セキュリティガバナンスのあるべき姿とは? 組織再編・事業変革に伴う新たな挑戦――リクルート セキュリティ統括室長 鴨志田昭輝氏ITmedia エグゼクティブセミナーリポート(2/2 ページ)

» 2021年06月30日 07時13分 公開
[山下竜大ITmedia]
前のページへ 1|2       

 しかしこのような内的、外的変化により、「ガバナンスを強化せよ」という経営からのプレッシャーとビジネスモデルの大きな変化への対応のギャップが大きくなり、このままだとセキュリティ部門は、ますますつらい立場になるため、セキュリティ統括責任者として、この課題を解決することを最大の目的とした。

セキュリティ部門が疲弊しない取り組みを推進

 セキュリティ部門が疲弊しないために、ガバナンス(強制)をしないことを目指していたが、いまのポジションに就いて、「経営への説明責任」をポイントに、あるべき姿を検討した。経営は、企業を安定的に発展させるために、いろいろな責任を取ることが必要で、そのため問題が発生すると「すぐに解決しろ」という判断になる。

 セキュリティ部門は、全ての課題を解決できる人材、予算、期間があれば苦労はしないが、有限のリソースの中で「やらない」という判断も必要だ。やらないことを、経営に説明するための施策として、課題(リスク)をストックし、半期ごとに棚卸しをして、優先順位を設定することで、対応する順位を説明できるようにした。

 また、増え続ける施策の最適化を行い、減らそうというチャレンジにも着手している。経営に対し、説明責任を果たしながら信頼を得るのと同時に、事業に対しても施策を浸透させていくために、事業との関係性についてもあるべき姿を模索している。

 リクルートには、小さいものまで含めると数百種類のサービスがあり、これまでは、サービスごとに開発していた。しかしこうしたサービスのセキュリティを、セキュリティ部門が対応していたのでは間に合わないため、各事業の関連部門と連携しながら実装していくことに着手した。

 具体的には、セキュリティ統括部門が全事業に対して1対nのコミュニケーションを行うのではなく、ハブとなるセキュリティ推進組織を作り、さらにはセキュリティ推進組織が事業部門を兼務(ミラー組織化)、施策を推進していくという体制を確立した。あわせて、コミュニケーションツールの一つとして、セキュリティポリシーの改定も行った。

 リクルートのセキュリティポリシーは、紙のビジネスモデルの時代に作られたもので、長年改変を繰り返したことで肥大化。時代にそぐわない記述やクラウドなどの最新技術に適応できないなどの不具合が表面化していたので、目的から要求までを整理して、それを実現する方法、対策基準はある程度自由度を持たせるように構造化した。

チームビルディングとゼロトラストが未来に向けたテーマ

 リクルートにおけるセキュリティガバナンスでは、セキュリティのプロフェッショナル組織を目指すべきだと考えている。セキュリティのプロフェッショナルとは、プロフェッショナルな仕事をする人の集団で、プロフェッショナルな仕事とは、豊富な知識や経験を有していることはもちろん、組織の都合や保身に走らないことが重要だ。

 事業として取れるリスク、取れないリスクを見極め、関係者にロジカルに説明し、その判断に責任が持てることがプロフェッショナルな仕事で、そのためのメンバーがたくさんいる組織を作ることを目指している。なかなか難易度の高い取り組みで、何年かかるか分からないが、きちんとチームビルディングをしていきたい。

 メンバーに、プロフェッショナルな仕事をしてもらうためには内発的な動機が必要で、仕事やセキュリティを楽しんで、自律的に動いてほしい。内発的な動機は、仕事が楽しい、やりがいがあるということから生まれるので、セキュリティ部門で働くメンバーが、仕事を通じて幸せになることを大事にしている。

 チームビルディングはまだ道半ばだが、優先順位を大事にしながら、一つ一つセキュリティ対策を実践していくことが必要だ。この講演を聞いて、この組織で一緒に働きたいと思ってくれる人がいたら、ぜひチームに参加してほしい。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

根来龍之

早稲田大学商学学術院教授

根来龍之

小尾敏夫

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

郡山史郎

株式会社CEAFOM 代表取締役社長

郡山史郎

西野弘

株式会社プロシード 代表取締役

西野弘

森田正隆

明治学院大学 経済学部准教授

森田正隆