ITセキュリティ部門は、今後どのように変化していくべきかをテーマにした本連載。ここまでの3回は、DX推進によって拡大したセキュリティ対象範囲である「OT(Operational Technology/運用制御技術)」、「製品・サービス」、「サプライチェーン上流」、「サプライチェーン下流」のセキュリティ課題に対して、ITセキュリティ部門がどのように支援すれば良いのかを、仮想企業の例を用いて一通り説明した。連載の最終回である今回は、これまで説明してきた仮想企業における対策のまとめと、中長期的な視点での仮想企業の組織・運用・技術の理想的なセキュリティ管理の在り方について説明する。
バックナンバーはこちらから。
仮想企業のセキュリティ対策のまとめ
仮想企業であるXYZ電子のDX推進にともなうセキュリティ課題に対して、ITセキュリティ部門がどのような支援ができるかの例を整理した(表1)。全部門共通の支援策として、各部門のビジネスに必要なセキュリティ知識を身に付ける(プラス・セキュリティ)ための教育プログラムを推進することが挙げられる。
即効性はないものの、各部門のビジネス責任に直接的に関わらない上に、ITセキュリティ部門と各部門が相互に学ぶことができるという点で、部門間の壁を低くする効果がある。また、DX推進によって生まれた各部門のセキュリティ課題に対して、責任主体は各部門でありながらも、ITセキュリティ部門がもつ知識・経験を生かして取組をサポートすることで、課題解決へと導くことができる。
実際に、ITセキュリティ部門がこのような支援を他部門に対して進める上での課題はなんだろうか。もちろん一番の課題は、自身の管理対象である「IT」のセキュリティ管理で手一杯だという事実である。しかし、根深い問題として大きいのは、部門間での干渉を良しとしない「企業文化・風土」である。これはセキュリティに限らず、DX推進そのものの障害ともなっている。
社内のスローガンでは、「社員が助け合って」と謳っているものの、実際は、助けた側に負荷が集中した上、自部門のビジネス貢献に対する評価につながらないため、そういう動きができる人は「淘汰」されてしまうことが多い。したがって、ITセキュリティ部門が他部門を支援しても、それが正しく評価されない場合には長続きしないのだ。
ITセキュリティ部門が他部門を支援することが適切に評価されるためには、まず、各部門のセキュリティ管理が重要であることを「経営理念・目標の実現」に紐づけて、経営層に理解してもらうことだ。経営理念・目標が、完成したジグソーパズルであり、各部門のビジネス目標はそのピースだと考えると、そのピースはパズルの完成につながるものでなければならない。DXがうまくいかない企業は、各部門のビジネス目標が個別最適化されているため、他部門とのピースの整合性が取れずパズルが完成しないのだ。当然、「セキュリティ」のように直接部門のビジネス目標につながらないものは軽視されてしまう。
XYZ電子の例でいえば、「独自の技術を生かしたものづくりで社会を豊かにする」という経営理念を実現しつつ、売上・営業利益率の経営目標を達成することがパズルの完成図である。しかし、ピースである各部門のセキュリティ管理を放置した場合、仮に、製品・サービスのセキュリティ事故が起これば、社会を豊かにするどころか迷惑をかけるし、工場がサイバー攻撃で停止すれば、売上・営業利益率の目標に達しないという潜在的なリスクを抱えることになる。こうした説明を経営層に行うことで、「経営層の指示」という錦の御旗を手に入れることができれば、ITセキュリティ部門が他部門を支援する上で、サイロ化した企業文化・風土による障害を軽減できる。
この記事は参考になりましたか?
- いまこそ変わるITセキュリティ部門連載記事一覧
-
- DX推進と表裏一体で増すリスク 当事者意識をもって解決に導けるのはITセキュリティ部門のみ
- サプライチェーンリスク管理におけるITセキュリティ部門の関わり方【仮想事例から学ぶDX推進...
- IoT製品開発を進める際のITセキュリティ部門の関わり方【仮想事例から学ぶDX推進/開発部...
- この記事の著者
-
佐々木 弘志(ササキ ヒロシ)
マカフィー株式会社 サイバー戦略室 シニア・セキュリティ・アドバイザー CISSP制御システム機器の開発者として14年間従事した後、マカフィーに2012年12月に入社。産業サイバーセキュリティの文化醸成を目指し、講演、執筆等の啓発及びコンサルティングサービスを提供している。2016年5月から、経済産...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
