目次
ビジネス推進部門にとって、セキュリティ管理は悩ましい存在です。事業成長は至上命題、ただし前提として守るべきルールがある。どうやって双方の視点を両立させるかは、多くの企業が重要課題として長期的に取り組んでいる状況です。
※本記事について、ご質問及びご相談がある方は、こちらまでご連絡ください
背景
前回の記事では、セキュリティを管掌する役員であるCISO(Chief Information Security Officer)に関して、セキュリティだけでなくビジネス目線が求められる理由を解説しました。単に表面的な単語として「CISO」を使ってしまうと、よからぬ状況に陥る懸念があることを解説し、CISOにビジネス目線が求められる背景とビジネス目線の具体的なイメージを紹介してきました。
さて、我々が手掛けるセキュリティコンサルティングの対象となるクライアントの多くは、セキュリティ管理の統括・監督を担う部門です。そして、その相談の多くは、セキュリティ管理に関する現状のリスク・問題点とそれを改善するための施策提言、仕組み整備に関するものです。ただし、こうした相談は、セキュリティ管理上、1つの側面に過ぎません。なぜなら、仕組みは整備することがゴールではないからです。整備した仕組みには、それを利活用する主体が関わってきます。それはビジネス推進部門で、もう1つの側面となります。
今回は、近年、多くのクライアントから寄せられる相談でもある、セキュリティとビジネス推進部門の関係、及びそれに起因するビジネス推進部門のジレンマ、そしてそれを踏まえた上で、ビジネスに貢献するセキュリティの姿について解説していきます。
ビジネス推進部門の抱えるセキュリティ管理へのジレンマ
近年、セキュリティを語る上で登場するキーワードとして「攻め」「守り」があります。デジタル化、DX化に伴う大規模な組織・業務の変革は、売上向上・コスト低減に大きく寄与し、企業の成長につながるという意味で、文字通り「攻め」に位置付けられる風潮です。これまでにないトランスフォーメーション(変革)を伴う中、企業の風土・カルチャーを一新するほどのインパクトを伴うという点、さらには、イノベーションジレンマに陥ることなく、居心地の良いコンフォートゾーンから一歩踏み出すという点を加味しても、「攻め」という位置付けにふさわしいでしょう。
半面、セキュリティは「守り」に位置付けられます。前述した「攻め」の過程では、リスク環境の大きな変化も伴います。これまで保有していない新たな情報資産の管理、最新のテクノロジー・機器の導入、大規模な組織改編等、新たなセキュリティ脅威につながりうる状況が生じます。こうした状況に対して、タイムリーかつ的確な打ち手を講じ、リスク顕在化を予防する、または有事が発生した際に被害を最小化するという意味で、まさに「守り」の要(かなめ)と言えるでしょう。そして、セキュリティを統括・監督する部門は「守り」のためのリスク低減策の推進、及びそのための仕組みを整備すると共に、ビジネス推進部門は、その仕組みを有効活用することで、安全なビジネス推進を実現していきます。
この考え方は、一見、責任分界点がはっきりしていて理にかなっているようにも見えます。ただし、「攻め」「守り」を区分けした結果、双方の認識GAP・誤解の温床となり、有機的な連携が損なわれ、結果的に施策が有効に機能しなくなる危険も孕みます。以降は、その点に関して具体的な2つの事例を基に解説を進めましょう。
【事例1】 セキュリティリスク評価における「攻め」「守り」の誤解
セキュリティ施策の1つに「セキュリティリスク評価」があります。組織における各業務の局面・工程に応じて、リスク評価の対象プロセス・粒度・方法等は様々ですが、ここで解説したい論点は、以下の2つです。
論点1:評価の基となる業務の実態をどのように把握・可視化するか
論点2:その結果を受けて、誰がどのようにリスクの度合いを評価するか
さて、より重要となるのは、上記いずれの論点でしょうか。それは「論点1」です。なぜなら、そもそもの実態把握が不正確の場合、いかに評価者が優秀だったとしても、実態と乖離した評価結果に陥ってしまうからです。
では、実態把握はどのように行われるでしょうか。その手法としては、ビジネス推進部門の担当者へのヒアリング、問診票によるアンケート依頼、外部専門家による実態調査等がありますが、いずれの方法にも共通することは、セキュリティ管理・運用の実態に関する各種情報は、ビジネス推進部門から得る必要があるということです。つまりは、ビジネス推進部門から提示される情報の正当性・妥当性が、評価結果を大きく左右することとなります。
私自身、セキュリティリスク評価の支援に携わる際に誤解を受けることがあります。クライアントのビジネス推進部門へのヒアリングで訪問すると、「彼ら(専門家)に任せておけば、多少情報が足りなくても上手くやってくれるだろう」という誤解です。我々はあくまでも所与の情報を基に評価を行うことがミッションであり、そもそもの話として、情報が足りない・誤っている・古い等の状況下で正しく判断することは困難です。
そのため、ビジネス推進部門の皆様には、最初の1歩として、提示いただく情報の正当性・妥当性をコミットする意識をもっていただくことが重要です。そして、その際にノイズとなるのが「攻め」「守り」の区分けです。ビジネス推進部門の方々が「自分達は攻めであり、守りは任せた!」というマインド・姿勢の場合、上記のような状況に陥る可能性が高まります。ここで大事なのは、「攻め」は重要、ただし、守りも自身のミッションとして認識し、双方の視点でセキュリティ管理活動に関与することです。
図1:セキュリティリスク評価における「攻め」「守り」の誤解 
出所:グロービング株式会社 作成資料
【事例2】セキュリティ教育・啓発における「攻め」「守り」の誤解
続いて、「セキュリティ教育・啓発」を見てみましょう。以前の傾向としては、全社共通的な研修プログラムが1つあり、それを全従業員が年1~n回受講、という風潮が強かったです。その反面、近年は多くの企業が、職位別・部門別・テーマ別のように様々な視点からセキュリティ研修プログラムを用意し、継続的な受講を課している傾向です。それによって、セキュリティの重要性への理解は総じて高まっているかもしれません。ただし、セキュリティ教育で難しいのは、WHYとHOWの逆転です。つまり、受講すること自体(HOW)が目的(WHY)となってしまい、本来、自分ゴト化しなければいけない目的(WHY)、危機意識の醸成やルールの正しい理解が欠如してしまうことです。
実際にクライアントを支援する中、セキュリティ施策の運用に関係するビジネス推進部門の方から、次のような話を聞くことがあります。
「我々は“守り”ではなく、“攻め”であるビジネス推進の立ち位置なので詳しいことはわからない。とにかく、決められたカリキュラムを受講するというルールなので、そこに疑義を唱えず、スケジュールに沿って淡々と受講している。」
研修は一過性かつピンポイント開催になりがちで、どうしても“予定調和の儀式”として受け取られる傾向が強まります。こうした傾向には、受講依頼のリマインド周知、恒例行事としての運用管理等が拍車をかけている側面もあります。だからといって、こうした対応をしなくてよいかというと、そうはいきません。セキュリティ教育に関する各種企画を管理・運営する側としては、そもそもの第一歩として「受講済」というKPIを達成する必要があり、その向上のためには、こうした対応は欠かせません(自身の業務遂行責任として)。
ただし、度が過ぎてしまうと逆効果、つまりビジネス推進部門側の受身の姿勢が強くなってしまいます。セキュリティ統括・監督を担う部門が「守り」の中心としてモニタリングしてくれているという状況が、ビジネス推進部門において「守りは任せた!」というムードを助長する温床になる危険もあります。そのため、ここでも大事なのは、前述の事例と同様、「攻め」は重要、ただし、「守り」も自身のミッションとして認識し、双方の視点でセキュリティ管理活動に関わることです。
セキュリティはビジネスにとってのブレーキか?
上記2つの事例に共通することは、ビジネス推進部門にとってのセキュリティの位置付けに関して、誤解があるということです。これまで支援した多くのクライアントは、セキュリティを「ブレーキ」で比喩する傾向にありました。これには2つの意味があり、1つは文字通り「危険なシーンでストップをかけてくれる」という意味です。もう1つは、「ビジネスの足を引っ張りスピードダウンしてしまう」という意味です。後者の方ですが、これは近年減っています。以前は、ビジネスチャンスにも拘らず、法令遵守のためにストップがかかる、またはセキュリティリスクが高いから事前承認が必要となり、そのためにビジネスの機を逸した、という話を“悩み”として聞くシーンもありました。ただし、近年、セキュリティが世間で大きな課題として取り上げられる状況では、さすがにこうした話は減ってきています。
では、前者はどうでしょうか。「危険なシーンでストップをかけてくれる」という認識こそが、文字通り「危険な誤解」となります。前述した2つの事例に共通することは、ビジネス推進部門から見ると、セキュリティは「他人ゴト」ということです。セキュリティ統括・監督部門が管理をしてくれているから、自分達はその仕組みに乗っていればよい、そして、何かあればブレーキをかけてくれるから、自分達はアクセルを踏むことに注力すればよいという誤った認識を醸成しています。
ここまで抽象的な話で進んできたため、具体的な説明として、「自動車の運転・走行」に例えてみましょう。昨今の多くの自動車には、ADAS(先進運転支援システム)が実装されています。これは、自動車が周囲の情報を取得して警告を行い、運転を制御することで、安全な運転の維持を支援する機能の総称となります。運転者がブレーキを踏まなくても、自動的に危険な状態を察知しブレーキがかかる等の安全装置も充実しており、こうしてみると、危険なシーンで機械が自動でストップをかけてくれるという、大変便利な機能となります。
さて、この機能が絶対的に安全と言えるでしょうか。走行地域、カーブ・コーナーへの侵入速度、対向車の位置等によって、その装置が有効に機能しないシーンが生じる可能性もあります。つまり、安全装置に守られているから、何も臆せずにアクセルを踏むことに集中すればよい、という状況は極めて危険となります。
では、どうすればよいでしょうか。アクセルを踏むのは運転する自分の仕事、ただし、ブレーキを踏むのも自分の仕事、そして、何かあった時に補助的に発動し、走行の安全性を維持してくれるものがADAS機能というマインドチェンジが必要です。
それでは、これをセキュリティにあてはめてみましょう。アクセルを踏むのはビジネス推進部門です。売上を伸ばし、コストを抑えることで利益を創出し、経営に貢献します。ただし、同様にリスクにも敏感に反応すべきです。自分の身は自分で守るという意識が必要です。そして、万が一に備えての安全装置としてセキュリティ部門が整備した様々な仕組み、インフラさらにはルールが自分の身を守ってくれる、と考えるべきです。その思考の連携があってこそ、初めて有効なセキュリティ管理が実現されるでしょう。
図2:自動車の走行機能に例えた、セキュリティの「攻め」「守り」
出所:グロービング株式会社 作成資料[/caption]
ビジネス推進部門におけるセキュリティの存在
ビジネス推進部門にとって、セキュリティ管理は悩ましい存在かもしれません。ビジネスを成長させる必要がある、ただし、そのためには守るべきルールがあり、それを徹底しない限りはリスク回避のため事業活動にストップをかけざるを得ない、というジレンマです。
ただし、このジレンマは次のように考えるとシンプルではないでしょうか。ビジネスを推進する上では、売上とコストの関係があります。どんなに売上が高くても、コストがかかり過ぎたら収益が減ります。その結果、事業性が低くなり、企業の成長の妨げとなります。ただし、コストを投資としてみたらどうでしょう。一時的には利益が低なるかもしれませんが、将来的に大きなベネフィットが得られる見込みもあります。だからこそ今やるべきです。
セキュリティも同じです。ビジネスにとって単なるブレーキとしてみると、速度を落とすもの、ゴールへの到達時間を長くする温床と見られてしまいます。ただし、安全なビジネス推進を助けてくれるもの、確実にその場に到達するための大事な生命線と考えると、長い目で見て、ビジネス推進部門にとって、これほど頼もしい味方・仲間はないはずです。
ビジネス推進部門の方には、こうした意識を持っていただくことを期待します。
※本記事について、ご質問及びご相談がある方は、こちらまでご連絡ください