ニュース
» 2023年07月11日 07時07分 公開

医療データを扱うMDV、経営層への説明と現場への関わりのコツ――メディカル・データ・ビジョン 渡邉幸広氏ITmedia エグゼクティブセミナーリポート(2/2 ページ)

[高橋睦美ITmedia]
前のページへ 1|2       

 3つ目の客観的な評価・指標の提示については、渡邉氏ら社内のメンバーが自力で情報を収集して「こういった対策が必要です」と提案しても、経営層が判断を下すには根拠不足と取られることもある。そこで「外部のセキュリティ専門企業に依頼し、システム面と、プロセス、手順、ガバナンスやルールといった運用面をそれぞれアセスメントしてもらった上で、『今、自分たちは、ここは強いが、ここに弱みがある』という客観的な評価を基に、次の投資に向けた説明をすることが必要になってきます」(渡邉氏)

 渡邉氏はこうした3つのポイントを押さえることで、経営層に「セキュリティは経営課題である」と理解してもらった上で、どの対策の1つ取っても無駄がないように予算を配分しつつ、最新のセキュリティ対策を取っていくことが大切だと述べた。

現場任せにせず、セキュリティ責任者が関わりながら対策の推進を

 MDVはこうした考え方に基づき、全体最適を念頭に置きながら、ネットワークの入口・出口、エンドポイント、そしてサービス開発時のセキュリティガイドラインに至るまで、さまざまな対応を進めてきた。

 だが今、同社を巡る環境は大きく変化している。クラウドの利活用が進み、かつてはデータセンターの中にあった守るべき情報資産が境界の外側へ拡大しているほか、テレワークの普及・推進に伴って、従業員が業務をする場所と時間が大きく変化した。さらに、なりすましアクセスなどのリスクを考えると、「社内は安全であり、社内のアクセスは無条件によしとするいわゆる境界型防御の考え方」にも限界が生じつつある。

 こうした変化を踏まえ、今まさに、ゼロトラストの考え方を取り入れた新しい形への移行を検討しているとした。

 具体的には、ユーザーとデバイス、ネットワークそれぞれのポイントで動的に認証・認可をして、最小限のアクセスのみを許可する基盤を構築する計画だ。また、これまで整備してきたインシデント対応体制についても強化し、子会社・グループ会社も含め、侵害を前提としてログを分析し、脅威を検知して対応するという流れを自動化し、運用管理体制を効率化していく方針だという。

プロジェクト推進の勘所

 こうした大きな変化を行う、大きなプロジェクトで結果を出す際のポイントは、こうした取り組みを決して現場任せにしないことだ。「予算を取って、対策を決め、プロジェクトを推進できる環境を整えるところまで進めると、『あとはよろしくね』と現場に任せてしまいがちですが、それではうまくいきません。特に新しいこと、大きな変化をもたらすことに関しては、『あまり変えたくない』という現場の無意識の行動に妨げられがちです」(渡邉氏)

 そこで定期的な打ち合わせに参加したり、関連部署との調整を支援したりしながら、現場の作業、運用のところまで一貫して関わり、「当初と目的や方向性がずれてきていないか」を確認しながら推進していくことがプロジェクトの成功につながり、最終的にセキュリティの向上につながっていくと考えているという。

 「経営層への説明から始まり、実際の現場で導入・運用し、セキュリティが向上するまでがセキュリティ責任者の担当分野だと考えています。この点を現場任せやベンダー任せにせず関わっていくことが重要ではないでしょうか」(渡邉氏)

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆