2011/02/28「情報セキュリティ月間特集 ~変化球で考える情報セキュリティ 最終回 憂鬱からやりがいへ~」
2月28日は、「情報セキュリティ月間」の最終日です。
本連載では、”変化球”ということで、セキュリティ自体の話題よりも、セキュリティを動かす組織や人、特に事務局担当者への応援というスタイルで執筆してきました。今回は、「事務局の皆さんが持つスキル、実はこれからの企業社会で大事になりますよ」ということを書いていきたいと思います。
■報われない事務局
「セキュリティの事務局をやったって、何のキャリアにもならない」
このような意見も、事務局の憂鬱の一つの原因かもしれません。
・成長の実感を得られない、
・がんばっても評価されない、
・自分のキャリアアップにつながる気がしない、
こうした中で「どのように事務局としてモチベーションを維持すべきか」は大変な努力を有します。営業売上のように数値目標が立てづらい、個人としても何が必要で、何を学べば良いのかわからない、という課題もあるかと思います。
■実は注目されている事務局のスキル事務局業務の多くは、”当事者ではない立場”で、”バランスよくセキュリティを運用する”ことが求められます。
「事件は会議室で起きているのではなく、現場で起きている」というのは、どこかの映画で聞き覚えのあるフレーズですが、事務局の皆さんの役割は、”会議室=経営層”と”現場=各部門”をつなぐ役割であり、実務と会社のリスクのバランスを考えながら、組織としての正しい意思決定を行うための調整役を担っている、もしくは期待されています。
また、監査組織がある大手のお客様以外では、事務局担当者が内部監査の担当者を兼務している、場合によっては、取引先に対し二者監査を実施する例が増えています。
このような”客観的な立場”で、”実務とセキュリティのバランスを評価”できる、もしくは”実装”出来るスキルは近年、注目を浴びつつあります。
■クラウドがもたらす事務局スキルの価値向上
「近年のビジネスの流れの本流は、サプライチェーン化である。
クラウドもITを軸としたサプライチェーン化の流れに過ぎず、今後も加速するであろう。」
これは、昨年、アメリカのある会社に訪問した際に、セキュリティ担当者がおっしゃった言葉です。
「クラウド」とは、簡単にいえば、自社で行っていたITの運用を、インターネット上のサービスに置き換えてコスト削減につなげようという流れです。
クラウドが話題になるように、インターネットを介したサービスの質は高まっており、確かにうまく活用すれば大きなコスト削減が期待出来ます。一方、相手先の品質やセキュリティ環境がわからないまま業務を”丸投げ”してしまうことは、組織にとって大きなリスクです。
そのため、組織にとって必要となるのは、”相手の運用を客観的に評価出来る目線”です。
IT部門のように”運用するスキル”ではなく、必ずしも実務の詳細までは把握していない監査部門よりも”バランスよく判断できるスキル”、こうした視点を持っているのが、実は事務局の皆様なのではないかと思うのです。
■事務局スキルの資格とキャリアこのように事務局担当者の持つスキルの重要度が増す中で、スキルを”見える化”する一つの手段として「資格の取得」があります。
これにより、事務局担当者が理解すべきスキルの体系の明確化や、具体的な目標を設定することで事務局担当者のモチベーション向上につなげることも出来ます。こうした学習を通じて得られる“ものの見方”や知識は、今後の組織の発展にとって不可欠なものとなります。事務局担当者が他の部門に異動されたとしても、今後のビジネス環境では必要な視点となりますし、場合によっては担当者がご自身でキャリアアップを図る際の一つの武器になります。
とはいえ、このような資格や研修の受講は、個人で受けるには多少ハードルの高い(お値段も高い)ものが多いことも事実です。組織としては、成果に見合った報奨金や手当を支給出来るに越したことはないでしょう。
たとえ報奨金や手当を支給出来なくとも、学習費用のサポートや、学習を通じて”成長の実感”や、他人に説明出来る”自分のスキル”という看板を与えてあげることは出来ます。
■例えばこんな資格
事務局スキル、というよりも総合的な情報セキュリティの監査スキルを評価するものとして、「公認システム監査人(CISA)」等は世界中で認められる資格ですし、JASA(情報セキュリティ監査協会)の「情報セキュリティ監査人」資格なども"セキュリティを客観的に評価するためのフレームワーク"を身につける良い機会になります。
また、情報処理技術者試験のうち、「システム監査技術者試験」は最も難しい試験の一つです。
ITの基礎教養だけではなく”実務とセキュリティのバランス”を”客観的な評価”で提示することが大きな価値を持つ、ということの一つの表れかもしれません。
他にも日本科学技術連盟(日科技連)では、「マネジメントシステム監査員検定」をスタートさせました。事務局スキルの可視化や、メンバーに具体的な目標を持たせる上では、良い材料になるかと思います。
■最後に
学習や事務局活動への取り組みを通じて、事務局担当者の皆様が向上心を持つことが出来れば、組織のマネジメントシステムの向上に大きく寄与することが出来ますし、何よりも事務局担当者の皆様のやりがいにつながります。
3月、4月と組織変更や新しい業務計画の策定等、会社にとっても、事務局担当者にとっても慌ただしい時期が訪れることと思います。
ISMSを取得されている企業では、教育計画=「全社員に○月に情報セキュリティ教育を実施」、といった計画を策定する時期ですが、可能であれば「事務局はどのように成長すべきか」というテーマも少し考えて頂き、教育計画を見直すきっかけになれば、執筆者としては幸いです。
- 執筆者 -
株式会社インフォセック
コンサルティング本部 プリンシパルコンサルタント 松本照吾
学習や事務局活動への取り組みを通じて、事務局担当者の皆様が向上心を持つことが出来れば、組織のマネジメントシステムの向上に大きく寄与することが出来ますし、何よりも事務局担当者の皆様のやりがいにつながります。
3月、4月と組織変更や新しい業務計画の策定等、会社にとっても、事務局担当者にとっても慌ただしい時期が訪れることと思います。
ISMSを取得されている企業では、教育計画=「全社員に○月に情報セキュリティ教育を実施」、といった計画を策定する時期ですが、可能であれば「事務局はどのように成長すべきか」というテーマも少し考えて頂き、教育計画を見直すきっかけになれば、執筆者としては幸いです。
- 執筆者 -
株式会社インフォセック
コンサルティング本部 プリンシパルコンサルタント 松本照吾
[ コラムTop ]
