セキュリティガバナンスのあるべき姿とは？ 組織再編・事業変革に伴う新たな挑戦――リクルート セキュリティ統括室長 鴨志田昭輝氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

事業統合や新型コロナウイルス禍による環境の変化を機会の一つと捉え、事業を大きく変革しようとしているリクルート。その一環としてセキュリティガバナンスの強化にもチャレンジしている。

[山下竜大，ITmedia]

　しかしこのような内的、外的変化により、「ガバナンスを強化せよ」という経営からのプレッシャーとビジネスモデルの大きな変化への対応のギャップが大きくなり、このままだとセキュリティ部門は、ますますつらい立場になるため、セキュリティ統括責任者として、この課題を解決することを最大の目的とした。

セキュリティ部門が疲弊しない取り組みを推進

　セキュリティ部門が疲弊しないために、ガバナンス（強制）をしないことを目指していたが、いまのポジションに就いて、「経営への説明責任」をポイントに、あるべき姿を検討した。経営は、企業を安定的に発展させるために、いろいろな責任を取ることが必要で、そのため問題が発生すると「すぐに解決しろ」という判断になる。

　セキュリティ部門は、全ての課題を解決できる人材、予算、期間があれば苦労はしないが、有限のリソースの中で「やらない」という判断も必要だ。やらないことを、経営に説明するための施策として、課題（リスク）をストックし、半期ごとに棚卸しをして、優先順位を設定することで、対応する順位を説明できるようにした。

　また、増え続ける施策の最適化を行い、減らそうというチャレンジにも着手している。経営に対し、説明責任を果たしながら信頼を得るのと同時に、事業に対しても施策を浸透させていくために、事業との関係性についてもあるべき姿を模索している。

　リクルートには、小さいものまで含めると数百種類のサービスがあり、これまでは、サービスごとに開発していた。しかしこうしたサービスのセキュリティを、セキュリティ部門が対応していたのでは間に合わないため、各事業の関連部門と連携しながら実装していくことに着手した。

　具体的には、セキュリティ統括部門が全事業に対して1対nのコミュニケーションを行うのではなく、ハブとなるセキュリティ推進組織を作り、さらにはセキュリティ推進組織が事業部門を兼務（ミラー組織化）、施策を推進していくという体制を確立した。あわせて、コミュニケーションツールの一つとして、セキュリティポリシーの改定も行った。

　リクルートのセキュリティポリシーは、紙のビジネスモデルの時代に作られたもので、長年改変を繰り返したことで肥大化。時代にそぐわない記述やクラウドなどの最新技術に適応できないなどの不具合が表面化していたので、目的から要求までを整理して、それを実現する方法、対策基準はある程度自由度を持たせるように構造化した。

チームビルディングとゼロトラストが未来に向けたテーマ

　リクルートにおけるセキュリティガバナンスでは、セキュリティのプロフェッショナル組織を目指すべきだと考えている。セキュリティのプロフェッショナルとは、プロフェッショナルな仕事をする人の集団で、プロフェッショナルな仕事とは、豊富な知識や経験を有していることはもちろん、組織の都合や保身に走らないことが重要だ。

　事業として取れるリスク、取れないリスクを見極め、関係者にロジカルに説明し、その判断に責任が持てることがプロフェッショナルな仕事で、そのためのメンバーがたくさんいる組織を作ることを目指している。なかなか難易度の高い取り組みで、何年かかるか分からないが、きちんとチームビルディングをしていきたい。

　メンバーに、プロフェッショナルな仕事をしてもらうためには内発的な動機が必要で、仕事やセキュリティを楽しんで、自律的に動いてほしい。内発的な動機は、仕事が楽しい、やりがいがあるということから生まれるので、セキュリティ部門で働くメンバーが、仕事を通じて幸せになることを大事にしている。

　チームビルディングはまだ道半ばだが、優先順位を大事にしながら、一つ一つセキュリティ対策を実践していくことが必要だ。この講演を聞いて、この組織で一緒に働きたいと思ってくれる人がいたら、ぜひチームに参加してほしい。