特集2
セキュリティはビジネスのイネーブラー
- セキュリティ
- デジタル
- 協創
デジタル経済の中でビジネスを成功に導くためには、セキュリティをIT利活用のブレーキ役と位置付けてはいけません。独自技術、製造能力、販売力、資金、人材などのビジネス成功要素と同列に位置付けることが大切です。また、セキュリティのオーナーシップをセキュリティ部門ではなくビジネス部門が持ち「バイ・オール、フォー・オール」の精神で取り組む必要があります。これによりセキュリティがビジネスのイネーブラーとしての役割を果たすことができます。
横浜 信一(よこはま しんいち)
NTT グループCISO 兼
NTTセキュリティ・ホールディングス
代表取締役社長
はじめに
「セキュリティはビジネスの『XX』である、という文の『XX』を埋めよ」というクイズがあった場合、皆さんはどのようにお答えになりますか。
セキュリティがビジネス活動においてどのような役割を果たすべきなのか、企業でセキュリティ業務に携わる方々であれば、誰もが思いをめぐらせるテーマではないでしょうか。口うるさく「セキュリティ、セキュリティ」というのでどうしても社内では煙たがられてしまう、そのくせ事故が起きなくて当たり前、何か事故が起きたら対応にてんてこ舞いの忙しさに見舞われ、挙句の果てには責任を問われてしまう、そうした不遇(?)な境遇に置かれがちなセキュリティ部署に勤める方であれば、自分の仕事が会社のビジネスにとってどんな役割を果たしているのか、問いかけたくなるのは自然なことだと思います。
私がNTTグループのCISO(最高情報セキュリティ責任者)に着任したのは2018年の夏でしたが、自身もそれ以来6年以上にわたって、セキュリティとビジネスの関係について自問自答を繰り返してきました。しばしばいわれることとして、CIO(最高情報責任者)とCISOはITの利活用に際して立場が反対になるので、同じレポートラインに入らないほうがよいという考えがあります。CIOはIT利活用を推進する立場であり、それに対してCISOはセキュリティの観点からIT利活用に制限を加える立場に立つという考えです。この考えでは、CIOはIT利活用にアクセルを踏む人でCISOはブレーキ役、とも例えられます。
筆者はこの「CIOはアクセル役・CISOはブレーキ役」という考えに対して違和感がありました。ブレーキ役というのは、安全尊重の精神に立脚しながらあたかもビジネスの進化を遅らせる役回りではないか、本当にそうなのだろうかという「腹落ちしない」気分でした。では、ブレーキ役でなければ一体何なのか? ずっと自分なりの答えを探してきました(図1)。
最近は「ブレーキ役」ではなく「ガードレール役」という表現を聞くことが増えました。これは言い得て妙だと思っています。ブレーキだと車を減速させるばかりですが、ガードレールであれば車を減速させるのではなく、安全な走行ポジションに維持する役回りとなります。その意味で筆者は「ガードレール役」という表現は本質を突いた表現ではないかと気に入っています。
ただ、もう一歩考えを進めると、ガードレールの設置の仕方は、車がいつまでにどこに行きたいのか、そのためにどれくらいのスピードで走りたいのか、もっといえばどれくらいのリスクは許容できるのか、といった車の運転の目的によって異なるものではないでしょうか。これは非常に重要なポイントです。私たちが日頃車を運転していて目にするガードレールはどこも同じように見えますが、それは公道上で自動車を運転するうえでの安全を確保するために社会として共通な安全の範囲を示したものです。
実際のビジネスを考えると、そのビジネスで達成したい目的・目標に応じて確保したい安全の幅も異なることが考えられます。公道での自動車運転とは異なって、専用コースで設置するガードレールでは運転の目的・内容によって最適が異なって然るべきではないでしょうか。あくまで例え話ですが、病院の手術オペレーションを管理する「ガードレール」ではたとえ短時間であっても停止することが患者の生命にかかわる可能性がありますので、いわゆる可用性を非常に高く保つ必要があると思われます。一方、オフィスの空調設備をコントロールする「ガードレール」にはそこまでの可用性は求められません。つまり、ガードレールはそれぞれのビジネスで達成したい目的に応じて柔軟に可変であることが望ましいと考えます。
では、ビジネスの目的に応じて柔軟に可変なガードレールとは一体どのようなものでしょうか? そこでたどり着いたのが「イネーブラー」という考えです。イネーブラーは英語のenable(可能とする)という動詞から派生した言葉で「実現を可能にしてくれるもの」という意味を持ちます。「セキュリティはビジネスの実現を可能にしてくれるもの」という意味になります。
ただ、私は2つの思いを込めて「イネーブラー」、すなわち「ビジネスの実現を可能にしてくれるもの」という言葉を使うようにしています。次に、その2つの思いを紹介します。
必要不可欠性
1つは「必要不可欠性」です。ビジネスの実現・成功においてはさまざまな要素が必要になりますが、その中の一要素としてセキュリティは「必要不可欠」になりつつあります。そもそもビジネスにおいて大切な要素は何でしょうか。独自技術、製造能力、販売力、ブランド、資金、人材、パートナーなど、さまざまな要素がビジネスの成功には重要な役割を果たします。実際のビジネスはこうしたさまざまな要素がすべて織り込まれて市場・お客さまに対する価値となって成功へとつながっていきます。どれ1つとってもそれがないと成功はおぼつかず、すべてが大事です。その意味ではすべてが「必要不可欠」といってよいでしょう。
筆者が「セキュリティはビジネスのイネーブラー」という言葉で提案したいのは、セキュリティにも他の重要要素と同格の位置付けを与えましょう、ということです。これまでは、ビジネスの開始・立ち上げ時など大事な意思決定の際に、他の要素が重要視され、セキュリティは優先度が下げられたり、対応が後回しにされたりしてしまうケースが多かったのではないでしょうか。
しかし、いったんセキュリティ・インシデントが起きると、思いのほか大きなダメージを引き起こしてしまう可能性が高まっています。社会のデジタル化が進展するにつれ、セキュリティ・インシデントのダメージがこれまでの常識を覆すくらい大きなものになる可能性が急速に高まり、実際にそうした事例が発生しています。セキュリティリスクの過小評価がもたらすリスクは急速に高まっているのです。
何が何でもセキュリティが大事で、すべてに優先させるべき、というセキュリティ至上主義を訴えているわけではなく、得てして忘れられがちなセキュリティについても、他の重要要素と同格の扱いをしましょう、ということです。
有機的融合性
もう1つの思いは「有機的融合性」です。セキュリティは技術的専門性が高いイメージがあり、専門家に任せがちになります。実ビジネスの現場では、企画・開発・運用などの中身がおおむね固まったところで呼び出されて「セキュリティ面で大丈夫か確認してほしい」と頼まれるケースが多くないでしょうか。
このようなセキュリティを特殊扱いするアプローチでは真に意味のあるセキュリティを実現するのは困難です。なぜならば、セキュリティは事後チェックのツールとしてしか役割を果たしていないからです。
筆者が「イネーブラー」という言葉で提案したいのはセキュリティを特別扱いせず、ビジネス活動の最初から最後まで、仲間として取り込みましょう、ということです。そこでは、いわゆるセキュリティのオーナーシップは「情報セキュリティ部門」がとるのではなく、ビジネスの現場に帰属することになります。いわば「セキュリティ・バイ・オール、セキュリティ・フォー・オール」です。そうなることで、セキュリティはビジネスの活動すべてに溶け込んだ存在になり、結果としてビジネスそのものがセキュアで靭性の高いものになっていきます。
「セキュリティはビジネスのイネーブラー」という本稿のタイトルには、セキュリティとビジネスの関係が「必要不可欠性」と「有機的融合性」を持つものになっていってほしいという私の願いを込めています(図2)。
おわりに
本特集では、自動車、web3とブロックチェーン、バイオデータ活用、スマートビル、フィッシング対策を事例として取り上げて、セキュリティがビジネスに果たしている役割を紹介します。その中からも「必要不可欠性」と「有機的融合性」の2つを読み取っていただけると幸いです。
横浜 信一
セキュリティ確保に奮闘する担当者を労いましょう。「ご苦労様」に加えて「おかげでビジネスが順調に進んでるよ」といった価値を認める一言がとても大きな励みになります。そしてそれが会社のカルチャーになっていきます。