なぜセキュリティ・チームを解散すべきか

　ガートナー主催の「セキュリティリスク・マネジメント サミット 2017」に登壇したショルツ氏は「私が提唱する仮説は『もしかしたら、将来的には、サイバーセキュリティ・チームは不要かもしれない』というものだ」と切り出した。

「多くの人は『そんなことはあり得ない』と思うかもしれない。しかし、この仮説を出発点に、リサーチを行った結果、どんな発見があったかを紹介していきたい」（ショルツ氏）

　まず、背景として、デジタル・ビジネスへの転換が進み、管理対象の機器、デバイスなどの「モノ」が指数関数的に増えていく可能性が高い。それだけではなく、ビジネスのスピードはより早くテクノロジーはより複雑化していく。すなわち、リスク要素が増えている。

　こうした背景を考えると、セキュリティに関するリソースを拡大いくのは当然の結論だ。ガートナーが2016年、512企業を対象とした調査によると、回答した企業の68％が「この1年でセキュリティ人材を増やす」と回答したという。

　一方で、セキュリティ・チームが企業のイノベーションを阻害しているとの指摘もある。セキュリティはリスクを管理するものであり、イノベーションに対してブレーキ役を果たすものだ。当然ながら、スピードを速め、イノベーションを起こしたいビジネス部門とは利害が相反する。

「企業が効果的に事業展開していくには、情報セキュリティは『企業の目的』と足並みをそろえていかなければならない。組織やプロセス、アプリケーションの中にセキュリティが統合され、一体化する必要があるのだ。そこで、現在、セキュリティ・チームが行っているプロセス、タスクが、既存の部門で、より効果的に実行できるのではないかという仮説を考えた」（ショルツ氏）

　多くの企業では、この4、5年のトレンドとして、CISO（Chief Information Security Officer）の機能をIT組織の外に置いている。これは、CISOという役割上、IT業務を管理するCIO（Chief Information Officer）とは異なる立場でものを見る必要があるからだ。

　IT部門の中にもセキュリティ・チームが存在している企業があれば、事業部ごとにセキュリティ・チームがある企業もある。セキュリティ運用を担うSOCを外部に委託するケースもある。


　「つまり、ITの統合化、一元化の流れの中で、セキュリティ機能は分散化しているというのが大きなトレンドとしてある」とショルツ氏は指摘する。

セキュリティ・チームの機能を仮想的に捉える

　また、IoTの進展もこうした流れに拍車をかける要因という。今後デジタルとフィジカルのセキュリティが、より融合してくる。いわゆるITとOT（Operational Technology：運用技術）の融合だ。

「経営陣でも、CIOとCOOが協業していかなければならないし、CRO（Chief Risk Officer）と協力していかなければならない。また、デジタルとフィジカルの融合ということで、CSO（Chief Security Officer）とCISOは融合を進め、最終的には、CDSO（Chief Digital Security Officer）あるいはDRO（Digital Risk Officer）とも呼ぶべき役割に変化していくことも考えられる」（ショルツ氏）

　セキュリティ・チーム拡大の一方で、セキュリティ人材の不足も深刻だ。アメリカやヨーロッパなど、多くの国で「予算はあるが、人材が見つからない」という企業の声が多くある。「そこでセキュリティ・チームの機能を仮想的に捉え、既存のビジネス部門に統合できないかを検討することに行き着いた」とショルツ氏は説明する。

（1）ガバナンス、リスク、プログラム管理

　まず、情報セキュリティ・チームが持つガバナンス、リスク、プログラム管理といった機能について考えてみよう。「ガバナンスについては、既存のIT、あるいはDB（デジタル・ビジネス）のガバナンス機能に移管が可能ではないか」（ショルツ氏）。

　また、ポリシー、リスク、プライバシーといった機能は、ERM（エンタープライズリスク管理）、DRM（デジタルリスク管理）、ITRM（ITリスク管理）などの組織を有している企業であれば、そちらに委譲することができる。

　一方、プログラム／戦略／予算といった機能は、EA（エンタープライズ・アーキテクチャ）とよばれる社内の戦略立案、社内コンサルタントの役割を果たす戦略部門やPMO（プロジェクトマネジメントオフィス）などの組織があればそちらに移管が可能だ。

　プロセス管理、アドバイス／コンサルティングといった機能は、I&O部門（ITインフラと運用を担当する部門）に移管することができるのではないか。

「このように、ガバナンス、リスク、プログラム管理チームが担当してきた機能や役割は、議論の余地はあるものの、すでに経験値のある社内の既存部門に移管することが可能ではないだろうか」（ショルツ氏）

（2）デジタルインフラと情報保護

　ITセキュリティ・チームが有する機能についても、同様に移管が可能だろうか。ショルツ氏は「たとえば、アプリケーション／プロジェクトについてはEAやプロジェクト管理、製品受け入れチームに移管可能ではないだろうか。また、データセキュリティの機能は、情報管理チームやデータ管理チームと連携して仕事を進めることが可能だろう」と指摘する。

　社内のネットワーク管理やI&Oチームの担当者は、ある一定のセキュリティ知識を有している。こうした組織に、エンドポイントやホスト／サーバー、ネットワークなどのセキュリティ機能を担ってもらうこともできるだろう。

（3）ID／アクセス管理

　そして、IDガバナンス／管理、アクセス管理、特権アカウント管理といった機能も、たとえばガバナンス／管理であれば、社内の監査部門と一緒に仕事を進めることが可能であり、I&O部門のユーザー管理、監査、ヘルプデスクなどで、十分に回していくことができるだろうという。

「こうした例は、極端な仮説からスタートしている。しかし、考え方は理解していただけるのではないだろうか。実際、こうしたプレゼンテーションを過去に4回ほど行ったが、『馬鹿げた考え方だ』という反応がある一方、『それほど馬鹿げていない』『すでにこの原則を組織に導入している』という反応もあった」（ショルツ氏）

【次ページ】ビジネス部門に一体化していくメリットとデメリット