医療データを扱うMDV、経営層への説明と現場への関わりのコツ――メディカル・データ・ビジョン 渡邉幸広氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

　3つ目の客観的な評価・指標の提示については、渡邉氏ら社内のメンバーが自力で情報を収集して「こういった対策が必要です」と提案しても、経営層が判断を下すには根拠不足と取られることもある。そこで「外部のセキュリティ専門企業に依頼し、システム面と、プロセス、手順、ガバナンスやルールといった運用面をそれぞれアセスメントしてもらった上で、『今、自分たちは、ここは強いが、ここに弱みがある』という客観的な評価を基に、次の投資に向けた説明をすることが必要になってきます」（渡邉氏）

　渡邉氏はこうした3つのポイントを押さえることで、経営層に「セキュリティは経営課題である」と理解してもらった上で、どの対策の1つ取っても無駄がないように予算を配分しつつ、最新のセキュリティ対策を取っていくことが大切だと述べた。

現場任せにせず、セキュリティ責任者が関わりながら対策の推進を

　MDVはこうした考え方に基づき、全体最適を念頭に置きながら、ネットワークの入口・出口、エンドポイント、そしてサービス開発時のセキュリティガイドラインに至るまで、さまざまな対応を進めてきた。

　だが今、同社を巡る環境は大きく変化している。クラウドの利活用が進み、かつてはデータセンターの中にあった守るべき情報資産が境界の外側へ拡大しているほか、テレワークの普及・推進に伴って、従業員が業務をする場所と時間が大きく変化した。さらに、なりすましアクセスなどのリスクを考えると、「社内は安全であり、社内のアクセスは無条件によしとするいわゆる境界型防御の考え方」にも限界が生じつつある。

　こうした変化を踏まえ、今まさに、ゼロトラストの考え方を取り入れた新しい形への移行を検討しているとした。

　具体的には、ユーザーとデバイス、ネットワークそれぞれのポイントで動的に認証・認可をして、最小限のアクセスのみを許可する基盤を構築する計画だ。また、これまで整備してきたインシデント対応体制についても強化し、子会社・グループ会社も含め、侵害を前提としてログを分析し、脅威を検知して対応するという流れを自動化し、運用管理体制を効率化していく方針だという。

プロジェクト推進の勘所

　こうした大きな変化を行う、大きなプロジェクトで結果を出す際のポイントは、こうした取り組みを決して現場任せにしないことだ。「予算を取って、対策を決め、プロジェクトを推進できる環境を整えるところまで進めると、『あとはよろしくね』と現場に任せてしまいがちですが、それではうまくいきません。特に新しいこと、大きな変化をもたらすことに関しては、『あまり変えたくない』という現場の無意識の行動に妨げられがちです」（渡邉氏）

　そこで定期的な打ち合わせに参加したり、関連部署との調整を支援したりしながら、現場の作業、運用のところまで一貫して関わり、「当初と目的や方向性がずれてきていないか」を確認しながら推進していくことがプロジェクトの成功につながり、最終的にセキュリティの向上につながっていくと考えているという。

　「経営層への説明から始まり、実際の現場で導入・運用し、セキュリティが向上するまでがセキュリティ責任者の担当分野だと考えています。この点を現場任せやベンダー任せにせず関わっていくことが重要ではないでしょうか」（渡邉氏）