経営と現場の板挟みになりがちなガバナンス、優先してやるべきことを明確に――リクルート 鴨志田昭輝氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

　「各事業で開発・運用を担っている中で存在感のある人に、セキュリティ推進の役割を担ってもらい、その人たちをハブにしてセキュリティ対策を進めていくという組織作りを、経営も巻き込みながら皆で一緒に考えて実行してきました」（鴨志田氏）。このセキュリティ推進組織は主に各領域の運用部門のメンバーが所属しているが、同時にリスク部門の下にある組織も兼務することで、セキュリティ担当と密に連携しながら対策を推進している。

　並行して、もともとの紙のビジネスを前提に作成されてきたセキュリティポリシーについても、時代にそぐわない部分が生じてきたことを踏まえ、構造改革に取り組んだ。

　これまでのポリシーは“これをやりなさい”というHowの羅列だったが、最初に目的・要求を書き、Howの部分は一定の自由度を持てる構造に変え、現場の各部門ではセキュリティ推進者とともに施策を進め、環境やビジネスモデルのさまざまな変化に対しても柔軟に動けるように整備していったという。

「セキュリティ予算足りない問題」の本質は、経営層とのコミュニケーション不足

　続けて鴨志田氏は、「ここからはリクルートの事例ではなく、あくまでも長年セキュリティ業務に携わってきた経験に基づく一般論」と断りながらも、「セキュリティ予算が足りない」という言葉の本質について、自分なりに掘り下げてきた論点についても説明した。

　さまざまな場所で「セキュリティ予算が足りなくて推進できない」といった言葉を耳にするが、鴨志田氏は「個人的には、逆に、じゃあ予算がいくらあれば足りるのかと聞きたいと思います。いくらあれば足りるのかが説明できないのに、“予算が足りない”と言うのはちょっとおかしくないかというモヤモヤがあります」と述べた。

　予算が足りるか足りないかを議論するには順序がある。まず、会社ごとのセキュリティの「To Be」「ゴール」を定め、それに対するギャップを踏まえ、ギャップを埋めるためにこれだけ投資する、あるいはそれができないならばリスクを受容するという経営判断を下し、施策を推進していくのがあるべき姿だろう。

　ここで投資をする、しないの判断を下すのは経営であり、その結果、仮に大きなセキュリティ事故が起こってしまった場合に結果責任を問われるのも経営となる。必要な権限も持たないのに、セキュリティ責任者が責任だけ取らされるのは筋が通らない、というわけだ。

　従って、セキュリティ部門の本来の任務は、「経営が、投資をするのか、それともリスクを受容するのかの判断を正しく下せるためのプロセスをきちんと整えることだと考えています。「予算が足りない問題」は、本質的には経営層とのコミュニケーション不足が原因ではないでしょうか 」（鴨志田氏）

　もう1つのポイントは、リスクの洗い出しと「見える化」「見せる化」だ。

　投資判断の基準となるセキュリティのTo Beを定義する上で一番シンプルなやり方は、各省庁や業界標準などの「外部基準」に準拠して全体感を見せていくことだ。もちろん、自社のビジネスや環境にあわせてリスクを洗い出し、評価できるならそれに越したことはない。

　「多くの教科書や外部基準には、きちんとリスクを洗い出し、評価せよと書いてあります。これをやらないと、リスクに応じたメリハリのきいた適切なセキュリティ対策ができません」（鴨志田氏）。経営目標やリスクを踏まえ、「自社はどういう情報資産をどういうリスクからどの強度で守りたいのか」というセキュリティのTo Beを定義していくことが重要だとした。

　鴨志田氏はさらに、その内容について経営から共感が得られるように、工夫して表現していくことがポイントだとした。「経営者の人柄や社風もあるので一概には言えませんが、工夫し、意図的にTo Beとそこへのギャップを見せる化していくことが大事だと思います。それらをきちんと示せれば、予算を組んで投資するのか、あるいはリスクを受容するかの判断を、経営が適切に下せるようになってくるはずです」（鴨志田氏）とし、まだまだセキュリティ部門にできることはあるはずだと呼びかけた。