新規事業を立ち上げたい! スピードを犠牲にしない「リーンセキュリティ」の極意:ニューノーマル時代のセキュリティ(2/2 ページ)
- (1)デジタルビジネスのサービス企画段階でのセキュリティの検討
- (2)デジタルビジネス担当者のデジタル+セキュリティのスキルセット所持
- (3)ビジネス部門のセキュリティに関する説明責任の明確化
また、それぞれの検討において以下のような考え方が必要になる。
| 各ステップ | 検討・実施すべき内容 |
|---|---|
| 検討ステップ | ・当該事業で必要になるセキュリティ態勢は何か。 |
| ・個別と共通化のバランスはどのようにすべきか。 | |
| ・必要なスペックは何か(個人能力も含めて)。 | |
| 構築ステップ | ・当該事業でセキュリティ態勢を構築する。 |
| 計測ステップ | ・セキュリティの効果を測定する。 |
| 学習/再配備ステップ | ・個別と共通化のバランスやリソースの再配分の検討、実行を行う。 |
以下ではリーンセキュリティ導入のポイントについて、各ステップで検討、実施すべき内容を紹介する。
(1)デジタルビジネスのサービス企画段階でのセキュリティの検討
デジタルビジネスの構想や予算化などのサービス企画の初期段階から、セキュリティを検討すべきである。これにより安全性、セキュリティ、信頼性、プライバシー、データ倫理に関連するリスクを予防的に管理することができる。
また、同様に業務要件定義、システム要件定義段階でも、セキュリティの検討を漏れなく実施すべきである。結果としてデータセキュリティ、プライバシーなどのセキュリティ要件漏れによる手戻りを抑制し高速化が実現できる。
| 各ステップ | 検討・実施すべき内容 |
|---|---|
| 検討ステップ | ・デジタルビジネスプロジェクトのプロセスとタスクを検討する。 |
| ・構想、予算化、業務要件定義、システム要件定義などビジネス企画段階のプロセスにセキュリティを検討するタスクが含まれているか確認する。 | |
| 構築ステップ | ・デジタルビジネスプロジェクトのプロセスとタスクを定義する。 |
| 計測ステップ | ・デジタルビジネスプロジェクトの企画段階でセキュリティの検討が十分だったかを計測する。 |
| ・計測結果を評価する。 | |
| 学習/再配備ステップ | ・検討不十分の原因を究明し、プロセス及びタスクを見直す。 |
(2)デジタルビジネス担当者のデジタル+セキュリティのスキルセット所持
デジタルビジネス担当者は「デジタル+セキュリティ」のスキルセットを所持すべきである。デジタルビジネスでは、アイデア創出、サービス企画立案、概念実証(PoC)といった企画段階でサイバーセキュリティ、データプライバシー、データ倫理に関する課題を含めた検討が必要となるため、セキュリティのスキルセットが求められている。
デジタルビジネス担当者が「デジタル+セキュリティ」のスキルセットを所持することで、組織として意思統一されたポリシー、ガイドラインの下でコンプライアンスやベースラインを順守する。そうしながら、ビジネス企画と同様に個人の裁量でセキュリティを検討し、関連するリスクを予防的に管理し、俊敏性を損なわずプロジェクトを推進できる。
ただし、デジタルビジネスに未着手もしくは初期段階では、デジタルビジネス部門担当者のスキルが成熟していないため、従来のセキュリティ部門の支援や外部専門家の活用などで、ビジネスへの影響を極小化しつつ、段階的にスキルを向上させる必要がある。
| 各ステップ | 検討・実施すべき内容 |
|---|---|
| 検討ステップ | ・デジタルビジネス部門が必要なセキュリティスキルセットを検討する。 |
| ・デジタルビジネス部門は社内/社外専門家含めセキュリティスキルセットを持つ人材の確保および配置方法を検討する。 | |
| ・セキュリティ部門はデジタルビジネスのセキュリティ評価のための基準、プロセス、システムを検討する。 | |
| ・セキュリティ部門はセキュリティスキルの評価の基準、プロセス、システムを検討する。 | |
| 構築ステップ | ・必要なスキルセットを持つ人材を配置する。 |
| ・セキュリティ部門はデジタルビジネスのセキュリティ評価のための基準、プロセス、システムを構築する。 | |
| ・セキュリティ部門はセキュリティスキルの評価の基準、プロセス、システムを構築する。 | |
| 計測ステップ | ・ビジネス部門はデジタルビジネスのセキュリティレベルを計測、評価する。 |
| ・セキュリティ部門はデジタルビジネスのセキュリティレベルを監査する。 | |
| ・ビジネス部門は担当者のセキュリティスキルを評価する。 | |
| 学習/再配備ステップ | ・担当者が不足しているセキュリティスキルセットを向上させる。 |
| ・必要なスキルセットを持つ人材をデジタルビジネスに再配置する。 | |
(3)ビジネス部門のセキュリティに関する説明責任の明確化
サイバーセキュリティ、データプライバシー、データ利用ガバナンス、今後発生するコンプライアンスなど、説明責任の所在を明確にすべきである。セキュリティ考慮不足の抑制やスピード感のあるセキュリティの検討を強制するためには、デジタルビジネス部門はビジネスリスクとともにセキュリティリスクも負うべきであろう。
例えば、デジタルビジネス部門がセキュリティリスク対応(リスク特定、分析、対策)を実施し、セキュリティ部門はセキュリティポリシーやガイドラインを提示して企業組織のセキュリティ全体を統括するといった形だ。企業ごとに適したセキュリティ領域における役割を検討し、役割に応じた責任を負うよう検討すべきである。その結果、必要に応じて組織編成の見直しや役職者の設置などを、継続的かつ柔軟に進めていくことになる。
| 各ステップ | 検討・実施すべき内容 |
|---|---|
| 検討ステップ | ・デジタルビジネス部門とセキュリティ部門におけるセキュリティ業務の洗い出しを実施する。 |
| ・デジタルビジネス部門とセキュリティ部門におけるセキュリティ業務に対して役割(業務責任を負う、業務責任者支援、業務実施、業務実施支援など)の分担を定義する。 | |
| 構築ステップ | ・役割分担に応じた業務を遂行する。 |
| 計測ステップ | ・役割分担が適切に実施できたか計測する。 |
| 学習/再配備ステップ | ・デジタルビジネスにおけるセキュリティ業務に対して役割(業務責任を負う、業務責任者支援、業務実施、業務実施支援など)の分担を見直す。 |
| ・見直した役割分担で業務を遂行する。 | |
リーンセキュリティの導入により、デジタルビジネス部門主導の新しい事業・サービスでもスピードを犠牲にせずにセキュリティを担保することが可能になるだろう。デジタルビジネスに取り組む企業・組織はぜひリーンセキュリティの考えを取り入れ、価値ある顧客体験を安全に提供できる事業・サービスの開発を推進いただきたい。
関連記事
VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ?
テレワークが広がる中、VPNという「境界防御」の延長線上にある技術ではなく「ゼロトラストセキュリティ」という新しい考え方を取り入れる企業が日本でも出てきた。どんな概念なのか。
「急遽テレワーク導入」に落とし穴 国内約40社が被害「VPN不正アクセス事件」が他人事とは限らない理由
8月下旬に「パルセキュア社のVPN製品の脆弱性を突かれて、認証情報などが盗まれてしまい、ネット上で公開された」という事件がメディアを賑わせた。この一件にはいくつか他山の石にしたいポイントがある。
総務・人事・経理のテレワークの秘訣とは? 「セキュリティが不安」「部下の様子が分からない」の悩みを業務改善のプロが一刀両断!
「バックオフィスこそ、ワーケーションをすべき」──350以上の企業や自治体、官公庁などでの組織・業務改革支援の経験を持つ作家でワークスタイル専門家の沢渡あまねさんと、業務改善コンサルティングやBPOサービスを提供するWe will accounting associatesの代表取締役で税理士の杉浦直樹さんはそう語る。「セキュリティやコンプライアンスの理由でクラウドサービスが使えない」「テレワークで部下が目の前にいないと、仕事をしているのか把握できない」といったバックオフィスの改革を阻む考えの矛盾を指摘しながら、変化する時代の中で「生き残るバックオフィス」であるために必要な業務の取り組み方について、対談する。
「一部の人だけテレワークは不公平」の声にどう対応した? ユニリーバの自由な働き方「WAA」が浸透した背景を探る
ユニリーバ・ジャパン・ホールディングスでは、2016年に人事制度「WAA」(Work from Anywhere and Anytime)を制定し、働く場所と時間を社員が選べる新しい働き方を取り入れた。しかし、工場やお客さま相談室など、一部の従業員は制度の対象外だった。「不公平」という声も上がる中で、どのように制度は浸透していったのか。島田由香さん(取締役人事総務本部長)に聞いた。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
注目記事ランキング
FeedBack
ITmediaはアイティメディア株式会社の登録商標です。