バックナンバーはこちらから。
仮想企業のセキュリティ対策のまとめ
仮想企業であるXYZ電子のDX推進にともなうセキュリティ課題に対して、ITセキュリティ部門がどのような支援ができるかの例を整理した(表1)。全部門共通の支援策として、各部門のビジネスに必要なセキュリティ知識を身に付ける(プラス・セキュリティ)ための教育プログラムを推進することが挙げられる。
即効性はないものの、各部門のビジネス責任に直接的に関わらない上に、ITセキュリティ部門と各部門が相互に学ぶことができるという点で、部門間の壁を低くする効果がある。また、DX推進によって生まれた各部門のセキュリティ課題に対して、責任主体は各部門でありながらも、ITセキュリティ部門がもつ知識・経験を生かして取組をサポートすることで、課題解決へと導くことができる。
実際に、ITセキュリティ部門がこのような支援を他部門に対して進める上での課題はなんだろうか。もちろん一番の課題は、自身の管理対象である「IT」のセキュリティ管理で手一杯だという事実である。しかし、根深い問題として大きいのは、部門間での干渉を良しとしない「企業文化・風土」である。これはセキュリティに限らず、DX推進そのものの障害ともなっている。
社内のスローガンでは、「社員が助け合って」と謳っているものの、実際は、助けた側に負荷が集中した上、自部門のビジネス貢献に対する評価につながらないため、そういう動きができる人は「淘汰」されてしまうことが多い。したがって、ITセキュリティ部門が他部門を支援しても、それが正しく評価されない場合には長続きしないのだ。
ITセキュリティ部門が他部門を支援することが適切に評価されるためには、まず、各部門のセキュリティ管理が重要であることを「経営理念・目標の実現」に紐づけて、経営層に理解してもらうことだ。経営理念・目標が、完成したジグソーパズルであり、各部門のビジネス目標はそのピースだと考えると、そのピースはパズルの完成につながるものでなければならない。DXがうまくいかない企業は、各部門のビジネス目標が個別最適化されているため、他部門とのピースの整合性が取れずパズルが完成しないのだ。当然、「セキュリティ」のように直接部門のビジネス目標につながらないものは軽視されてしまう。
XYZ電子の例でいえば、「独自の技術を生かしたものづくりで社会を豊かにする」という経営理念を実現しつつ、売上・営業利益率の経営目標を達成することがパズルの完成図である。しかし、ピースである各部門のセキュリティ管理を放置した場合、仮に、製品・サービスのセキュリティ事故が起これば、社会を豊かにするどころか迷惑をかけるし、工場がサイバー攻撃で停止すれば、売上・営業利益率の目標に達しないという潜在的なリスクを抱えることになる。こうした説明を経営層に行うことで、「経営層の指示」という錦の御旗を手に入れることができれば、ITセキュリティ部門が他部門を支援する上で、サイロ化した企業文化・風土による障害を軽減できる。
