また、それぞれの検討において以下のような考え方が必要になる。
各ステップ | 検討・実施すべき内容 |
---|---|
検討ステップ | ・当該事業で必要になるセキュリティ態勢は何か。 |
・個別と共通化のバランスはどのようにすべきか。 | |
・必要なスペックは何か(個人能力も含めて)。 | |
構築ステップ | ・当該事業でセキュリティ態勢を構築する。 |
計測ステップ | ・セキュリティの効果を測定する。 |
学習/再配備ステップ | ・個別と共通化のバランスやリソースの再配分の検討、実行を行う。 |
以下ではリーンセキュリティ導入のポイントについて、各ステップで検討、実施すべき内容を紹介する。
デジタルビジネスの構想や予算化などのサービス企画の初期段階から、セキュリティを検討すべきである。これにより安全性、セキュリティ、信頼性、プライバシー、データ倫理に関連するリスクを予防的に管理することができる。
また、同様に業務要件定義、システム要件定義段階でも、セキュリティの検討を漏れなく実施すべきである。結果としてデータセキュリティ、プライバシーなどのセキュリティ要件漏れによる手戻りを抑制し高速化が実現できる。
各ステップ | 検討・実施すべき内容 |
---|---|
検討ステップ | ・デジタルビジネスプロジェクトのプロセスとタスクを検討する。 |
・構想、予算化、業務要件定義、システム要件定義などビジネス企画段階のプロセスにセキュリティを検討するタスクが含まれているか確認する。 | |
構築ステップ | ・デジタルビジネスプロジェクトのプロセスとタスクを定義する。 |
計測ステップ | ・デジタルビジネスプロジェクトの企画段階でセキュリティの検討が十分だったかを計測する。 |
・計測結果を評価する。 | |
学習/再配備ステップ | ・検討不十分の原因を究明し、プロセス及びタスクを見直す。 |
デジタルビジネス担当者は「デジタル+セキュリティ」のスキルセットを所持すべきである。デジタルビジネスでは、アイデア創出、サービス企画立案、概念実証(PoC)といった企画段階でサイバーセキュリティ、データプライバシー、データ倫理に関する課題を含めた検討が必要となるため、セキュリティのスキルセットが求められている。
デジタルビジネス担当者が「デジタル+セキュリティ」のスキルセットを所持することで、組織として意思統一されたポリシー、ガイドラインの下でコンプライアンスやベースラインを順守する。そうしながら、ビジネス企画と同様に個人の裁量でセキュリティを検討し、関連するリスクを予防的に管理し、俊敏性を損なわずプロジェクトを推進できる。
ただし、デジタルビジネスに未着手もしくは初期段階では、デジタルビジネス部門担当者のスキルが成熟していないため、従来のセキュリティ部門の支援や外部専門家の活用などで、ビジネスへの影響を極小化しつつ、段階的にスキルを向上させる必要がある。
各ステップ | 検討・実施すべき内容 |
---|---|
検討ステップ | ・デジタルビジネス部門が必要なセキュリティスキルセットを検討する。 |
・デジタルビジネス部門は社内/社外専門家含めセキュリティスキルセットを持つ人材の確保および配置方法を検討する。 | |
・セキュリティ部門はデジタルビジネスのセキュリティ評価のための基準、プロセス、システムを検討する。 | |
・セキュリティ部門はセキュリティスキルの評価の基準、プロセス、システムを検討する。 | |
構築ステップ | ・必要なスキルセットを持つ人材を配置する。 |
・セキュリティ部門はデジタルビジネスのセキュリティ評価のための基準、プロセス、システムを構築する。 | |
・セキュリティ部門はセキュリティスキルの評価の基準、プロセス、システムを構築する。 | |
計測ステップ | ・ビジネス部門はデジタルビジネスのセキュリティレベルを計測、評価する。 |
・セキュリティ部門はデジタルビジネスのセキュリティレベルを監査する。 | |
・ビジネス部門は担当者のセキュリティスキルを評価する。 | |
学習/再配備ステップ | ・担当者が不足しているセキュリティスキルセットを向上させる。 |
・必要なスキルセットを持つ人材をデジタルビジネスに再配置する。 | |
サイバーセキュリティ、データプライバシー、データ利用ガバナンス、今後発生するコンプライアンスなど、説明責任の所在を明確にすべきである。セキュリティ考慮不足の抑制やスピード感のあるセキュリティの検討を強制するためには、デジタルビジネス部門はビジネスリスクとともにセキュリティリスクも負うべきであろう。
例えば、デジタルビジネス部門がセキュリティリスク対応(リスク特定、分析、対策)を実施し、セキュリティ部門はセキュリティポリシーやガイドラインを提示して企業組織のセキュリティ全体を統括するといった形だ。企業ごとに適したセキュリティ領域における役割を検討し、役割に応じた責任を負うよう検討すべきである。その結果、必要に応じて組織編成の見直しや役職者の設置などを、継続的かつ柔軟に進めていくことになる。
各ステップ | 検討・実施すべき内容 |
---|---|
検討ステップ | ・デジタルビジネス部門とセキュリティ部門におけるセキュリティ業務の洗い出しを実施する。 |
・デジタルビジネス部門とセキュリティ部門におけるセキュリティ業務に対して役割(業務責任を負う、業務責任者支援、業務実施、業務実施支援など)の分担を定義する。 | |
構築ステップ | ・役割分担に応じた業務を遂行する。 |
計測ステップ | ・役割分担が適切に実施できたか計測する。 |
学習/再配備ステップ | ・デジタルビジネスにおけるセキュリティ業務に対して役割(業務責任を負う、業務責任者支援、業務実施、業務実施支援など)の分担を見直す。 |
・見直した役割分担で業務を遂行する。 | |
リーンセキュリティの導入により、デジタルビジネス部門主導の新しい事業・サービスでもスピードを犠牲にせずにセキュリティを担保することが可能になるだろう。デジタルビジネスに取り組む企業・組織はぜひリーンセキュリティの考えを取り入れ、価値ある顧客体験を安全に提供できる事業・サービスの開発を推進いただきたい。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング