多くの企業にとって、人材不足は共通した課題です。その中でも、セキュリティのような専門分野では、適任者がいないのを前提に考えることも必要です。特に中小企業では、取引先からのセキュリティ要求が高まる一方、人手が足りない社内での対応はきわめて難しいはずです。
本コラムでは、セキュリティに関わる社内人材の要否も含め、計4回にわたり中小企業におけるセキュリティ体制を考察します。
セキュリティ管理者の役割
「セキュリティ管理者って何をする人?」 セキュリティ管理者の役割とは何でしょう。セキュリティ技術に詳しく、対策製品をインストールして動かしたりするのは、きっとセキュリティ担当者ですよね・・・。だとすると、そうしたメンバーを取りまとめるのが、セキュリティ管理者のイメージに近いかもしれません。
また、中小企業では、担当者=管理者でもセキュリティ対策の実施に困らない気がします。お飾りのように、セキュリティの体制上で誰が管理者になるのか(どこかの部署の課長など)、決めておくだけでもいいのかもしれません。
もちろん、ここでお伝えしたいのは、そんなことではありません。実は近年、デジタル化の推進が叫ばれる中、セキュリティ管理者の重要性がより高まっているのです。
セキュリティ戦略とは
セキュリティ対策の推進というと、世の中のセキュリティ動向などを調べ、推奨されるベストプラクティス(これさえ実施しておけばOK?)を導入する。そういった、場当たり的な取り組みが多かったと思われます。
とりあえず予算が確保できれば、その範囲で実施可能な対策を進めていく。そうすると、対策を導入するのが達成目的(ゴール)になったりします。あくまでも、セキュリティ対策は手段ですから、それを取り違えると(手段が目的化すると)、的外れで不要な対策になることも考えられます。
そもそも対策が必要なのは、低減すべきリスクがあるからです。リスクがなければ対策の必要性はありません。セキュリティリスクというと、マルウェア感染や不正アクセスなど、どうしても個々の技術的な脅威ばかりが注目されます。しかしながら、そうしたミクロの狭い視点だけではなく、マクロの大きな視点でリスクを考えることが、とても重要なのです。
企業を取り巻くリスクで最上位(ピラミッドの頂点)になるのは経営リスクです。そこから、個々のリスクへ階層化できます。企業の経営にインパクトを与えるマクロの視点から、セキュリティリスクを考えるとどうでしょう?
企業の競争力を高めるためには、IT技術の活用は欠かせません。社内ネットワークからのアクセスに限定していた情報を、今ではクラウドサービスを使って出張先やテレワークで利用しています。また、ビジネスのスピードを高めるため、外部の取引先との情報共有を進めるなど、時代は大きく変わっています。
そうした情報の利活用を、より安全に守るのがセキュリティの役割です。セキュリティには、情報の取り扱いを制限するといった側面が確かにあります。しかしながら、そうした強化ばかりでは、ビジネスの競争力を失いかねません。
ビジネスの成長を守るために、経営に役立つセキュリティを考えるのが「セキュリティ戦略」なのです。
経営とセキュリティの橋渡し
セキュリティ戦略の重要性は理解できたとして、はたしてそれを誰が考えるのでしょう? 経営幹部は、ビジネス面から物ごとを考えるのが役割です。中小企業では、社長のトップダウンで経営戦略から販売戦略、製品戦略など、さまざまな取り組みを推進していきます。ただし、社長がセキュリティ戦略まで考えるのは、無理難題のはずです。情報システム部長や技術部長といった管理職がいれば、権限委譲というより権限移転のように、役割を丸投げする感も否定できません。
大手企業では、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)と呼ばれる役員がいて、セキュリティ戦略への役割・責任を負っています。もちろん、中小企業でそのような役員がいるわけではありません。
はたして中小企業のセキュリティ戦略は、どのように取り組めばいいのでしょう?
ひとつの答えとして、経営とセキュリティを橋渡しする人材が存在し、社長に寄り添いながら、セキュリティ戦略の立案を支援する体制です。その役割がセキュリティ管理者に期待されるのです。もちろん、「そんな人材いるわけない!」という声は、十分承知の上で説明を続けます。
おそらく、セキュリティ技術に明るい人材なら、社内でなんとか見つかるのではないでしょうか(簡単ではないと思いますが・・・)。そうした従業員が、従来イメージのセキュリティ管理者(セキュリティ担当者の取りまとめ)になることも可能かもしれません。しかしながら、社長にセキュリティを助言するのは、かなりハードルが高い気がします。
そこで今回、皆さんにお願いしたいのが、頭ごなしに無理だと決めつけないでほしいのです。というのが、私の周りでは、次のような人材が少なからずいますし、何より私自身がそうだったからです。
たとえば、技術を専門にしてきた人材ほど、経営といった領域でのあやふやさに疑問を抱くと思います。「なんで会社は、あんないい加減なことばかり進めるのか?」「もっと論理的に物ごとが進められるのでないだろうか?」
私も一定の年齢(40代)に達したとき、そのようなことをよく考えていました。そして、経営とはいったいどのようなことなのか、今まで技術を学んだように(経営学を)勉強してみました。そうすると、学問としての歴史が(経済学等と比較して)まだ浅いことからか、新たな発見(目からウロコ)がたくさんありました。もう、どっぷりその世界にハマってしまい、経営コンサルタントとしての唯一の国家資格である「中小企業診断士」を取得するまでになったのです。
組織の風通しがよく、業務を柔軟にこなせる中小企業だからこそ、社長に寄り添うセキュリティ管理者(経営に興味を抱く技術者)が育つ可能性(環境)はあるはずです。
切っても切れない情シスとの関係
情報セキュリティと情報システムは、切っても切れない関係です。情報システムの新規導入や更新に伴い、セキュリティ対策と合わせた検討が必要です。情報システムの管理者が、セキュリティ管理者になることが多いのも事実です。本来、それぞれの業務の利害が一致しないこともあるため(内部不正が起こらないよう)、職務を分離(別々の要員が対応)するのが望ましいでしょう。しかし、中小企業にとって、そんな理想的な体制など取れません。
また、ミクロの視点ばかりでセキュリティ対策を考えると、システムの機能に制限が生じたり、利便性が低下したり、コスト高になったりするため、セキュリティが行く手を阻むブレーキのようになります。そうではなく、よりマクロの視点で考えれば、最善な対策を見つけやすくなります。
会社の経営リスクから俯瞰して考えると、全体のバランスを取る(全体最適する)ことが可能です。マクロとミクロの両視点を持てば、リスクをより適切に理解することができます。やや過剰なセキュリティ対策を見直したり、あまり利便性を落とさずに運用面で工夫したり、大局的にいろいろ検討できるはずです。
そのためにも、システムやセキュリティの技術に詳しい方々にこそ、(騙されたと思って)経営学に触れていただきたいと思っています。
次回は
つづく第3回は、セキュリティ担当者の役割です。中小企業では、本業が忙しい中で、片手間のようにセキュリティに関わる担当者も多いと思います。そうした限られた要員による対応の難しさを考察し、最終回のセキュリティ人材の要否論へとつなげていきます。