経営と現場の板挟みになりがちなガバナンス、優先してやるべきことを明確に――リクルート 鴨志田昭輝氏ITmedia エグゼクティブセミナーリポート(2/2 ページ)

» 2023年03月07日 07時00分 公開
[高橋睦美ITmedia]
前のページへ 1|2       

 「各事業で開発・運用を担っている中で存在感のある人に、セキュリティ推進の役割を担ってもらい、その人たちをハブにしてセキュリティ対策を進めていくという組織作りを、経営も巻き込みながら皆で一緒に考えて実行してきました」(鴨志田氏)。このセキュリティ推進組織は主に各領域の運用部門のメンバーが所属しているが、同時にリスク部門の下にある組織も兼務することで、セキュリティ担当と密に連携しながら対策を推進している。

 並行して、もともとの紙のビジネスを前提に作成されてきたセキュリティポリシーについても、時代にそぐわない部分が生じてきたことを踏まえ、構造改革に取り組んだ。

 これまでのポリシーは“これをやりなさい”というHowの羅列だったが、最初に目的・要求を書き、Howの部分は一定の自由度を持てる構造に変え、現場の各部門ではセキュリティ推進者とともに施策を進め、環境やビジネスモデルのさまざまな変化に対しても柔軟に動けるように整備していったという。

「セキュリティ予算足りない問題」の本質は、経営層とのコミュニケーション不足

 続けて鴨志田氏は、「ここからはリクルートの事例ではなく、あくまでも長年セキュリティ業務に携わってきた経験に基づく一般論」と断りながらも、「セキュリティ予算が足りない」という言葉の本質について、自分なりに掘り下げてきた論点についても説明した。

 さまざまな場所で「セキュリティ予算が足りなくて推進できない」といった言葉を耳にするが、鴨志田氏は「個人的には、逆に、じゃあ予算がいくらあれば足りるのかと聞きたいと思います。いくらあれば足りるのかが説明できないのに、“予算が足りない”と言うのはちょっとおかしくないかというモヤモヤがあります」と述べた。

 予算が足りるか足りないかを議論するには順序がある。まず、会社ごとのセキュリティの「To Be」「ゴール」を定め、それに対するギャップを踏まえ、ギャップを埋めるためにこれだけ投資する、あるいはそれができないならばリスクを受容するという経営判断を下し、施策を推進していくのがあるべき姿だろう。

 ここで投資をする、しないの判断を下すのは経営であり、その結果、仮に大きなセキュリティ事故が起こってしまった場合に結果責任を問われるのも経営となる。必要な権限も持たないのに、セキュリティ責任者が責任だけ取らされるのは筋が通らない、というわけだ。

 従って、セキュリティ部門の本来の任務は、「経営が、投資をするのか、それともリスクを受容するのかの判断を正しく下せるためのプロセスをきちんと整えることだと考えています。「予算が足りない問題」は、本質的には経営層とのコミュニケーション不足が原因ではないでしょうか 」(鴨志田氏)

 もう1つのポイントは、リスクの洗い出しと「見える化」「見せる化」だ。

 投資判断の基準となるセキュリティのTo Beを定義する上で一番シンプルなやり方は、各省庁や業界標準などの「外部基準」に準拠して全体感を見せていくことだ。もちろん、自社のビジネスや環境にあわせてリスクを洗い出し、評価できるならそれに越したことはない。

 「多くの教科書や外部基準には、きちんとリスクを洗い出し、評価せよと書いてあります。これをやらないと、リスクに応じたメリハリのきいた適切なセキュリティ対策ができません」(鴨志田氏)。経営目標やリスクを踏まえ、「自社はどういう情報資産をどういうリスクからどの強度で守りたいのか」というセキュリティのTo Beを定義していくことが重要だとした。

 鴨志田氏はさらに、その内容について経営から共感が得られるように、工夫して表現していくことがポイントだとした。「経営者の人柄や社風もあるので一概には言えませんが、工夫し、意図的にTo Beとそこへのギャップを見せる化していくことが大事だと思います。それらをきちんと示せれば、予算を組んで投資するのか、あるいはリスクを受容するかの判断を、経営が適切に下せるようになってくるはずです」(鴨志田氏)とし、まだまだセキュリティ部門にできることはあるはずだと呼びかけた。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

根来龍之

早稲田大学商学学術院教授

根来龍之

小尾敏夫

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

郡山史郎

株式会社CEAFOM 代表取締役社長

郡山史郎

西野弘

株式会社プロシード 代表取締役

西野弘

森田正隆

明治学院大学 経済学部准教授

森田正隆