利益や売上を目減りさせずに済むということです。

セキュリティ体制を拡充する際のポイント

次にセキュリティ体制を拡充する際のポイントを解説します。

まずはひとり情シスとして頑張っている人材を大切に

セキュリティ体制を拡充する際、まずは現時点でひとり情シスとして頑張っている人材を大切にしましょう。拡充という変化のタイミングで社内や組織内のセキュリティに関する情報や知見を握っている貴重なセキュリティ人材を失わないためです。
その上で何が必要なのか、どれほどの人員が必要なのかをしっかりとヒアリングすべきです。また、デバイス機器の新調やシステム的な部分におけるコストなど、セキュリティ基盤の再構築を行うこと、適切な権限や役職を割り当てることも重要です。

セキュリティ人材の雇用と育成が可能な環境を整える

デバイス機器やシステム的なセキュリティ基盤の再構築とともに、すぐにでもセキュリティ人材の雇用、もしくは育成が可能な環境を整えましょう。もし、社内や組織内にITに強い、またはIT的なスキルに長けている人材が存在するのであれば登用すべきです。
実際、日本においてセキュリティ人材自体が枯渇していることもあり、雇用自体が大変な可能性もありますので、社内や組織内の人間を育てる方が確実である可能性も高いです。セキュリティ人材の募集をかけつつ、育成という視点にも注力するのがおすすめです。

IT資産管理や情報資産管理など統合的なセキュリティ管理が可能なシステムを導入する

もし、セキュリティ人材の雇用や育成がすぐに進まないという状況であれば、セキュリティ基盤の再構築の段階でIT資産管理や情報資産管理といった、統合的なセキュリティ管理が可能なシステムを導入することで、ひとまずセキュリティ性を確保しておくこともできます。
特にIT資産管理や情報資産管理のシステムを提供するベンダーはセキュリティ基盤構築のノウハウが蓄積されていることから、何が足りないのか、何が必要なのかを明確にした上で、導入から運用までをしっかりとサポートしてくれるので非常に安心です。
ひとり情シスの状態であっても、ある程度のセキュリティ性を確保できる他、統合的なセキュリティ管理を可能にすること自体がセキュリティ人材の育成環境の構築にもつながるということを覚えておきましょう。

まとめ：ひとり情シスのリスクを今すぐにでも解消するために行動しよう！