次に、③は一般的な組織論ではあるが(図1)、セキュリティに限らず、ガバナンスとマネジメントの分離を実現するのは、特に日本の製造業の場合、よほど注意しないと失敗するように思えるので、あえてポイントにあげた。
日本の製造業では「現場力」を重視する傾向が強く、現場の企画力や改善力を高めることが美徳とされている。そのような環境で育ってきたマネジャーは、いわゆるプレイングマネジャーの要素が強く、本来ガバナンスに集中しなければならない人が、マネジメントを兼ねてしまっていることも多い。特にセキュリティについては、そもそも担当者が不足しているため、一番詳しい人がガバナンスとマネジメントを兼ねることで負担過多になってしまい、機能不全に陥るケースもあるだろう。
④については、特に日本において問題だと感じることがあったのでポイントにあげた。それは、「責任」という言葉の使われ方である。
筆者がある海外のセキュリティフレームワークのトレーニング※5)を受けているときに、「セキュリティポリシーを構築する上で重要なことは、トップダウンで進めることと、ポリシー責任者は、ポリシー策定において“Responsibility”は委譲しても構わないが“Liability”は委譲してはいけない」という説明があった。
※5):SABSA Framework
「おや?」と思い、2つの言葉の日本語訳を確認したところ、ともに「責任」という訳語が第1候補に挙がった。より細かく調べると、Responsibilityは「実行責任」であるのに対し、Liabilityは「法的責任」ということで、要は、ポリシー策定を部下や下部組織に任せてもよいが、その結果、問題が生じた場合に説明の責任を負うのはポリシー責任者であるという意味だった。
しかし、日本では、この概念が明確に区別されておらず、「責任」という言葉しかないので、例えば、「部下に任せる」といったときにResponsibilityだけでなく、Liabilityまで部下に投げてしまっているケースが多いのではないか。
もちろん、海外でも両方の概念の混同があるからこそ、わざわざトレーニングで取り上げられるので、必ずしも日本が劣っているという話ではない。しかし、海外のセキュリティフレームワークと日本の文化との相性の悪さを痛感した出来事だった。
最後の⑤は、製造業ならではの課題である。すなわち、製造業の事業者は、3つのセキュリティを考慮しなければならない。それぞれ、「情報システム」「工場/プラント(制御システム)」「製品」である。
最後の「製品」については、サイバーの要素を含む製品に限るため、薬品、食品、機械部品といったサイバーの要素がない製品を生産する業界は対象外となるが、IoT家電やソフトウェアを含む工作機械などを製造する事業者では既に課題となっている。これら3つのセキュリティを管理するために、社内の限られた人的リソースや外部委託などをどのように組合わせるのかが組織の変革において大きなポイントとなる。
今回は、組織の変革の進め方における基本的な考え方について述べた。次回以降は、組織の変革の具体例について、大企業向けと中小企業向けに分けて紹介していく予定だ。
Copyright © ITmedia, Inc. All Rights Reserved.