情報セキュリティ分野で活躍する宮崎 啓さん、政府機関におけるセキュリティコンサルタントから学ぶリスク管理

政府機関におけるセキュリティコンサルタント、 CIO補佐官、国家システム試験(情報処理技術者試験)責任者等、我が国のシステムやセキュリティを下支えしてきたITに関わる様々なナレッジを保有する株式会社プロアクションの代表取締役社長兼チーフコンサルタント宮崎 啓さんに、情報セキュリティについてお話を伺いました。

プロフェッショナル人材のご紹介
宮崎 啓氏
宮崎 啓氏
株式会社プロアクション 代表取締役社長兼チーフコンサルタント
1968年、富山県立山町生まれ。大学卒業後、電機メーカーへ入社後、IT業界へ転職。 大手企業のシステムの運用・監視、大手都市銀行や中小企業のネットワーク設計、構築、保守サポート等に携わる。 その後、政府系金融機関、独立行政法人における大規模プロジェクトのインハウスコンサルタントとして活躍。 2008年に株式会社プロアクション設立、代表取締役に就任。官公庁におけるシステムプロジェクト管理やセキュリティ分野を得意とする。 公認情報システム監査人(CISA)、東京立山会理事、ISACA東京支部調査研究会委員歴任。

【課題解決事例】

情報セキュリティ分野でご相談いただく課題の例:

経営者層からのご相談 ・業務システムの改修が必要という計画が 承認されたため、実施する必要がある ・ URLフィルタシステムを導入すると役員会で決定している ・マイナンバーセキュリティ対策をより堅牢 にしなければいけないと感じている ・IT投資の計画が全社的に足並みが揃っていないため、問題と捉えている

実務者層からのご相談 ・セキュリティ対策の方針が不明確であるため、施策の優先度がわからない ・部分的なセキュリティ対処では限界があると感じている ・迷惑メールやウィルス感染等、日次の対応策 (○○ツールの導入)が必要 ・業務効率化の一環で、無線LANを導入するよう指示があった

セキュリティ

ここからは、実際にセキュリティコンサルタントとして活躍されている宮崎 啓氏にお話をお伺いしました。

これまで政府機関における情報セキュリティについて、どのようなお仕事に携わって来られたのですか?

宮崎 啓氏(以下、宮崎): はい、情報セキュリティの業務は多岐にわたりますが一通り経験してきました。セキュリティシステムを導入するための要件定義、技術仕様書を策定したこともあれば、専門ベンダーさんと設計や構築の支援をしたこともあります。 実際のシステム運用では、セキュリティ的な問題がないかをチェックしたり、時にはユーザーさんの席までパソコンのLANケーブルを抜きに走っていく、ということもしましたね。セキュリティ事案が発生した場合の対応アドバイスや運用プロセスの改善計画を立てるお手伝いをしたこともあります。

情報セキュリティ分野で活躍するにはどのようなスキルが必要なのでしょうか?

宮崎: 主にサーバーやパソコン等が相手ですから、これらの基本的な動きや構成等の知識が前提となります。国家試験の基本情報技術者試験レベルというところでしょうか。その上で、システム設計や構築経験、システム運用の現場経験を積んでいくのです。地味で大変ですね。ユーザーさんの立場からすると、何もなく、平和に仕事できて当たり前の世界ですから。

クライアント様は、非IT業界と、IT業界のどちらからのニーズが大きいですか?

宮崎: 昨年2017年の改正個人情報保護法の施行により、小規模事業者も含むほぼ全法人組織が対象となったこともあり、非IT業界、IT業界に関わらず、情報管理のあり方やセキュリティ対策のニーズがあるように思います。

また、近年の標的型サイバー攻撃やランサムウェア(身代金ウィルス)の感染拡大等のニュース報道等にある通り、グループ子会社や中小企業も悪意のある攻撃者から狙われることが多くなってきていることから、企業規模に関係なく、ご相談いただくケースも多くなってきました。

セキュリティ対策が必要な企業フェーズ

代表的な案件について、お話しできる範囲で教えてください。

宮崎: 以前、マイナンバーセキュリティ対策を実施したい、という企業様からご相談を受けました。そのお客様は、当時、他のベンダーからシステム面の改修や規程文書を策定して頂いていましたが、全体的な観点が不足していると感じられ、当社へいらっしゃった、という経緯でした。 お客様のご担当者様いわく、「最近よく放映されるような情報漏えいの謝罪会見は当社では絶対に許されない、世界一堅牢なシステムを設計してくれ」でした。非常におどろきのご要望でしたが、お客様の必死さは伝わりました。誰もが知っている企業様ですので責任重大でしたが、この上ないやりがいも感じました。 当社はこのご要望にお応えできる自信がありました。ありがたいことに人的ネットワークや独自の情報網を駆使し、情報収集、様々なソリューションを評価し、業務にあたりました。 昼か夜かわからない日が若干続きましたが、お客様のご要望にお応えでき、業務を完了できました。プロジェクト終了報告で、満足いただいているお客様の表情は今も忘れられませんね。

政府機関が発注する際のベンダー選定にも携われたとのことですが、信頼できる企業の見分け方を教えてください。

宮崎: ”信頼できる企業”の定義は難しいですが、ここでは、我々ユーザーサイドの要求を真摯に迅速に対応していただけるベンダーさん、とします。最初にあげておきたいのが、極めて当たり前ですがその会社の”人となり”です。コミュニケーション能力、人間力とでもいうものでしょうか。 重要なプロジェクトであれば必ずベンダー担当者や責任者によるプレゼンを評価していました。もちろん、技術力もです。 技術力や実績のみでは、こちら側の要求事項を正確に捉えてもらえなかったり、コミュニケーション能力不足が原因で、工期が遅延する等が発生する等のリスクが発生する可能性があります。ベンダー担当者や責任者のコミュニケーション能力、人間力は外せません。 また、昨今のIT業界は多重請け構造が多くなっていますが、案件の請元のベンダーが全て下請け企業に責任も業務も全て丸投げ、というベンダーには気を付ける必要がります。そのようなリスクを回避するため、例えば、初回の会議の時に専門的な少し突っ込んだ質問をして、その反応や対応を見るとか、単刀直入にベンダーのバックアップ体制を聞いてみるのも良いでしょう。 その他、ベンダーのエンジニア体制、サポート窓口体制、当該製品への熟知度等、様々な見極めのポイントがあります。 経営層に説明する必要がある場合は、ベンダーを一覧化した比較表を作成し、定量評価・分析したものが重宝されますね。

宮崎氏は、以下の視点から企業様のITリスクを改善しています。

●システム監査の視点 ●ITセキュリティ監査の視点 ●システムリスク評価の視点

IT時代到来の中、宮崎氏のように企業様のITリスクを改善できるプロフェッショナルが必要になります。 flexyは、宮崎氏のような優秀で豊富なご経験のある方を業務委託契約で期間限定でご紹介が可能です。プロフェッショナルの経験や知見を内製化する事で法人様のオープンイノベーションを推進しています。

セキュリティについてのご相談も、flexyにご相談ください。 無料相談する ITプロフェッショナルで、課題を解決 メールでのご希望はflexy@circu.co.jpにご連絡をお願いします。

FLEXYとはABOUT FLEXY

『FLEXY』はエンジニア・デザイナー・CTO・技術顧問を中心に
週1~5日のさまざまな案件を紹介するサービスです