世界中でセキュリティのスキル不足が深刻化

　現在、世界各国でサイバーセキュリティのスキル不足が発生している。ショルツ氏は「米国ではほとんど危機的状況、欧州でも重大な問題となっている」と現実を説明し、さらに「日本でも深刻化しているようだ」と指摘する。


　実際の問題はスキル不足だけではない。組織全体での予算が限られている上、予算が十分にあったとしても的確なスキルを持つ人材を見いだすのが難しい人材市場となっていることも重い問題だ。

　一方、多くの企業においてセキュリティ部門がビジネスを展開する上での障壁、イノベーションの妨げになっていると思われているという問題もある。監査にせよ、保証にせよ、とにかく「管理」の姿勢が過ぎるということだ。

「セキュリティチームを解体せよ」

　「4年前、私はある欧州の多国籍企業のCISOと会う機会があった。このCISOは、たいへん興味深い戦略を立てていた」とショルツ氏は話す。

　そのCISOのビジョンは「CISOを5年で辞めるべく、CISOが不要な環境を組織内で整備する」というものだった。彼自身は「これは非現実的であろう」ともいっていたが、ショルツ氏はそれを重要なアプローチだと考えた。

　新しいセキュリティ機能が必要になった時に「その機能または責任能力を、一つのセキュリティ部門に集中させるのではなく、ほかのIT部門、IT以外の部門に委ねることができるか」をまず考えること。そのほうが、スキル不足が深刻化する現状においては現実的ではないのか、と。

　ガートナーには「Maverickプログラム」というものがある。これは、通説に反する斬新な概念をインキュベーションのような形で試行する場であり、人々の既成概念を覆すものの考え方を打ち立てようとする取り組みだ。

　ショルツ氏は「前述のCISOと話した後、私はMaverickプロジェクトに一つの案を提出した」という。今後リスクが増えればセキュリティの機能がより多く必要になり、セキュリティチームそのものも自然と拡大する。その通説に反して、「セキュリティチームを解体せよ」というタイトルの提案をした。

　ショルツ氏の提案を含む約80の案がMaverickプログラムに提出された。それらをプログラムの委員会が精査し、ショルツ氏の提案を含む20の案が選ばれ、2016年にプロジェクトとして実行に移された。

　「そのプロジェクトの結果、我々が考えた仮説はそれほど馬鹿げていない、そう思ってくれる人が多くいることが分かった」（ショルツ氏）

セキュリティチームをどう分解するか

　セキュリティチームの目的は、リスクをコントロール・管理することだ。そして、セキュリティチームが拡大するほどに、彼らがイノベーションの障壁となると多くの企業は考えている。

　そうならないためにセキュリティチームを「解体」し、その機能と責任を分散しようとするというのがショルツ氏の提案であったが、その前提として、その分散化を本当に効果があるものにするには、情報セキュリティ、リスクを管理する機能を「企業の組織構造に完全に組み込むこと」が重要だという仮説があった。

　「セキュリティーを全ての業務に組み込むだけでなく、セキュリティーが本当に人々の振る舞い、責任、そして姿勢に組み込まれるような形にしなくてはいけない」とショルツ氏は語る。

　プロジェクトでは、今日の典型的なセキュリティ組織が持つ機能は何かをまず割り出した。そして、理論的にどの機能をどの部門に割り当てることができるのかを精査していった。

　ほとんどの組織において、セキュリティ機能は大きく3つのグループに分類される。「情報セキュリティ」「ITセキュリティ」「IAMセキュリティ」の3つだ。

　1つは、ガバナンスやポリシー管理、リスク管理、セキュリティプロセス管理などを行う「情報セキュリティ・チーム」。2つ目は、ITインフラおよびデータ保護志向の機能を持ち、アプリケーション、データ、エンドポイントなどのセキュリティを担う「ITセキュリティ・チーム」。そして3つ目は、アイデンティティおよびアクセス管理をカバーする「IAMセキュリティ・チーム」だ。

　そして、それぞれが持つ機能を一つ一つ掘り下げて、他の部門に配分できるかどうかを考えていったところ、「ほとんどの機能は、少なくとも理論的には他に配分することができることが分かった」とショルツ氏はいう。

【次ページ】ではどういう組織モデルを描くべきなのか？