前回の投稿「中小企業診断士とITストラテジスト その役割と違い」では、中小企業診断士とITストラテジストの定義、その役割についてお話しました。
今回はIPA(情報処理推進機構)の実施する、IT技術者であれば誰でも知っている情報処理試験のうち唯一のサムライ資格(士業)である、情報処理安全確保支援士との関わりについてお話したいと思います。
まず、情報処理安全確保支援士の求める対象者像について、IPAはこのように記載しています。(情報処理推進機構ホームページ 情報処理安全確保支援士試験より)
サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者
情報処理安全確保支援士試験はもともと情報処理試験のテクニカル試験セキュリティスペシャリストの後継資格としてスタートしたものです。
平成29年の情報処理試験の試験制度改定にともない、正確には情報処理技術者試験からは独立した情報処理安全確保支援士試験となりました。
私が情報処理安全確保支援士を取得したのは、この第1回目の試験の時です。
上記の情報処理安全確保支援士の求める対象者像を見ても、サイバーセキュリティ対策の専門家ということです。
現在では、サイバーセキュリティ対策は会社の専門部署が独自にやっておけばよいというものではなく、経営者自らが主体的に取り組むべく経営課題として位置づけられるのが主流の考え方になっています。
そのような意味において、中堅企業・中小企業の経営課題解決の支援に取り組む中小企業診断士はサイバーセキュリティ対策も自らのカバー範囲として取り組むべきと考えます。
セキュリティ対策には大きく、技術的対策・物理的対策・人的対策といった分野があります。
技術的対策とは、ウィルスソフトの導入・アクセス権限の設定などハードウェア・ソフトウェア面からの対策になります。
物理的対策とは、執務室内への出入りにカードキーを使用する、パソコンにワイヤーロックを付けるなど、モノの導入です。
人的対策とは、セキュリティポリシー・個人情報保護規定などの社内のルール作り、研修教育などです。
このうち、私が主として取り組むのは人的対策です。
セキュリティルールはどこの会社でも同じルールを適用すればよいという訳ではなく、その会社の経営方針・規模・予算・人的リソースなど多様な要素を勘案して作成する必要があります。
セキュリティ対策は経営課題であり、会社の経営方針に立脚したものです。その点において中小企業診断士と情報処理安全確保支援士の両サイドに立った支援を心が掛けるように活動しています。
昨今、中小企業でもBCP(ビジネスコンティンジェンシープラン)を策定する企業が増えつつあり、セキュリティ対策を含めた経営支援が求められています。
最後に経営者の方のセキュリティ対策情報として以下のページをご一読されることをお奨めします。
経済産業省 サイバーセキュリティ経営ガイドラインと支援ツール
情報処理推進機構 中小企業の情報セキュリティ対策ガイドライン