こんばんは。情報処理安全確保支援士ネタ関連になるかもしれませんが、セキュリティ担当者配置に対する意識ネタです。Security-NEXTの記事からです。

www.security-next.com

　専任担当者で2割というのが意外に少なく感じられました。あちこちで情報漏洩や不正アクセスが頻発している状況で、「あれは他所様の話で、自分ところは大丈夫。そんなこと起きるわけないし。」というような根拠のない自信を持っているんでしょうかね。

　他に考えられそうな理由としては、「情報セキュリティはコストでしかない」というような考え方が支配的ではないかと推察します。「情報セキュリティの専門家を雇用しても利益にはつながらないじゃないか」という発想が頭の中にあるでしょう。いざ事故が起きてしまった場合に対処を誤ると、大きな損失をもたらします。「事故時の損失を最小限に抑えるための保険的意味合い」もあると同時に、「積極的に対策をしています」というプロモーションにもつながるのではないでしょうか。

　6割overが「既存人員で十分対処可能」と考えているのは甘くないか？

　既存人員の配置で対処出来るという発想はどのへんから来るのでしょうか？既存人員の能力が高いから？あるいは、「そんな大したことは起きないはずだから大丈夫」と思っているから？「お金がないし、そこに費用をかける余裕はない」という発想？

　本当にそれで大丈夫なのですか？凧糸結んでバンジージャンプするようなもんじゃないですか？さすがにこれでは切れてしまいますよね。飛び降りた瞬間に。そんなバンジージャンプ誰もしたくないですよね。(^^;;

　でも、それと同じことをしようとしているんですよね。危険度に関しては同じだと思うのですが、このへんをどうやって理解してもらうかというお話ですよね。

　今回の記事と情報処理安全確保支援士未登録者（旧試験合格者）向け説明会の話とも絡んで来るのですが、需要と供給の両側からの整備をしないといけないのではないでしょうか。