SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

いまこそ変わるITセキュリティ部門

DX推進と表裏一体で増すリスク 当事者意識をもって解決に導けるのはITセキュリティ部門のみ

 ITセキュリティ部門は、今後どのように変化していくべきかをテーマにした本連載。ここまでの3回は、DX推進によって拡大したセキュリティ対象範囲である「OT(Operational Technology/運用制御技術)」、「製品・サービス」、「サプライチェーン上流」、「サプライチェーン下流」のセキュリティ課題に対して、ITセキュリティ部門がどのように支援すれば良いのかを、仮想企業の例を用いて一通り説明した。連載の最終回である今回は、これまで説明してきた仮想企業における対策のまとめと、中長期的な視点での仮想企業の組織・運用・技術の理想的なセキュリティ管理の在り方について説明する。

バックナンバーはこちらから

仮想企業のセキュリティ対策のまとめ 

 仮想企業であるXYZ電子のDX推進にともなうセキュリティ課題に対して、ITセキュリティ部門がどのような支援ができるかの例を整理した(表1)。全部門共通の支援策として、各部門のビジネスに必要なセキュリティ知識を身に付ける(プラス・セキュリティ)ための教育プログラムを推進することが挙げられる。

 即効性はないものの、各部門のビジネス責任に直接的に関わらない上に、ITセキュリティ部門と各部門が相互に学ぶことができるという点で、部門間の壁を低くする効果がある。また、DX推進によって生まれた各部門のセキュリティ課題に対して、責任主体は各部門でありながらも、ITセキュリティ部門がもつ知識・経験を生かして取組をサポートすることで、課題解決へと導くことができる。

表1:XYZ電子の拡大したセキュリティ管理対象に対するITセキュリティ部門の支援例 (出典:マカフィー)
表1:XYZ電子の拡大したセキュリティ管理対象に対するITセキュリティ部門の支援例(出典:マカフィー)

 参考リンク:第3回第5回第6回第7回

 実際に、ITセキュリティ部門がこのような支援を他部門に対して進める上での課題はなんだろうか。もちろん一番の課題は、自身の管理対象である「IT」のセキュリティ管理で手一杯だという事実である。しかし、根深い問題として大きいのは、部門間での干渉を良しとしない「企業文化・風土」である。これはセキュリティに限らず、DX推進そのものの障害ともなっている。

 社内のスローガンでは、「社員が助け合って」と謳っているものの、実際は、助けた側に負荷が集中した上、自部門のビジネス貢献に対する評価につながらないため、そういう動きができる人は「淘汰」されてしまうことが多い。したがって、ITセキュリティ部門が他部門を支援しても、それが正しく評価されない場合には長続きしないのだ。

 ITセキュリティ部門が他部門を支援することが適切に評価されるためには、まず、各部門のセキュリティ管理が重要であることを「経営理念・目標の実現」に紐づけて、経営層に理解してもらうことだ。経営理念・目標が、完成したジグソーパズルであり、各部門のビジネス目標はそのピースだと考えると、そのピースはパズルの完成につながるものでなければならない。DXがうまくいかない企業は、各部門のビジネス目標が個別最適化されているため、他部門とのピースの整合性が取れずパズルが完成しないのだ。当然、「セキュリティ」のように直接部門のビジネス目標につながらないものは軽視されてしまう。

 XYZ電子の例でいえば、「独自の技術を生かしたものづくりで社会を豊かにする」という経営理念を実現しつつ、売上・営業利益率の経営目標を達成することがパズルの完成図である。しかし、ピースである各部門のセキュリティ管理を放置した場合、仮に、製品・サービスのセキュリティ事故が起これば、社会を豊かにするどころか迷惑をかけるし、工場がサイバー攻撃で停止すれば、売上・営業利益率の目標に達しないという潜在的なリスクを抱えることになる。こうした説明を経営層に行うことで、「経営層の指示」という錦の御旗を手に入れることができれば、ITセキュリティ部門が他部門を支援する上で、サイロ化した企業文化・風土による障害を軽減できる。

次のページ
組織面の理想像

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
いまこそ変わるITセキュリティ部門連載記事一覧

もっと読む

この記事の著者

佐々木 弘志(ササキ ヒロシ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/13688 2020/12/15 09:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング