想定する読者

• 果てしないセキュリティの道のりをみて挫折しそうなセキュリティ従事者(兼務含む)

• セキュリティ従事者としてアサインされたけど何をすればいまいちわかっていない人

想定していない読者

• 百戦錬磨のCISO

• すでにセキュリティ部門があり、正しく機能している組織

結論

• 「上には上がある」「やることが無限にある」と思考停止しない

• 「組織として『いつまでに』『どのレベル』を目指すのか」を考える

  • 「点」ではなく「組織の成長曲線」で考える

    • どういう「点(中間地点)」を通過して理想に辿り着くのかに想いを馳せる

  • その曲線が妥当かどうかも問う

    • それは社会の要求に合っているか

    • なぜやるのか

    • 実現可能か

中間地点の例

過去インシデントの呪縛を打ち破る

• 個人情報漏洩など過去のインシデントが起因になってセキュリティに取り組む組織もあると思う

• そしてそれが呪縛となって施策の優先順位をおかしくしている場合がある

• なので、呪縛を打ち破ることを目標とする

• 具体的には「再発しない組織になっているか」「再発した場合に迅速に対処できるか」の2つの観点で評価する

自社保有の情報資産を知る(まずは踏み出す)

• そもそも組織として守るべき情報として「どのようなものがあるのか」「どこにあるのか」がわかっていないケースがある

• そのようなときはまずは守るべき情報がなんなのかを知る

  • まずは「個人情報」にフォーカスしてみても良い

  • 「営業秘密」もあるが漏洩したところで悪くても会社が倒産するだけなので大したことはない

    • 個人情報は漏洩すると社会の安全性を揺るがすことにもなり得るので影響範囲が大きい

情報セキュリティマネジメントを導入・運用してみる

• 有名どころで言えば「ISMS認証を取得・運用する」

  • パフォーマンスとしての取得ではなく、真摯に向き合い運用する

• このフレームワークに則って進めることで情報セキュリティマネジメントのイロハを体験できる

セキュリティ体制を再構築する

• 情シス / コーポレートITが兼任していることも多いと思う

• でもセキュリティリスクは経営のリスクの1つ

  • 経営企画部門や法務、広報などもいいかんじに巻き込んでおく

• 効率的・効果的に運用が回るようにセキュリティ部門を切り出すなどして体制を見直す

業界水準を目指す

• 同業他社がやっていること / 水準を目指す

• 業界水準がなければ自分たちで作る

真の業界水準を目指す

• 「A社はxxx程度なのでうちもxxx程度でやる」のような受け身はNG

  • 本当にその取り組みは適切なのかを常に考える

• 社会からの要求を汲み取って、本当にやるべきことを理解し、実現する

いつまでにやるか

• Qでも、年計画でも、3ヵ年計画でもなんでもよい

• ただし、社会や事業が求めるスピードと大きく乖離していないこと

  • 社会の要求に対して3年は遅すぎるし、事業の足を引っ張るような施策もだめ

  • 良き塩梅をひたすら模索する

• 中期経営計画と足並みを揃えてみるのも手

いまの成長曲線では延々に理想のたどり着けなくない？

• 「施策はやらないよりはマシ」は大体それはそう

  • でもそのやり方では目標とする「中間地点」に辿り着けるとは限らない

  • そして不必要にリソースを食っているだけなのかもしれない

• もしそうであれば、アプローチも再考する

  • なんなら仕組みをドラスティックに変えてみる

  • 中間地点を通過することが目的なのでそのための手段をひたすら考える

まとめ

• 「最強のセキュリティ」を求めるとそこには沼が広がっている

• 中間地点をメンバー間で合意しつつ、打倒案をひたすら模索することで現実的な解は得られるはず

• これどういうこと？というものがあれば、Xで気軽に声をかけてね

hayapi🧶 (@yo_hayasaka) on X