サイバーセキュリティリスクマネージャーのスキルを学ぶ

学習の目的

この単元を完了すると、次のことができるようになります。

• サイバーセキュリティリスクマネージャーの責務を説明する。
  
• サイバーセキュリティリスクマネージャーのスキルを挙げる。
  

サイバーセキュリティリスクマネージャーの責務

あなたは分析すること、人に影響を与えること、問題を解決することが得意ですか? リスクへの理解を深めるために脅威を理解しデータを分析することにやりがいを感じますか? アクション指向の改善計画を考えるのが好きですか? 答えがイエスなら、サイバーセキュリティリスク管理はあなたにぴったりの仕事かもしれません。

David を紹介します。彼はサイバーセキュリティサービス会社のサイバーセキュリティマネージャーです。David は組織とそのシステムが直面するリスクを特定して分析し、可能性が高く影響が大きいサイバーセキュリティリスクに優先順位を付けます。組織が直面する脅威や課題を理解し、ビジネスに対するリスクを評価するためのデータを収集して使用します。彼の目標はビジネスシステム所有者、役員、その他のステークホルダーがリスクに関する情報に基づいて意思決定を行い、リスクを管理して許容できるレベルに抑えるようにすることです。

David の役割は大変ですが重要です。主要なステークホルダーや経営陣と協力してリスクを軽減し、具体的なリスクの可能性と影響を抑えることが彼の仕事です。 

そのために、David はリスクとメリットの間で綱渡りのような絶妙のバランスを取る必要があります。彼の会社の重要なシステムとデータは多くの脅威に直面しています。たとえば、サービス拒否攻撃では悪意のある攻撃者がサーバーを過負荷にしてお客様がアクセスできないようにしようと狙っています。このような脅威によるリスクに対応するために彼が使用できる金銭的、人的、技術的リソースは限られています。パートナーと協力して、可能性が高く影響が大きなリスクを特定した後に、彼は組織が論理的な方法でリスクに優先順位を付けられるようします。 

David は組織のリスクのすべてのパズルピースがどのように組み合わさるかを理解するのが好きです。そこで、該当する業種に適用できるフレームワークについて調査し、それを使用して現在の保護について評価し、改善の機会を提示することで、リスクを管理して許容できるレベルに抑えます。また、社内のチームと協力して、各チームがリスク体制を改善できるようにサポートします。彼は組織の各部署がリスク管理における各自の役割を確実に理解できていることを確認します。パートナーと共にリスクと現在の保護を評価した後に、彼はシステム所有者にリスクを軽減するための技術コントロールの実装についてアドバイスし、組織のためにそのリスク判断をドキュメント化します。 

技術的コントロールを実装したり、企業が直面するすべてのリスクを排除したりすること自体は、リスクマネージャーの責務ではありません。それよりも、システム所有者と協力して影響が大きく可能性の高いリスクの改善策に優先順位をつけ、軽減計画についてアドバイスします。 

David は探偵のように会社の現在のリスク体制についての手がかりを常に探しています。軽減策が設定されたら、組織のリスク体制を監視するためのデータを収集し、組織内で緊密なリレーションを形成してリスク体制を正確に検証し、評価します。彼は組織のリスク体制の状況を常に把握し、問題を早期に認識します。彼の仕事は終わることがなく、脅威とテクノロジーが進化するのに合わせてリスク管理計画を進化させます。 

サイバーセキュリティリスクマネージャーのスキル

皆さんも David のように組織に対する脅威を理解し、リスクを抑えるために脅威を阻止する方法を見つける準備ができています。では、目指す仕事に就くには、どのようなスキルが必要なのでしょうか? 

まず、学士号を持っていると有利です。学位は特定の領域のものである必要はありませんが、リスクマネージャーの学歴として一般的なものはコンピューター、情報科学、工学、システム分析、情報テクノロジー、サイバーセキュリティ、あるいは会計学です。またセキュリティスキルを高めるための認定資格もあります。いくつかの例を挙げると、セキュリティプロフェッショナル認定資格制度 (CISSP)、公認情報セキュリティマネージャー (CISM)、公認情報システムリスク管理者 (CRISC) などがあります。 

技術的なスキルについては、サイバーセキュリティリスクマネージャーは高い分析力を持ち、サイバーセキュリティとテクノロジー、システム管理、プロジェクト管理を理解しています。データの定量分析と定性分析、脅威モデリング、シナリオ分析のスキルも持っています。リスクモデリングも役立つスキルです。これは他の業種 (金融など) で実務の経験がある場合も含みます。

技術的スキルはリスクマネージャーとしてセキュリティの問題を理解して解決するのに役立ちますが、ビジネスのノウハウも必要です。サイバーセキュリティリスクマネージャーは自分の影響力と説得スキルを使用して組織に大きな影響を与える意思決定についてのアドバイスをします。コミュニケーション能力が高く、物事をなし遂げたりセキュリティのベストプラクティスを推進したりするためのコラボレーションに前向きです。組織のチーム間の信頼やコンセンサスを築くことを好み、詳細指向で、問題解決を戦略的に考えます。 

最後に、サイバーセキュリティリスクマネージャーは組織が効率的に業界標準を満たすための調査と分析や、さまざまな規制とポリシーフレームワークの適用に対する情熱を持っています。精通しておくべき一般的なフレームワークには一般データ保護規則 (GDPR)、米国標準技術局 (NIST) サイバーセキュリティフレームワーク、ISO/IEC 27001/2 情報テクノロジーなどの標準があり、他にも多くの学ぶべきフレームワークがあります。

習得度チェック

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側にある項目のリストを右側にドラッグして、実施する正しい順序に並べてください。全項目を並べたら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[再開] をクリックしてください。

まとめ

このモジュールでは、サイバーセキュリティリスクを管理する目標を知り、リスクを管理することの重要性を理解し、サイバーセキュリティリスクマネージャーの責務とスキルについて学習しました。次のモジュールでは、サイバーセキュリティリスクマネージャーとしてリスクを特定し、組織を保護する方法について学習します。また、複数のチームと協力してリスクを検出し、インシデントに対応して復旧する方法についても学習します。サイバーセキュリティについて詳しく学んだり、実務でセキュリティに携わる人から話を聞いたりするには、サイバーセキュリティの学習ハブにアクセスしてください。

リソース

• Trailhead: NIST サイバーセキュリティフレームワークについて調べる
  
• Trailhead: The Center for Internet Security’s Risk Assessment Method (Center for Internet Security のリスク評価手法)
  
• 外部サイト: SANS 20 Coolest Cyber Security Jobs (サイバーセキュリティの分野で活躍できる 20 の仕事)