セキュリティ対策を3階層に分けて考える
--のような新しいマネジメントの中で、具体的にセキュリティ対策を進めていくにはどのようなアプローチが必要なのでしょうか。
大木氏: 従来、情報の管理や活用について具体策を実装してきたのは企業のIT部門です。ですから、IT部門の方がその経験を活かして中心的な役割を担う必要があります。個人情報保護法の施行を前にして、これだけセキュリティ事件が取り沙汰される中、セキュリティ対策そのものが大きく変わる必要があります。
そこで私は3階層のセキュリティ対策を提唱しています。まず上位にあるのは「ストラテジー層」。いわばセキュリティポリシーに当たるところで、企業の経営戦略や企業風土、理念の中に情報セキュリティに対する意識を埋め込んでいくことです。いまや、情報は誰でも簡単に入手できる時代です。そこで経営の根幹に「情報を大事にする」ということを入れていかないといけません。CSO(Chief Security Officer)などを任命するのも、この層の取り組みに含まれます。
第2は「プロジェクト層」です。CSOが企業文化に基づき、戦略的にセキュリティ施策を練る中で、その具体的な業務をプロジェクトとして切り出し、「どういう体制でいつまでに何をやるか」をまとめていく層です。今日、プロジェクト層とストラテジー層の境はグレーゾーンになっています。そこを明確に線引きして、例えばプロジェクト層でISMSを取るとかプライバシーマークを取るとかいった具体的な対策を考えていくことが必要です。
最後の「ソリューション層」は、プロジェクト遂行にあたり、実際に使うテクノロジやソリューションを組み合わせてデザインする層です。つまりソリューションを組み合わせたものがプロジェクトであり、プロジェクトは戦略に則っているノノこうした階層が必要です。いまは個別にソリューションだけがバラバラと動いている状態で、それでセキュリティ対策をやっているような気になっているんですよね。でもやはり個別ソリューションではなくプロジェクト単位でセキュリティ対策を練っていく必要がありますし、プロジェクト生み出すストラテジーがあってこそ、構造的に企業が変わっていくのではないでしょうか。
--そこでソリューションに目を向けると、バラバラの技術が混在しており、具体的な形を描けないという問題がありますね。
大木氏: アーキテクチャがないということですね。それがストラテジー層の最大の問題です。これは政府の政策にも表れていないため、レファレンスすらなく、これから社会的に考えていかなければならない分野です。そこをうまく作って、2番目の層でプロジェクトをデザインして実装に落とし込まないといけないのですが、デザインのフレームワークもないんですよ。いまSI企業もセキュリティフレームワークを提案していますが、実際に使う企業の立場の視点かといえば少々疑問がありますし、価格も高くなります。もちろん、SI企業が提案するセキュリティ対策のフレームワークを1つのアーキテクチャとして見れば、決して高くはないかもしれません。だからこそ、ストラテジーとプロジェクトとソリューションの3つの層に分けて考えて、最適なものを選択していく取り組みが必要になるのです。
セキュリティ意識を持つ社員とは何か
--次に具体的な取り組みについてもお伺いしたいのですが、たとえばソリューションを選択するうえで、エンドユーザー企業とソリューションを提示する側には技術知識について開きがありますね。このギャップを埋めるために、ユーザー企業は何をすべきなのでしょうか。
大木氏: セキュリティ対策のオペレーションに当たっては、セキュリティ・アドミニストレーターのように専門性も技術知識も必要になります。ここについては、マネージド・セキュリティサービスと呼ばれるようなアウトソーシングサービスを活用するのも一手ですね。これからセキュリティのアウトソーシングサービスはかなり伸びると思われます。
それからもう1つ、先ほど「組織戦略の中にセキュリティ理念を持つべき」とお話しました。組織は人で成り立っています。つまり社員1人ひとりがセキュリティに対する意識を持ち、セキュリティ対策できることが重要なのです。それはどういうことかというと、「自己管理ができる」ということ。当社の2000名強のコンサルタントについても、機密情報が入ったPCを持ち歩いてクライアント先に行くのですから、自己管理を徹底させていますよ。たとえばPCを紛失した場合でも、どのような対策を施せば情報漏えいを防げるのか、失った情報をどうすれば復元できるかを常に考えろと。
これは今日のような、人材の流動化が激しい時代において重要なテーマだと思います。では、どうすれば社員の自己管理能力を高めることができるか。1つには、「自己管理できる社員だけを集めてやっていこう」というアプローチもあります。社員が会社を辞めるときには、それまで得た情報の管理や、負うべき義務を明確にする。こうした人材へのアプローチがなければ、いくら技術だけを入れても無駄になるでしょう。極論をいえば、「自己管理できない人は、会社を辞めてもらうしかない」と。こうした意識がだんだんと広がっていくのではないでしょうか。もちろん職種によって異なるとは思いますが、セキュリティ文化の醸成は、結局はそうした個人の意識の変革に結び付くと思います。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
近い将来「キャッシュレスがベース」に--インフキュリオン社長らが語る「現金大国」に押し寄せる変化
「S.RIDE」が目指す「タクシーが捕まる世界」--タクシー配車のエスライド、ビジネス向け好調
物流の現場でデータドリブンな文化を創る--「2024年問題」に向け、大和物流が挑む効率化とは
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた
培養肉の課題は多大なコスト--うなぎ開発のForsea Foodsに聞く商品化までの道のり
過去の歴史から学ぶ持続可能な事業とは--陽と人と日本郵政グループ、農業と物流の課題解決へ
通信品質対策にHAPS、銀行にdポイント--6月就任のNTTドコモ新社長、前田氏に聞く
「代理店でもコンサルでもない」I&COが企業の課題を解決する
「当たり前の作業を見直す」ことでパレット管理を効率化--TOTOとユーピーアールが物流2024年問題に挑む
ハウスコム田村社長に聞く--「ひと昔前よりはいい」ではだめ、風通しの良い職場が顧客満足度を高める
「Twitch」ダン・クランシーCEOに聞く--演劇専攻やGoogle在籍で得たもの、VTuberの存在感や日本市場の展望
