IoT時代の安心・安全を確保する組織変革で注意すべき5つのポイント：IoT時代の安全組織論（6）（1/2 ページ）

製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第6回は、組織変革を進めるための基本的な考え方を5つのポイントに分けて説明する。

[佐々木 弘志 ／ マカフィー，MONOist]

はじめに

　前回は、経営層の理解の最終段階である「OTセキュリティ戦略の必要性」を理解するために、具体的に「OTセキュリティ戦略」をどのように策定するのがよいのかについて説明した。今回は、得られた経営層の理解をもとに「OTセキュリティ戦略」が策定できたとして、組織の変革をどのように進めていったらよいのかについて、基本的な考え方を紹介する。

セキュリティに関する組織変革の目的

　そもそも、一般的な組織の変革の目的は何だろうか。究極の目的は、「売上、利益率などの経営目標を達成すること」だろうが、これをもう少しブレークダウンすると、「ビジネス環境の変化と、それに応じた事業戦略に基づいて、会社の人的リソースを最適化し、最大の利益を産み出すこと」だろう。

　ここでいう「人的リソースの最適化」には、リストラのような人員削減や配置転換だけでなく、長期的な視点に立った社員の育成、キャリアパスおよびワークライフバランスの考慮も含まれる。そうすることで、社員一人一人および組織のアウトプットが最大化され、会社としてサスティナブルな（継続的な）利益を産み出せるというのが、現状の一般的な考え方だろう。

　本連載では、セキュリティにおける組織の変革を取り上げるが、それは、上記の会社全体で行われる組織の変革の方向性とひも付いていなければならないし、その目的も同じである。

　実のところ、前回まで経営層の理解の重要性について繰り返し説いてきたのは、このひも付けをスムーズに行うことが重要だからである。経営層の理解なしに、セキュリティの組織の変革を行おうとすると、セキュリティ関連の組織の組み直しだけになってしまうことが多い。しかし、IoT（モノのインターネット）時代においては、セキュリティは、製造業にとっての経営課題であり、IT部門だけでなく、製品開発や生産技術、法務なども巻き込んだ、組織全体の最適化が必要なのだ。

CIOと同等の権限を持つ専任のCISOを設置する

　セキュリティにおける組織の変革を行う場合に注意すべきポイントは5つある。これらのポイントは、網羅的に全てを洗い出しているわけではないが、ITガバナンスとマネジメントのビジネスフレームワークであるCOBIT5と、筆者がこれまで培ってきた事業者へのコンサルティング経験をもとにしている。今回は、これらの注意ポイントを簡単に説明しよう。

• ①経営層に「専任の」最高情報セキュリティ責任者（CISO）を設置すること
• ②CISOは、最高情報責任者（CIO）とは別に設置し、同等の権限を与えること
• ③第三者的な機関（監視／監査の機能をもつ）を設置し、ガバナンスとマネジメントを分離すること
• ④責任範囲（実行責任と法的責任）を明確にすること
• ⑤「情報システム」「工場／プラント（制御システム）」「製品」の3つのセキュリティについて、社内外のリソースを適切に配分すること

　まず、①と②では、CISOの設置方法についてのポイントを示した。情報処理推進機構（IPA）が2017年4月に発表した「企業のCISOやCSIRTに関する実態調査2017」の報告書^※1）によると、CISOを経営層に設置すること自体は、欧米並みであるが^※2）、「専任の」CISOの設置となると、欧米が7割程度なのに比べて、日本は3割以下という結果が出ている^※3）。

※1）：IPAが発表した「企業のCISOやCSIRTに関する実態調査2017」の報告書の概要文

※2）：「企業のCISOやCSIRTに関する実態調査2017」のp.10を参照。約4割が経営層にCISOを設置している

※3）：「企業のCISOやCSIRTに関する実態調査2017」のp.22を参照

　これは、セキュリティ担当部門から経営層に上がるキャリアパスが欧米と比べて確立されておらず、もともと専門ではない人材を任命するがゆえに、兼任となるケースが多いのではないかと推察される。従って、専任でないがゆえに、CISOの役割そのものが形骸化するケースも多いと思われる^※4）。

※4）：「企業のCISOやCSIRTに関する実態調査2017」のp.25を参照。欧米と比べて、セキュリティ投資の優先度について経営層と現場の認識の「ズレ」が広がる傾向なのは、CISOの方針や考えが現場まで伝わっていないことを示唆している

　形骸化を防ぐためにも、専任のCISOを置くのが望ましい（①）。人材面での問題はあるだろうが、まずは、専任で設置して後からセキュリティを学ぶという方法もある。

　加えて、特に製造業では、CIOとの兼任や、CISOがCIOの下に配置される形態は避けたいところである（②）。なぜなら、CIOがアクセルだとすると、CISOはブレーキの役割であり、CIOが検討する先進的なIT投資に対して、CISOは、セキュリティ上のリスクを分析し、対策を促すことで、バランスを取ることが必要だからだ。