多くの企業にとって、人材不足は共通した課題です。その中でも、セキュリティのような専門分野では、適任者がいないのを前提に考えることも必要です。特に中小企業では、取引先からのセキュリティ要求が高まる一方、人手が足りない社内での対応はきわめて難しいはずです。
本コラムでは、セキュリティに関わる社内人材の要否も含め、計4回にわたり中小企業におけるセキュリティ体制を考察します。
セキュリティ管理者の役割
「セキュリティ管理者って何をする人?」 セキュリティ管理者の役割とは何でしょう。セキュリティ技術に詳しく、対策製品をインストールして動かしたりするのは、きっとセキュリティ担当者ですよね・・・。だとすると、そうしたメンバーを取りまとめるのが、セキュリティ管理者のイメージに近いかもしれません。
また、中小企業では、担当者=管理者でもセキュリティ対策の実施に困らない気がします。お飾りのように、セキュリティの体制上で誰が管理者になるのか(どこかの部署の課長など)、決めておくだけでもいいのかもしれません。
もちろん、ここでお伝えしたいのは、そんなことではありません。実は近年、デジタル化の推進が叫ばれる中、セキュリティ管理者の重要性がより高まっているのです。
セキュリティ戦略とは
セキュリティ対策の推進というと、世の中のセキュリティ動向などを調べ、推奨されるベストプラクティス(これさえ実施しておけばOK?)を導入する。そういった、場当たり的な取り組みが多かったと思われます。
とりあえず予算が確保できれば、その範囲で実施可能な対策を進めていく。そうすると、対策を導入するのが達成目的(ゴール)になったりします。あくまでも、セキュリティ対策は手段ですから、それを取り違えると(手段が目的化すると)、的外れで不要な対策になることも考えられます。
そもそも対策が必要なのは、低減すべきリスクがあるからです。リスクがなければ対策の必要性はありません。セキュリティリスクというと、マルウェア感染や不正アクセスなど、どうしても個々の技術的な脅威ばかりが注目されます。しかしながら、そうしたミクロの狭い視点だけではなく、マクロの大きな視点でリスクを考えることが、とても重要なのです。
企業を取り巻くリスクで最上位(ピラミッドの頂点)になるのは経営リスクです。そこから、個々のリスクへ階層化できます。企業の経営にインパクトを与えるマクロの視点から、セキュリティリスクを考えるとどうでしょう?
企業の競争力を高めるためには、IT技術の活用は欠かせません。社内ネットワークからのアクセスに限定していた情報を、今ではクラウドサービスを使って出張先やテレワークで利用しています。また、ビジネスのスピードを高めるため、外部の取引先との情報共有を進めるなど、時代は大きく変わっています。
そうした情報の利活用を、より安全に守るのがセキュリティの役割です。セキュリティには、情報の取り扱いを制限するといった側面が確かにあります。しかしながら、そうした強化ばかりでは、ビジネスの競争力を失いかねません。
ビジネスの成長を守るために、経営に役立つセキュリティを考えるのが「セキュリティ戦略」なのです。
経営とセキュリティの橋渡し
セキュリティ戦略の重要性は理解できたとして、はたしてそれを誰が考えるのでしょう? 経営幹部は、ビジネス面から物ごとを考えるのが役割です。中小企業では、社長のトップダウンで経営戦略から販売戦略、製品戦略など、さまざまな取り組みを推進していきます。ただし、社長がセキュリティ戦略まで考えるのは、無理難題のはずです。情報システム部長や技術部長といった管理職がいれば、権限委譲というより権限移転のように、役割を丸投げする感も否定できません。
大手企業では、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)と呼ばれる役員がいて、セキュリティ戦略への役割・責任を負っています。もちろん、中小企業でそのような役員がいるわけではありません。
はたして中小企業のセキュリティ戦略は、どのように取り組めばいいのでしょう?
ひとつの答えとして、経営とセキュリティを橋渡しする人材が存在し、社長に寄り添いながら、セキュリティ戦略の立案を支援する体制です。その役割がセキュリティ管理者に期待されるのです。もちろん、「そんな人材いるわけない!」という声は、十分承知の上で説明を続けます。
おそらく、セキュリティ技術に明るい人材なら、社内でなんとか見つかるのではないでしょうか(簡単ではないと思いますが・・・)。そうした従業員が、従来イメージのセキュリティ管理者(セキュリティ担当者の取りまとめ)になることも可能かもしれません。しかしながら、社長にセキュリティを助言するのは、かなりハードルが高い気がします。
そこで今回、皆さんにお願いしたいのが、頭ごなしに無理だと決めつけないでほしいのです。というのが、私の周りでは、次のような人材が少なからずいますし、何より私自身がそうだったからです。
たとえば、技術を専門にしてきた人材ほど、経営といった領域でのあやふやさに疑問を抱くと思います。「なんで会社は、あんないい加減なことばかり進めるのか?」「もっと論理的に物ごとが進められるのでないだろうか?」
私も一定の年齢(40代)に達したとき、そのようなことをよく考えていました。そして、経営とはいったいどのようなことなのか、今まで技術を学んだように(経営学を)勉強してみました。そうすると、学問としての歴史が(経済学等と比較して)まだ浅いことからか、新たな発見(目からウロコ)がたくさんありました。もう、どっぷりその世界にハマってしまい、経営コンサルタントとしての唯一の国家資格である「中小企業診断士」を取得するまでになったのです。
組織の風通しがよく、業務を柔軟にこなせる中小企業だからこそ、社長に寄り添うセキュリティ管理者(経営に興味を抱く技術者)が育つ可能性(環境)はあるはずです。
切っても切れない情シスとの関係
情報セキュリティと情報システムは、切っても切れない関係です。情報システムの新規導入や更新に伴い、セキュリティ対策と合わせた検討が必要です。情報システムの管理者が、セキュリティ管理者になることが多いのも事実です。本来、それぞれの業務の利害が一致しないこともあるため(内部不正が起こらないよう)、職務を分離(別々の要員が対応)するのが望ましいでしょう。しかし、中小企業にとって、そんな理想的な体制など取れません。
また、ミクロの視点ばかりでセキュリティ対策を考えると、システムの機能に制限が生じたり、利便性が低下したり、コスト高になったりするため、セキュリティが行く手を阻むブレーキのようになります。そうではなく、よりマクロの視点で考えれば、最善な対策を見つけやすくなります。
会社の経営リスクから俯瞰して考えると、全体のバランスを取る(全体最適する)ことが可能です。マクロとミクロの両視点を持てば、リスクをより適切に理解することができます。やや過剰なセキュリティ対策を見直したり、あまり利便性を落とさずに運用面で工夫したり、大局的にいろいろ検討できるはずです。
そのためにも、システムやセキュリティの技術に詳しい方々にこそ、(騙されたと思って)経営学に触れていただきたいと思っています。
次回は
つづく第3回は、セキュリティ担当者の役割です。中小企業では、本業が忙しい中で、片手間のようにセキュリティに関わる担当者も多いと思います。そうした限られた要員による対応の難しさを考察し、最終回のセキュリティ人材の要否論へとつなげていきます。
配布資料-150x150.jpg)
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/3836d3bb.1376502e.3836d3bc.c353e400/?me_id=1213310&item_id=20737759&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F8206%2F9784798068206_1_3.jpg%3F_ex%3D128x128&s=128x128&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/3836d3bb.1376502e.3836d3bc.c353e400/?me_id=1213310&item_id=20498428&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F1227%2F9784798171227_1_26.jpg%3F_ex%3D128x128&s=128x128&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
