以前から、情報セキュリティのプロフェッショナルに必要と考えているスキルです。
最近、私がよく講習や講演で話す内容で「準拠性・適合性から、実効性と合理性のセキュリティへ」とか「リアクティブ(事後対応)からプロアクティブ(事前対応)のセキュリティへ」などというのがあります。
そのためにも、この「発想力」は必要だと思っています。
発想できないと「準拠性・適合性」に留まる、「リアクティブ(事後対応)」しかできない、ということになるのだと考えています。
しかし、この差はかなり大きいですし、この「発想力」を身につけるのはかなり難しいことです。
そして「発想力」を身につけるためには、知識の習得だけでは不十分です。
それでは、どうすればいいのか。
やはり、実戦的な学習(演習・ケーススタディ)しかありません。
今日は連休明けなので、調子が出ないのでこのあたりで。(すいません、尻切れ気味で…)
| 固定リンク | コメント (0) | トラックバック (0)
日経ITproのコラム「誰でもプロフェッショナルを目指せる」 からです。
これは、大前研一さん(ビジネス・ブレークスルー大学院大学 学長)のコラムです。
相変わらずの大前節が炸裂しています。
それもあって、かなり長いコラムなのですが、ぜひ時間がある時に読んでみていただきたいと思います。
大前さんの本はいままで何冊も読んでいますが、読み終わった後はいつも爽快な気分がします。
さて、このコラムは一般的なプロフェッショナル論ですが、特にITエンジニア向けに書かれています。
特に、以下のところが私として重要かつ共感できるところです。
IT(情報技術)の世界で仕事をしているエンジニアの方々は、ぜひプロフェッショナルの道を目指して欲しい。特定技術のスペシャリストではなく、顧客の問題を解決し、価値を提供するプロフェッショナルが今、求められているのだ。
私はすべての人にチャンスはあると思う。1~2年では難しいかもしれないが、プロフェッショナルになるという気持ちを5年間持ち続けてみてほしい。必ず変わることができる。その変化を実感してほしい。意識を変えることにカネがかかるわけではない。人間の能力は年齢と共に変わる。10年間、プロフェッショナルを目指す気持ちを持ち続ければ、まったくの別人になっているだろう。人生を変えられるタイミングは何度でもある。
ITエンジニアの多くは、現在において決して恵まれた境遇にはあるとは言えません。
それは確かです。否定できませんし、否定するつもりは全くありません。
ただ、それに対して不平や不満をいうだけでは何も起こりません。
現在の不平や不満の要因を解決したいのであれば、自ら能動的に行動を起こさなければならないのです。
それができる、積極的かつ継続的にしようとする人、それが「プロフェッショナル」の必要条件ということですね。
これについては、また近いうちに続きを書きます。(という、予定です)
| 固定リンク | コメント (2) | トラックバック (0)
今回は情報セキュリティ人材のあり方を考える(1)~(7)の、ひとまずの結論っぽいことを書きます。
つまり、「教える」と「学ぶ」は表裏一体のものだ、ということです。
まずは「教える」側の人(講師、OJTトレーナー、メンター、など)は、「学ぶ」ということがどういうことなのか、そちらの立場でも理解しておきましょう、ということです。
とにかく「教える」とは「学ぶ」という目的を持った相手があってのこと。「教える」側は、それを決して忘れてならないと思っています。
そして、「学ぶ」側も「教える」ということがどういうことなのか、できる限りそちらの立場でも理解して欲しいと思います。
つまり、まさに「教育」とは「教える」と「学ぶ」という立場の違う2者間のコミュニケーションであり、相互理解が重要だということです。
こうして相互の理解が生まれ、「教える」「学ぶ」という場でコミュニケーションができること、これが「教育」での最大効果をもたらすものである、と私は思うのです。
| 固定リンク | コメント (0) | トラックバック (0)
またまた、前回の続きです。
「考える」の次は、「やってみる」ことです。
実機を使用したり、ケーススタディやロールプレイをしたり。
実際に「やってみる」ことで、実施できるスキルを習得します。(それから演習では失敗ができます。実戦では失敗が許されない場合が多いでますが)
演習では、自分がやってみることが重要なのですが、他人がやっていることを観察することもできる貴重な場でもあります。
さて、米国国土安全保障省(DHS)の「HSEEP」によると、「演習」とは
組織への脅威に対して、①未然に防止する、②リスクを低減させる、③的確に対応する、④迅速に復旧する、といった能力を仮想環境で検証するもの。
脅威が顕在化する前に、組織の上記能力を向上させるために、演習は極めて有効な手段であり、以下のような効果が期待される。
・ポリシー、プラン、プロシージャ、教育、技術、組織間の規則の検証
・参加者の役割と責任の明確化
・組織間の情報共有体制の向上
・人的リソース、経済的リソースの最適化
・参加者個人の能力向上
とされています。
このような文章を見ると、やはり情報セキュリティ人材に「演習」は欠かせないものだと思います。
合理的かつ実践的なスキルは、このような学習方法でないと身に付かないからです。
しかし、日本においてはこのような学習が重視されていなかったり、提供されるコースが少なかったり、教えられる講師がいなかったり…
こういう問題も、解決していかなければなりませんね。
| 固定リンク | コメント (0) | トラックバック (0)
| 固定リンク | コメント (0) | トラックバック (1)
では、理論やメカニズムを理解するだけでなく、それを体系的・構造的にして、さらに応用し、状況に応じて適切な判断をするための合理的かつ実践的な「知識」を習得するためには、どうするか…
今回は、それについて書いてみます。
まずは、そのような知識の身に付く教育コースを選択し、受講する、ということになりますが、それだけでは十分ではありません。
それ以上に重要なことは、受講する側が考えることです。(受講中だけでなく、受講した後も)
学習した内容を、今までの業務やこれからの業務など、実際の場面にあてはめて考えてみることが重要です。
たとえば、アクセスコントロールでは「最小特権」「知る必要性」などの原則ができてます。
これを、実際の業務にあてはめ、どうアクセス許可をするのかを考えたり、アクセスコントロールのリストを見て、これらの原則の通りに実装されているのか、されていなければそうすればよいか、などを実際に考えてみることです。
さらに、「特権」とは具体的にどのような権限なのか、「知る必要性」とは何を基準に決められるのか、など発展的に考えていくのが良いでしょう。
とにかく、理論やメカニズム、用語の定義を覚えるだけでは、本質的な理解はできません。
まずは考えて、さらにそれを体系的に整理してみましょう。
| 固定リンク | コメント (0) | トラックバック (0)
(1日、間が空きましたが)さて、今回は情報セキュリティ人材に必要な知識やスキルについて、私の意見を書いてみます。
「情報セキュリティ人材には、どんな知識が必要でしょうか?」というような内容に対し、だいたい私は以下のように答えています。
理論やメカニズムを理解するだけでなく、それを体系的・構造的にして、さらに応用し、状況に応じて適切な判断をするための合理的かつ実践的な「知識」
つまりは、まず実際の業務で使えなければ何もならない、ということです。
そして、実際の業務では様々な状況が出てきます。それによって判断を変えなければならないことになります。
同じ状況は2度はありえない、ということです。
さらにほとんどの場合、いくつかの選択肢が存在し、絶対的な答えはありません。
そのような中で、合理的かつ実践的な判断をする知識が必要だと考えています。
まだ、続く(と思います)。
| 固定リンク | コメント (0) | トラックバック (0)
またまた、前回の続きです。
さて今回で、「情報セキュリティの仕事は、貧乏くじ」の私なりの結論を出しておきます。
「貧乏くじ」の最大の理由は、役割や責任が重いのに、それに見合う評価が得られていないということだと思っています。
ITエンジニア、オペレータ、情報システム担当者、これらすべて同様のことが言えると思いますが、情報セキュリティ業務はそのなかでもこの傾向が顕著なのでしょう。
このような問題を解決するには、情報セキュリティに関わる人たちの地位の向上がまず必要です。
さらに、評価が可能になるためには、そのための相対的・客観的な基準が必要になるわけです。
実際にそのような考え方や基準らしきものは存在するのですが、結果として「貧乏くじ」となってしまうのは、それらの効果がない(または、使われていない、実効性がない、普及していない、など)ということにもなります。
ということで、このあたりを何か変えていかなければ、と考えております。
まだ、続く(と思います)。
| 固定リンク | コメント (0) | トラックバック (0)
前回の続きです。
「『情報セキュリティの仕事』イコール『火消し』、というイメージの払拭」「『(事後対応)リアクティブ』中心から『事前対応(プロアクティブ)』視点への移行」というのは、どういうことかというと…
NISCの「第2次情報セキュリティ基本計画」(仮称)の検討の視点(例)では、
-「不祥事」「恥」の意識から、原因究明による「再発防止」優先への転換
-100%事前防止意識の払拭
というように書かれていることと、(おそらく)同様のことを言っております。
つまり、まずは「インシデント発生」が前提であるということ。
そのうえで、それを事前防止するために何をしたか(これが『事前対応(プロアクティブ)』の活動)、発生したインシデントに対してどのように対応したか(適切かつ十分か)、そのインシデントの分析による原因究明と再発防止策が実施できたか、というような活動に移行していくべきであり、そのような内容で評価をできるようにすることだと思っています。
とにかく、業務内容の測定と評価ができないと、現状では「貧乏くじ」であることも「重要な業務」であることもわかりません。
ただ、このような視点への移行や仕組み作りは、かなり大変です・・・
しかし、やっていくべきことなのだと思っております。
(まだ、次回以降につづく・・・)
| 固定リンク | コメント (0) | トラックバック (0)
去る2/15(金)の「東大CCR情報セキュリティコミュニティ シンポジウム」で、パネラーとして登壇してきました。
そこでのテーマが「早期警戒、インシデントレスポンスにおける、組織と人のあり方」というものでした。
パネルディスカッションの90分というのは、長いようで短いですね。
(いつものことですが)話したいことが、すべて話せずに終わってしまいました。
ということで、そこで話したこと、他のパネラーの方から聞いたことで特に印象的だったこと、話そうと思っていたことなどを何回かに分けて書いてみたいと思っています。(私もいろいろ勉強になりました)
まずは「情報セキュリティの仕事は、貧乏くじなのか」ということです。
この内容はパネルディスカッションの際、会場からも意見としていただきました。
つまり、情報セキュリティの仕事、たとえばインシデントレスポンスであれば、インシデントが起こらないことがあたり前とされていて、起こってしまったら仕事をしていなかったように思われる、そしてそのインシデントの対応ができて当たり前であり、それが自分がインシデントを起こしてしまった後始末みたいに思われる…
確かにそうであれば、間違いなく「貧乏くじ」の仕事ですね。
では、そうでないようにすればどうするべきなのか。
私の答えとしては、「『情報セキュリティの仕事』イコール『火消し』、というイメージの払拭」「『(事後対応)リアクティブ』中心から『事前対応(プロアクティブ)』視点への移行」というところです。
(長くなってしまうので)くわしくは、また次回。
| 固定リンク | コメント (2) | トラックバック (1)
このブログの1/18の記事で取り上げたNISCの「第2次情報セキュリティ基本計画」(仮称)に係る検討の視点(例)を読んでいて、「2011年ってどうなるんだろう?」と漠然と考えてしまいました。
具体的にどんなことを考えていたのか、というと・・・
つまり、「第2次情報セキュリティ基本計画」(仮称)は、日本における2009~2011年の情報セキュリティの中期計画であるわけです。
この計画の最終年が2011年になりますから、この中身を見れば2011年の姿が(ボンヤリですが)見えてくるわけです。
このほかにも、この年は総務省関係では、TV放送の地上派デジタル化、IPv6への移行なども予定されており、かなりの変化が起こる年になるでしょう。
そうなると、「日本は?」「社会は?」「ICTは?」「業界は?」
そういうことも気になるのですが、それよりも「自分は?」ということを考えていました。
変化についていかなければならないのは、日本や会社だけではありません。個人も同じです。
情報セキュリティプロフェッショナルになる、情報セキュリティプロフェッショナルでありつづける、そのためには何をしなければならないか、考えていかなければならないですね。
ということで、情報セキュリティプロフェッショナルとしての(中長期視点での)サバイバル計画を検討しねければ・・・
そんなことを考えていたのでした。
| 固定リンク | コメント (0) | トラックバック (0)
あけましておめでというございます。
今年もよろしくお願いいたします。
これが、今年初の記事です。
このブログのテーマにふさわしく「プロフェッショナル」ねたで、2008年の幕開けとしたいと思います。
1/2のNHKの番組「プロフェッショナル」は、イチロー・スペシャルでしたね。
この番組自体が好きですし、野球ファン、MLBファン、イチローファンとして、楽しみにしていた時間でした。
この番組の最後で「イチローさんにとって『プロフェッショナル』とは?」の問いに、「ファンに対して、圧倒的な結果を残す」というような答えをしていました。まずは、仕事というのは誰かその成果を期待している人がいることが前提であり、それがないのなら「存在価値がない」(番組中でのイチローの言葉)ということ。その人の期待以上の結果を残す、それが「プロフェッショナル」ということか。
とにかく、自分に要求されているもの、期待されているもの、目指しているもの、それ以上の成果を残せるよう、今年もがんばりたいと思っています。
このほかにも、自分にとっていろいろと心に突き刺さる言葉がありました。
番組は録画してあるので、もう何回かは見るであろうし、続きが1/22に放送されるらしいので、きっと他にも名言をみつけられるでしょう。
またそれも、今から楽しみです。
| 固定リンク | コメント (0) | トラックバック (0)
昨日の記事に書いた書籍「プロフェッショナル進化論」で、「ナレッジワーカー」は「プロフェッショナル」ではない、とありました。
以前から、私の主張として「知識を持っている人」「知識を使える人」「持っている知識で成果を出せる人」は違う、というものがあります。
これに近い気がしますが、この書では「ナレッジワーカー」は、「ナレッジを使って仕事ができるが」「求められる人材にはなれる」とあり、「だが広く活躍できる人材にはなれない」とあります。つまり「プロフェッショナル」は「広く活躍できる人材」であるということですね。
では「知識を持っている人」は、せいぜい「ナレッジベース」とか「データベース」ってことでしょうか・・・
「プロフェッショナル」は、同じ専門家の中で認められてなれるもので「知識を使える人」「持っている知識で成果を出せる人」まででは「ナレッジワーカー」なんだな、というのが今回の私の結論です。
| 固定リンク | コメント (0) | トラックバック (0)
『守(しゅ)』『破(は)』『離(り)』とは、指導者から何かを学び始めてから、ひとり立ちしていくまでの段階を示しています。(自信はないので、今度調べておきますが)確か、世阿弥の言葉だったかと。
プロフェッショナルを目指す方々には重要な考え方と思いますので、以下に示しておきます。
『守』最初の段階:指導者の教えを守る。 できるだけ多くの話を聞き、指導者の行動を見習って、指導者の価値観をも自分のものにしていきます。 学ぶ人は、すべてを習得できたと感じるまでは、指導者の指導の通りの行動をします。 そして、指導者が「疑問に対して自分で考えろ」と言うことが多くなったら、次の段階に移っていきます。
『破』次の段階:指導者の教えを守るだけではなく、破る行為をする。 自分で独自に工夫して、指導者の教えになかった方法を試してみます。 そして、自分なりの発展を試みていきます。
『離』最後の段階:指導者の教えから離れ、自分自身で学んだり試した内容を発展させる。
受け継いだものを守り、現在に合わなくなったものは捨て去り、そこに新しく独自の工夫を加え、それを繰り返す。そして今までの型を越える、新たな世界(オリジナリティ)を創り出していく、ということ。
やはり、最後の『離』の段階まで来ないと「プロフェッショナル」とは言えないでしょうね。ということで、今日もがんばろう・・・
| 固定リンク | コメント (0) | トラックバック (0)
日経SYSTEMS3月号の特集記事「社外コミュニティで自分を伸ばす」によると、社外コミュニティの魅力とは、
魅力①同じ課題や悩みに立ち向かう仲間が見つかる
魅力②他社事例について、当事者からナマの話を聞ける
魅力③尊敬でき、何でも相談できる人と出会える
だそうです。
そうなると沸いてくる疑問は「これって社内では実現できないの?」ってこと。
う~ん、まぁ難しいでしょうね・・・
特に縦割り、官僚的な組織においては、情報の共有や交換は至難の業です。
それができるような組織なら、上記のような魅力はそれほど感じないでしょうし、相当ナレッジも溜まっているはず。
そのような実情の裏返しであるような気もします。
あとは上記以外の魅力ですが、私の場合は(上記の3つ以外に)
・自身のスキルの研鑽の場
・(あっちの資格、こっちの資格の)CPE獲得の場
なども魅力ですね。
(あとは、個人と所属組織の名前を売る、ってのもありますが)
この2つも社外に出ないと、なかなか果たせないことだと思います。(他にも社外でないとできないことは、いろいろありますが・・・)
特にスキルについては、社内だけという狭い領域で通用するのと、業界で広く通用するのでは相当の差があると考えています。
社外コミュニティには大きく分けて「勉強会」的なものと、「(調査・研究など)成果物作成」の目的の2つがあります。
「成果物作成」のほうは、自分のスキルを研鑽したり、業界で広く通用するかどうかを評価(自己または他人から)できる場でもあります。
そのような場は、社内ではなかなかありませんので、このような場は非常に貴重な機会になります。
とにかく、皆さんもどんどん社外に出ましょう。
| 固定リンク | コメント (0) | トラックバック (0)
CompTIAのコラム「企業はより優れたセキュリティスキルを求める(ComputerWeekly.comより抜粋)」からです。
このコラムの原文は、こちら。(英国で発行されています)
ここで、
「2007年の需要に合わせ、セキュリティーのプロになる準備としてベストとされる認定資格」として、
- CompTIA Security+
- Global Information Assurance Certification (GIAC) 認定資格
- Information Systems Audit and control Association (ISACA) 公認情報システム監査人 (CISA) および
公認情報セキュリティーマネジャー (CISM)
- (ISC)2のシステムセキュリティ認定プログラム (SSCP) とITセキュリティプロフェッショナル認定資格 (CISSP)
- Check Point, Cisco Systems, Microsoftのようなベンダー認定資格
が挙げられています。
さらに
・エントリーレベルの技術者にとっては、認定資格よりも、スキルや知識、経験がより重要になることがある
・企業は情報セキュリティーに焦点を置いたIT資格を持ち、多才性および広範なスキルセットに加え、実績のある実務経験を持つ志願者を探している
・もはや多くのIT技術者にとって技術スキルだけでは十分ではなく、ビジネスゴールに対応するために、どのように技術を使用するかを理解し、その理解を明確に表現することのできるIT人材が有力候補となる
などということも書かれています。
つまり、資格よりも、スキルや実績を伴った経験が重要である、ということですね。
私もその通りだとおもいますが、このあたりもバランスが必要と考えています。
というのも、本来的にこれらそれぞれの要素が相互依存関係だと思っていますので。
豊富な知識とスキルから積み上げられた実績と経験。
豊富な実績と経験に裏付けられた知識とスキル。
これらを客観的・相対的に認証する資格。
など、というところでしょうか。
| 固定リンク | コメント (0) | トラックバック (0)
実は先週の話ですが、原稿を書いていたらちょっと行き詰りまして、サボってTVをつけました。
やはり、このブログのタイトルからして見ておかないとね、ということで、NHKの番組「プロフェッショナル 仕事の流儀」を見ていたら、(私も好きな)漫画家の浦沢直樹さんがでていました。
すると・・・
「プロフェッショナルとは?」の問いに浦沢さんは、
「締切があること。その締切までに最善の努力をする人のことではないか」
と答えました。
(この回の放送ですね)
「ありがとう、浦沢さん!お陰で目が覚めたよ!!おいら、がんばるよ」
ということで、締切のある仕事が山ほどあるけど、また今日もがんばりまーす。(締切はちゃんと守っていますよ、念のため・・・)
| 固定リンク | コメント (0) | トラックバック (0)
日経ITproの記事「雇用されないITプロフェッショナル---ICという生き方」からです。
「インディペンデント・コントラクター(IC;Independent Contractor)」とは、「企業に雇用されず独立して、専門性を発揮しながら様々な企業の仕事を(業務委託契約などで)するひとのこと」なのだそうです。
また「専門性を提供することによって、企業に雇用されずに働くひとたち」ということも書かれており、やはり、ICとして(ちゃんと仕事が来て)成功するには、高い「専門性」は必須要件です。
また「(人間関係の)ネットワーク」も大切であると触れられています。
ICは黙ってても、会社が仕事与えてくれるわけではないですから、これも必須要件ですね。
「プロフェッショナル」としては、この「IC」は「生き方」「キャリアプラン」における選択肢の1つですね。
「独立」とか「起業」とか、そういう観点だけではなく、このようにある意味で「会社に頼らない」という考え方が重要な気がします。会社から与えられるものだけでは、真の「専門性」が身につくはずもありませんし、会社が「キャリア開発」の支援をしてくれても、その責任を負ってくれるわけでもないのですから。
企業で働く個人も、それを雇用する企業の側も、このようなスタイルがあることに注目して、キャリア開発や人材育成について、考えてみることも必要でしょう。
| 固定リンク | コメント (0) | トラックバック (1)
今日はちょっとあるところで、検討している話題を。
「監査基準」という用語(情報セキュリティ監査やシステム監査でのお話です)なのですが、これには2つの意味があります。
「一般基準」「実施基準」「報告基準」などの"standard”が1つ目の意味。
2つ目の意味は「評価や判断の尺度」などの"criteria"です。
つまり「基準」には2つの意味があるのです。
このあたりが、どうも講師から受講される皆様に伝わっていないな(特に"criteria")、という検討なのです。
(「テキストでの説明が十分でない」っていうこともありますが・・・)
同様の問題は他にもあります。
具体的な例としては「管理」です。"control"だったり"management"だったり"administration"だったり・・・
更に"control"は「制御」や「統制」とも訳されます。"management"も「経営陣」とも訳されます。
杓子定規に日本語で解釈をしてしまうと、誤った意味で理解してしまう可能性が高くなります。
重要な用語や概念、原則などは、原文(英語)なども確認しながら正しい理解をするようにしておきたいものです。
といいながら、私も英語が得意なわけではなし。
CISSP認定試験でも必須アイテムですが、認定取得後も英和辞書(私の場合は和英もついてます)はお役立ちアイテムです。(特に私は)
| 固定リンク | コメント (0) | トラックバック (0)
以前の記事の
「使う力」
「『使う力』を更に考える」
で、「知識の量×使う力=結果」であり「知識の量」が多くても、「使う力」がなくては「結果」には現れません、などと書きました。
今回はその続きで、『「長谷川流」使う力』の考え方を書いてみます。
長谷川と言っても私ではなく、元メジャーリーグ投手の長谷川滋利氏(オリックス・ブルーウェーブ→アナハイム・エンゼルス→シアトル・マリナーズ)なんですが。
「稀代の頭脳派投手」として知られ、クレバーな投球術でメジャーリーグで成功した彼なりの「一流」(自分な「超一流」ではなかったと自書『超一流じゃなくても「成功」できる』などで言ってます)の要因として、「適応(adjust)能力」を挙げています。
これは「自身を周囲の環境に合わせる」ということですが、単に「朱に交わる・・・」的な意味合いではありません。
具体的には「自分を客観的に見る力」。「自分の何が通用するのか。結果が出ない自分には何が不足しているのか」を冷静に分析し、それをクリアするために必要な技術を習得していく、ということだとしています。
この考え方は私も個人的にかなり共感を持っていて、よく使う言葉になっています。
「使う力」を考えるのに、かなり役立つ重要なアプローチだと思います。
皆様も自身の「適応(adjust)能力」を考えて、実践してみませんか。
| 固定リンク | コメント (0) | トラックバック (0)
あちらのブログで書いてたネタですが、これからこっちでも書いていきたいと思います。
とりあえず、バックナンバー載せときます。
人材が育たない理由・その1
人材が育たない理由・その2
人材が育たない理由・その3
とにかく、どこの会社も「『人材』が大事」とか「『人材』ではなく『人財』」なんて、意気込みや所信表明的なことは聞かれるんですが、実践されてなかったり実効性がなかったり・・・
ていうことの続きを書く予定でしたが、昨日の講師(CISSPレビューセミナー)でどっと疲れてしまいまして、頭が働きません。なので「また、次回」ということで。(といいながら、来週はようやくというか、今ごろというか、とにかく『夏休み』→こんなに涼しくなったのにね。ということで、来週は更新頻度が下がります)
今日も講師(やはり、CISSPレビューセミナー)です。1名でも多く合格していただけるよう、がんばってきます。
| 固定リンク | コメント (0) | トラックバック (0)
以前の記事で書いた「使う力」について、私なりの考え方をちょっと補足してみます。
「つまり、十分な『知識』をつけて、更にこの本に書かれている力を磨けば、私も『結果』が出るんですね」なんて読み方はするべきではないと思います。もちろん「使う力」というのは、どこかで明確に定義されたものではありません。もともと非常にわかりにくく見えにくかったこのスキルを、著者なりに分析して定義したものです。
ですから、もちろん他の視点での分析や定義もあるわけですし、その人に必要な「使う力」とはその人の目指すキャリア像やプラン、求められている「結果」の内容などによっても異なるはずです。(CISSPホルダーの方は、この一文の「使う力」を「CPE」と読み替えてもらうのもいい、と思う)
このような本をヒントに、そういうことを考えていくことが「プロフェッショナル」を目指す人にも重要なんだと思っています。(と、今回は自分にも言い聞かせてるんです)
| 固定リンク | コメント (0) | トラックバック (0)
| 固定リンク | コメント (0) | トラックバック (0)
| 固定リンク | コメント (0) | トラックバック (0)
前回の記事にあった「後進の育成」(誤変換しちゃいましたが・・・)について、取り上げて考えてみます。
P・F・ドラッカーさんの「プロフェッショナルの条件―いかに成果をあげ、成長するか」 でも、「後進の育成」はまさに「プロフェッショナルの条件」であると書かれています。
やはり、「プロフェッショナル」たるものは、この書のサブタイトルの通り、「いかに成果をあげ」更に継続的に「成長するか」が重要なのだ、と常々肝に銘じています。
その「成果」は業務での「成果物」には限らないと思います。つまり「成果」は「物」に限らない、ということ。(私は「成果物」という言い方が好きではありません)
私は、「後進の育成」というのは「物」以上の「成果」だと思っています。
そして、「後進の育成」は自らも「成長すること」につながっていると、講師業務などで実感しています。そうして、少しでも「プロフェッショナル」に近づきたい、と考えています。
| 固定リンク | コメント (0) | トラックバック (0)
IPA ITスキル標準センターのプロフェッショナルコミュニティ - ITスペシャリストコミュニティの「ITスキル標準改善提案報告書」では、「ITスペシャリストの達成度指標」 専門分野:セキュリティの中で、このような定義がされています。(ここでも「スペシャリスト」と「プロフェッショナル」が、ごちゃごちゃ)
【プロフェッショナル貢献】
●以下のセキュリティ領域のいずれかについて他を指導することができる高度な専門性を保有し、業界をリードできる
□WEBアプリケーション
□データセキュリティ
□ネットワークセキュリティ
□セキュリティ管理ツール
●セキュリティの技術的な問題に関して業界に貢献する
●技術の継承に対して、次の5項目以上の実績を有する
□学会、委員会等プロフェッショナルコミュニティ活動
□著書
□社外論文掲載
□社内論文掲載
□社外講師
□社内講師
□特許出願
●後進の育成(メンタリング、コーチング等)
ITSS(ここの定義の内容や実効性は、また別途検討するとして)を人材育成におけるスキルモデルとしているような組織に所属しているのなら、理解も得られやすいでしょうしこのような活動を支援してくれるでしょう(というよりすべきですよね)。つまり、このような内容でCPEを取得できるなら、業務も様々な活動もしやすいということになるはずですね。(実際にこれを使っている組織も多いですし)
次回以降で、これをモデルに「プロフェッショナル貢献」とされる活動とCPE取得をどう結びつけるのか、そうした視点で、私なりに詳細に中身を検討していきます。
| 固定リンク | コメント (2) | トラックバック (0)
CISSP | CISSP CBK 10ドメイン | CPE |
最近のコメント