サイバーセキュリティ 審美眼

第7回:セキュリティの3線防御、「鍵」となる”1.5″線とは?

セキュリティ管理における1.5線も同様です。その役割をどこに置くかという難しい論点はあるにしろ、大事なのは、“つなぐ”こと、そして“活性化”を促すことです。

背景

 前回の記事では「サイバーセキュリティ」「情報セキュリティ」という基本的な用語、ただし奥の深いその関係性を解説しました。そして、両セキュリティそれぞれの意義を理解し、必要となる対策を企画し、実行に移すことが重要であることを、事例も交えて紹介しました。とはいえ、もはや、何が起こるか読み切れない近年のセキュリティ脅威の渦中、本質的に大切なことは、言葉の定義に囚われ過ぎず、インシデントが起こる前提で構えること、つまり、基本方針として“レジリエント”な管理態勢を整備することの必要性を説いてきました。
 さて、今回は、日常業務の遂行中は意識する機会が少ない以下のテーマを扱っていきます。

スリーラインディフェンス(3線防御)

 セキュリティ管理だけでなく、リスク管理・ガバナンスという、より上位の経営管理における主要テーマとしても登場するこのキーワードを基に、昨今のセキュリティ管理の現場において、スリーラインディフェンスがどう活躍しているかを紹介していきます。
 まずは、スリーラインディフェンスとは何かについて解説しましょう。

スリーラインディフェンスとは

 企業経営におけるスリーラインディフェンスは、リスク管理やガバナンスの管理体制を構成する際の考え方で、特にリスクの識別、評価、管理段階において、3つの防御層を構築し、内部統制を確保するために活用されるフレームワークです。
 スリーラインディフェンスは、多くの業界で広く採用されているベストプラクティスでもあります。特に、金融業界においては、2000年代初頭の金融危機を受けてリスク管理の枠組みの重要性が再認識され、企業はより堅牢なリスク管理体制を構築する必要性に迫られました。そして、その後、企業が適切にリスクを識別し、対処するための汎用的なフレームワークとして、徐々に他の業界にも適用されるようになった経緯があります。
 このように、今となっては、スリーラインディフェンスは、企業のリスク管理において欠かせない考え方となっており、その導入により、業務の安定性・透明性が向上することが期待されています。そして、このディフェンスは、以下の3つのラインから構成されています:

第1線(Operational Management):
各部門やチームがリスクを特定し、管理する役割。業務の実行に直接関与し、リスクに対処する責任を持つ

第2線(Risk Management and Compliance Functions):
リスク・コンプライアンスに関連する諸部門が、ルールやプロセスを整備し、第1線をサポートする役割。リスク管理の枠組みを体系的に整備する

第3線(Internal Audit):
内部監査部門が、全体のリスク管理体制を評価し、効果的に機能しているかをチェックする役割。独立した視点から評価し、改善点を指摘する

 上記3つの防御線で実現することは、リスクの包括的管理、つまり、多層的なアプローチによって、リスクが発生する前に予防措置を講じることです。そして、各ラインの役割を明確にし、各組織の責任の所在を明確にすると共に、各ラインが協力し合いながらリスク管理を行い、情報の透明性向上、さらには、経営判断の質を高めます。特定の部門がリスク管理全体をグリップするのでなく、“餅は餅屋”として、それぞれの層の役割を果たすと共に、お互いが有機的に連携、及び場合によっては牽制し合うことで、リスク管理の客観的な質が向上することを目指していきます。

図1:スリーラインディフェンス(3線防御)の枠組み

図1:スリーラインディフェンス(3線防御)の枠組み

出所:グロービング株式会社 作成資料

2線におけるセキュリティ統括の役割とは

 では、次にセキュリティ管理に主眼を置いた上で、スリーラインディフェンスにおけるコアとなる2線としての役割及び1線、3線との関係を見みましょう。
 まず、2線における最も大事な役割は土台となる仕組み作りです。その中でも特に重要となるのがルール整備です。セキュリティ管理の仕組みを実現する上で、このルールが「御旗」として存在した上で、その運用遂行のために、体制・プロセス・インフラを整備することになります。そういう意味でも、ルール整備は重要であり、ルールがあるからこそ、2線としてのセキュリティ管理を担う部門は、“旗振り”を担えることになります。
 そして、もう1つの重要な役割は、1線に対するサポートとしての“監督”です。定期的に1線の各部門の管理状況が順調・適正に進んでいるかを評価し、その結果に基づいて助言・指導等を行うことで、あるべき姿に向かうようにリードします。また、日常的な業務の過程で生じる1線内における懸念・悩み等、こうした足元の課題について適宜サポートすることも2線としての大事な役割です。
 さらに、こうした2線としての役割を適切に推進できているか、3線に位置する監査部門が独立的な立場でチェックすることで、包括的なセキュリティ管理の仕組みが継続維持できることになります。
 このように説明すると、「鍵」となるのは、2線と1線が如何に円滑に連携できているかにも見えます。その点については、まさしくその通りであり、本記事での解説の焦点もこの部分になるわけですが・・実は、2線自体の中にも色々と課題が存在するため(苦笑)、本題に入る前に、ちょっと寄り道して紹介しておきたいと思います。

実は色々とややこしい2線内の交通整理

 前述した通り、2線の機能は、「リスク・コンプライアンスに関連する諸部門が、ルールやプロセスを整備し、第1線をサポートする役割。リスク管理の枠組みを体系的に整備する」ですが、実はこの“諸部門”に関して難しい課題が存在します。端的に言うと「棲分け」です。2線内には、リスク・コンプライアンスに関連する様々な“諸部門”が存在しますが、セキュリティ管理部門との関係として、2つの円が交わる弁図のような関係になる傾向にあります。そして、その交わる共通部分こそが、部門間で盲点となりやすい、または、認識GAPが生じやすい機能・役割となります。例えば、以下のような部門及び機能・役割が該当します。

  • 品質管理部門
     ⇒品質点検時のセキュリティ評価
  • 調達部門
     ⇒委託先・取引先に対するセキュリティ管理状況の点検
  • 監査部門
     ⇒ソフトウェア利用におけるライセンス監査
  • 渉外部門
     ⇒監督官庁・外郭団体対応
  • 法務部門
     ⇒各国審査機関との連携・対応
  • リスク管理
     ⇒包括的な企業リスク管理、及び経営危機対応

 上記の詳細を解説すると数回分の記事のボリュームとなってしまうため(苦笑)、これ以上の詳細解説は割愛しますが、ここでは、2線内の“諸部門”間において「棲分け」が不明瞭になりやすい活動が存在することをご理解ください。そして、これ以上の解説は今回お伝えしたいテーマとは少々逸れてしまうので、紹介程度に留めておきます。
 それでは、以降のセクションから、続けての本題に移りましょう。

2線と1線の有機的な関係の実現
-「鍵」となるのは“1.5”線 -

 1線に対する2線の役割は、前述した通りです(以下、引用)

「そして、もう1つの重要な役割は、1線に対するサポートとしての“監督”です。定期的に1線の各部門の管理状況が順調・適正に進んでいるかを評価し、その結果に基づいて助言・指導等を行うことで、あるべき姿に向かうようにリードします。また、日常的な業務の過程で生じる1線内における懸念・悩み等、こうした足元の課題について適宜サポートすることも2線としての大事な役割です。」

 さて、実はこれが現実的には非常に難しい課題でもあります。なぜなら、2線の負荷が極めて高くなり、運用が回らなくなってしまうためです。1線のサポートと言っても、1線の部門数、つまりはビジネスやDX推進に関わる部門の数は多岐に渡り、これらの部門を全て2線としてのセキュリティ部門がケアするのは困難のはずです。なぜなら、これらの部門内にはセキュリティに関する高い専門性を持つ人材が不足する傾向にあるからです。
 実はこの点がポイントとなります。別の言い方をすると、1線のビジネス及びセキュリティ業務の双方に土地勘を持つ人材が存在し、その人材が2線であるセキュリティ部門との“つなぎ”として機能することで、2線が定めるルールや各種施策を円滑に1線に落とし込むことができるようになるわけです。つまりは、

「2線と1線の間で上手く機能する“1.5線”の役割を担うセクション」

 これこそが、スリーラインディフェンスにおいて2線と1線の間を有機的に機能する“つなぎ”として重要な役割になるわけです。ただし、ここで大事な論点が1つあります。それは、

「そもそも“つなぎ”は、必ずしも1線内に置かなくてもいいのでは?」

 こう考えた方は、とてもセンスの良い方ですね(笑)。1.5線については、必ずしも1線内に置く必要はありません。2線内に設置する、または、ビジネス部門とセキュリティ部門で構成されるセキュリティ部会のようなものを構成し、定期的にその場で議論を行う等、様々な形態が考えられます。この形態は、それぞれメリットとデメリットがありますが、そちらは、以下の図2を参照してみてください。何を目的とする1.5線セクションなのかによっても、その在り方は変わってきますが、大事なのは、自身の組織にあてはめて、どんな機能・役割がネックとなり1線・2線間の有機的な連携が阻害されるのかを見極めた上で、1.5線としてのセクションを設置することです。

図2:1.5線の置き方に関するパターン紹介

図2:1.5線の置き方に関するパターン紹介

出所:グロービング株式会社 作成資料

 とはいえ、セキュリティ管理の成熟度の高い先進的な金融機関を見ると、1線内に1.5線としての役割を担うケースが散見されます。個人的には、やはりこれがあるべき方向性、とも持論として考えています。ここで、1.5線としてのケイパビリティ強化として、2つの選択肢を問いかけます。1つ目は、事業・ビジネスの内容に精通した上で、セキュリティの勘所・大枠を理解することです。2つ目は、セキュリティの高度な知識・技術に精通した上で、事業・ビジネスの勘所・大枠を理解することです。
 さて、この2つの選択肢を見て、セキュリティ施策を現場の実行レベルに落とし込みやすいのはどちらでしょうか。傾向的には、前者の方と考えられます。理由は、現場感覚を理解している方が、より施策を実行レベルに落とし込みやすいからです。何よりも、2つ目の場合は、結果的に2線としてのセキュリティ統括を担う部門との役割の類似性も高まるため、2線の負荷(というよりも苦労)が減らないという実情もあります。こうした実情も鑑みながらも、最終的に自組織に合った1.5線の在り方を検討することが必要です。

1.5線の抱える悩ましい課題

 さて、最後に、1.5線の抱える傾向にある、その他悩ましい課題も紹介しましょう。例えば、以下の図3のような課題が想定されます。

図3: 1.5線が抱える悩ましい課題

図3: 1.5線が抱える悩ましい課題

出所:グロービング株式会社 作成資料

 特にこの中で、ネックになる課題は、役割2に関するものです。図で説明している通り、リスク評価の作業は地味に工数が必要です。セキュリティ経験の豊富な人材だとしても、膨大な数に及ぶ評価項目1つ1つに対して、自部門の見解を整理していく作業には骨を折ります。また、セキュリティに関する主要法令・規格等が変更になる都度、この手の評価項目は改定され、結果として項目数も増える方向が強く、1.5線の負荷も増えることになります。
 こうした課題を解決するためにも、2線と1.5線が協力した上で、セキュリティ評価活動そのものを効率化する推進方法、かつ、それを長期的に継続するためのプラットフォーム基盤を整備する等、人手による負荷を少しでも減らす検討が重要です。例えば、生成AIを活用して、1次評価結果のドラフト版を迅速に作成することで、1.5線部門の担当者は、それをレビュー・最終化することに工数を割くことができるようになります。こうした仕組みの整備によって、これまでネックとなっていた1.5線の業務の在り方も大きく変わり、より実効性の高い運用が実現されるはずです。

 それでは、最後のまとめです。1.5線のような役割は、様々なシーンに登場します。極論、企業活動の内部だけに留まりません。例えば、スポーツのサッカーを見てみましょう。ボランチというポジションは中盤とディフェンスラインを“つなぐ”大事な役割です。その重要性からダブルボランチの体制を敷くチームも存在するほどです。さらには、1.5列目というポジションも存在します。FWを1列目、MFを2列目とした場合の中間に位置し、フォワードの周辺やバイタルエリアを流動的に動き回りチャンスメイクをする、またはスペースを見つけては2列目からの飛出しや、ルーズボールの回収等、攻撃を“活性化”させます。
 セキュリティ管理における1.5線も同様です。その役割をどこに置くかという難しい論点はあるにしろ、大事なのは、“つなぐ”こと、そして“活性化”を促すことです。既存の組織・体制に大きくメスを入れる改革も大きな効果があるでしょう。ただし、それに至らずとも、小さなポジションの追加・変更でも、十分に全体を有機的に機能しうる効果が得られることも念頭に置いた上で、今回の記事が、1.5線と向き合っていただく機会になれば幸いです。

関連記事

TOP