「脅威から守る」では響かない──経営陣を納得させるセキュリテイ投資の説明、5つのポイント


 IT投資にまつわる大きな課題の1つに、「経営陣がITを理解してくれないので予算がなかなか確保できない」というものがある。最近でこそ「デジタルトランスフォーメーション(DX)」のブームでIT投資の重要性を認識する経営者も増えてきているが、こと情報セキュリティとなると、その投資の必要性を経営陣に納得してもらうのは至難の業だ。

 なぜ、セキュリティ投資の説得はなかなかうまくいかないのか、どんなアプローチをすれば経営陣に納得してもらえるのか──。2021年7月、AnityAがその解を考えるための「『セキュリティよりもデータ活用に投資しろ』といわれたら? 経営陣を納得させるセキュリティ投資の説得術」と題したイベントを開催した。

 このイベントでは、アサヒグループホールディングス(以下、アサヒグループHD)でアサヒグループ全体のITアーキテクチャ設計を担当する同社 日本統括本部 システム統括部 マネジャーの清水博氏が登壇し、同氏が長らくビジネスとITの現場を経験してきた中で学んできた「ビジネスサイドの心を動かすIT投資の説明方法」について説明した。

 また、同氏は、自身が中心となって進めている「ITアーキテクチャ変革」の取り組みについても、情報セキュリティの面のみならず、さまざまな観点から言及した。

 本イベント記事の前編では、本イベントの前半に清水氏が行ったプレゼンテーション「ビジネスサイドから見たセキュリティへの投資とは何か──稟議が通らない理由と解決策」の内容を紹介する。

この5年間でセキュリティの取り組みを一気に強化

 清水氏はSIerでITエンジニアとしてのキャリアを積んだ後、今から15年前にアサヒグループHDに入社し、エンジニアとしてのキャリアから一転して国際部門でグローバルビジネスの戦略立案やM&Aの業務に従事するようになった。

 そんな同氏が同社のシステム統括部に異動し、再びITに関わるようになったのが今から約5年前のこと。それ以来、情報セキュリティを含むアサヒグループHD全体のシステムアーキテクチャの企画や設計に一環して関わってきた。

 なお、アサヒグループHDでは現在、ビジネス全体の中で占める海外事業の割合が年々増えており、「情報セキュリティやアーキテクチャの企画・設計においても『グローバル対応』が重要な鍵を握るようになってきている」と清水氏は話す。

 「グループ全体の売上の4割強を海外市場が占めており、利益率も国内より海外の方が高い傾向があります。人員に関しても海外の拠点やグループ会社で働く従業員の割合が増え続けていて、現在では既に半分近くが日本以外の国の出身者によって占められています。従って、こうしたグローバル体制において、国や地域をまたがったコミュニケーションをいかに円滑に運ぶかが大きな経営課題になっています」(清水氏)

 清水氏が事業部門からIT部門に異動した5年前には、同社内における情報セキュリティの意識は決して高くなかったという。

 「私は長年、業務部門にいましたから、情報管理やセキュリティの観点からIT部門に何か口出しされることを、あまり快く思っていませんでした。正直に言えばセキュリティなんて興味ないし、『まあ、別にやってもいいけど、俺の仕事の邪魔だけはするなよ!』というのが本音でした。これは私のみならず、ビジネス側にいる人の間の共通認識だと思っています」(清水氏)

 一方、IT側としても、決してセキュリティ対策を「本腰を入れて」行っていたとは言えなかったという。もちろん必要最低限の水準はクリアしていたものの、「これが必要だからやる」と主体的に決めて実行するのではなく、どちらかというと「同じ業界のあの会社もやっているから、うちもやらないと」という横並び意識や受け身の感覚でやっていた感覚が強く、「やりすぎず、やらなさすぎず」というのがかつての同社のセキュリティ対策だった。

 しかし直近の5年間で、こうしたセキュリティに対する消極的な姿勢はかなり変わったという。一例を挙げると、2016年まで同社では、長きに渡って古いバージョンのMicrosoft Officeを使い続けていた。それは、従業員の生産性を損ねるだけでなく、セキュリティ対策上も大いに問題があった。

 そこで2016年からOffice 365の導入を一気に進め、さらに2021年にはOffice 365の最上位プランである「E5」を契約した。これにより、マイクロソフトが提供するさまざまなセキュリティサービスをフル活用して、いわゆる「ゼロトラスト」モデルに基づく最新のセキュリティ対策を導入することにした。

 「このOffice 365 E5の導入をはじめ、この5年間でセキュリティに対する取り組みをかなりドラスティックに変えてきました。その過程ではうまくいった取り組みもありましたし、逆にあまりうまくいかなった取り組みもありました。それらを幾つか振り返りながら、どうやってセキュリティ投資の必要性を会社の上層部に説得してきたかを紹介したいと思います」(清水氏)

いくらかみ砕いて説明しても分かってもらえなかった「ゼロトラスト」

 清水氏は「うまくいかなかった例」として、同社が現在進めているゼロトラストネットワークへの取り組みを挙げる。同氏がゼロトラストに対して興味を持ったのは、まだ今日ほどゼロトラストが広く知られていなかった2017年ごろのことだった。

 コミュニティなどを通じて独自にゼロトラストに関する学習を進めていったところ、「これはアサヒグループHDが現在、抱えているビジネス課題を解決するために極めて有用である」との確信を深め、早速プレゼン資料をまとめて社内の関係者に説明することにした。

 2019年からは本格的に社内の啓蒙活動を展開してきたが、残念ながらその後、現在に至るまでもゼロトラストの有用性が社内で十分に広く認知されているとはいえないという。その理由について同氏は、「ゼロトラストそのものの説明に終始してしまったからではないか」と自己分析する。

 当初から、ゼロトラストが「説明するのが難しい概念」であるという認識はあったことから、まずは「ゼロトラストとは何か?」という基礎的な部分から、なるべく分かりやすい比喩を用いて丁寧にかみ砕いて説明するよう心掛けたという。そして最終的には、従来の境界型モデルとゼロトラストモデルとの違いや、自分たちの事業や組織にとってのメリット・デメリットなどが一目で把握できるよう、分かりやすいチャートにまとめて経営層に提示した。

 しかし、ここまでやっても、会社の上層部から返ってきたのは「ゼロトラスト? よく分からん!」という反応だった。

 「これでもし『分からない』と言われたら、もう未来永劫理解してもらえないだろう──というところまでかみ砕いて説明したつもりでした。しかし、そこまでやっても返ってきた答えは『分からない』というもので、結果的に今に至るまで社内でゼロトラストの話題が盛り上げることはありませんでした。ただ、個人的には、この経験を通じて『こういう話し方をしても、セキュリティについて理解してもらえることはない』ということが身に染みて分かりました」(清水氏)

「経営課題」と紐付けてゼロトラストの必要性を訴求

 一方、「ゼロトラストそのものの価値を訴求するやり方」ではなく、「ビジネス上の課題やニーズに付加する形でその必要性を訴えかけるやり方」は、ある程度功を奏したという。先ほど紹介したように、アサヒグループHDでは現在、グローバルでのコミュニケーションをより円滑化するためのさまざまな施策を進めており、その一環として「グローバルワークスペース」の構築に取り組んでいる。

 同社は、欧州を中心に世界中でM&A戦略を進める一方、海外に多くの工場や販売拠点を構えており、グループ全体で見ると実に多様な言語やカルチャーをバックグラウンドに持つ従業員が働いている。このようにグローバルカンパニーとしての色を年々強めていく中、グループ内のコミュニケーション基盤もそれに合わせてグローバル運営に適した形へと進化させていかなくてはならない。

 「グローバルでのコミュニケーションを前提にした場合には、地理的に狭い範囲を閉域網で結んだクローズドネットワークではなく、オープンなネットワークをベースにしたデジタルワークスペースの仕組みを構築して、グローバルに広く展開していく必要があります。そうなると、セキュリティ対策の在り方も自ずと、これまでの境界型モデルからゼロトラストモデルへと移行させる必要があります」(清水氏)

 そこでデジタルワークスペースの整備シナリオに合わせる形で、ゼロトラストセキュリティ構築のロードマップも同時に策定した。具体的には2021年中に「働く場所に依存しないセキュリティ」を実現し、その翌年に「データ活用による内部犯行の防止」を実現するというシナリオを描いた。そして最終的には2027年に閉域網を全廃し、「インターネットをベースにしたグローバルなデジタルワークスペースの完全な実現」を目指すとしている。

 このようにゼロトラストそのものの必要性を説くのではなく、経営層にとってより身近な「グローバルにおけるコミュニケーション課題を解決する」という経営課題を取っ掛かりにした結果、ゼロトラストの導入自体もスムーズに運ぶようになったという。

 「実際にはゼロトラストの導入だけでグローバルのコミュニケーション課題がすべて解決されることはないのですが、そのための重要な施策の1つとして経営層にも理解してもらえたと思います。加えて、将来的に閉域網を全廃することでネットワークインフラに掛かるコストを大幅に削減できる見込みを示して、経営層のコスト意識に訴えかけられた点も、理解を得ることができた要因の1つだったと思います」(清水氏)

総務・法務が抱えるガバナンス上の課題にうまく乗っかる

 もう1つ、うまくいった例として清水氏は「総務・法務部門を味方につける」やり方を挙げる。同社ではかなり早くから、ファイルデータのセキュアな管理を実現するために、クラウドストレージサービス「Box」の導入を検討してきたが、業務部門の中には「単なるクラウドストレージサービスではないか? なぜこんなものをわざわざ導入する必要があるのか?」との声も少なくなかったという。

 一方、Boxのセキュリティ対策上の価値にいち早く理解を示したのが、意外にも総務部門と法務部門だった。両部門にとって、社内ドキュメントのアクセス権限を厳密に管理したり、ファイルデータの保管ポリシーを厳守するといった施策は、社内のガバナンスを統括する上で極めて重要な取り組みと位置付けられている。しかし、そのためのITの仕組みを独自に導入するためにはそれ相応の予算が必要になり、総務・法務部門に割り当てられる予算だけでは実現が難しかった

 そこで総務・法務部門とIT部門が手を組み、「全社のガバナンス課題を解決する」という目的をを達成するためにBoxを導入し、そのセキュリティ機能を活用することで、結果的にIT部門が当初、企図していたセキュリティ課題も同時に解決できることになったという。

 「セキュリティというとどうしてもサイバー攻撃や内部犯行などのリスクに目が行きがちですが、会社の事業活動という観点で見ると実はガバナンス強化の方がより優先順位が高いこともあります。そこでガバナンスの担当部門である総務や法務のニーズに応えるという大義名分を掲げることで、よりスムーズにセキュリティ予算を確保できるようになります」(清水氏)

 なお、同社では社内システム全体を、パブリッククラウドをベースに先進技術を活用したフロント系システムや情報系システムを稼働させる「モダンアーキテクチャレイヤー」と、オンプレミス環境上で基幹システムを稼働させる「レガシーアーキテクチャレイヤー」に分けている。さらには、この両者を疎結合で結ぶ「抽象化レイヤー」を設けた3層構造のアーキテクチャを採用している。

 新たに導入したBoxはこの中の抽象化レイヤーに位置しており、そのほかにもモダンレイヤーとレガシーレイヤーとの間の疎結合を実現するためのさまざまな製品・サービスを導入している。このような企業全体のアーキテクチャ戦略を推進するための投資は、セキュリティ投資に比べると経営層の理解を比較的得やすいという。

 「抽象化レイヤーの必要性については、きちんとそのビジネス上の必要性を説明すれば経営層も理解してくれます。でも、具体的な中身を説明しても『なんだかすごそうなことをしようとしてるんだね』という程度の反応しか返ってきませんから、最終的には『必要性は理解できたから後は任せるよ』と言ってもらえます。そうなればもうこっちのものですから、意図的に『ビジネスにとって必要だけど、何だか難しくて高尚なもの』という雰囲気を演出するのも手だと思います」(清水氏)

セキュリティ投資の説得を成功させる5つのポイント

 最後に同氏は本プレゼンテーションのまとめとして、セキュリティ投資を企業の上層部から取り付けるための考え方やコツを、以下5つのポイントにまとめて提示した。

・脅威から守る目的ではなく、ビジネスに貢献できるセキュリティを訴求

 IT側の観点から見ると、情報セキュリティを「インシデントの脅威から守るためのソリューション」と捉えがちだが、ビジネス側の人間の理解を得るためには「いかにビジネスに貢献できるか」という観点が不可欠である。

・働き方やワークスペースの切り口でセキュリティ強化

 ビジネスのグローバル化や働き方改革、コロナ禍に伴うテレワーク対応などを契機に、「新たな働き方やワークスペースを実現するためにはゼロトラストが不可欠である」と訴えることで経営陣の納得感を得やすくなる。

・企業管理ガバナンス領域の目的達成に便乗

 自社のガバナンス管理を担う総務部門や法務部門と協力し、「ガバナンス強化のためにはセキュリティ強化が必須である」というロジックを前面に打ち出すことでセキュリティ投資の理解が得やすくなる。

・専用線中心としたネットワーク構成からの脱却

 「プライベートネットワーク+境界型セキュリティ」の組合せから「オープンネットワーク+ゼロトラストセキュリティ」へと移行することによるネットワークコストの削減効果を経営層に訴求し、投資の妥当性を説得する。

・セキュリティこそ中長期ビジョンの策定が重要

 経営計画やシステム計画を立てる際にはまず中長期的なビジョンを確立することが極めて重要だが、セキュリティ対策においてもまったく同様であり、特にこれまで消極的なセキュリティ対策に終始していた企業はぜひとも中長期的な観点に立ったセキュリティ対策のビジョンの策定にぜひ取り組むべきである。

 これらのポイントに加えて、清水氏は「ベンダーに頼り切らないこと」が極めて重要であると力説する。

 「今回、紹介したようなセキュリティの取り組みを社内で進めるに当たり、実はベンダーに助けてもらったことはほとんどありません。その代わりにコミュニティーに積極的に出ていって情報を収集して、自分たちですべての構想を立てました。答はベンダーではなく、自分たちの中にあります。やはりベンダーに頼り切るのではなく、自社のビジネスに貢献できるセキュリティを自分たちの手で築き上げることが最も重要です」(清水氏)

執筆

吉村哲樹記事一覧

早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

編集

後藤祥子記事一覧

ITmediaエンタープライズの担当編集長を経て独立。現在はエンタープライズITの変革者に伴走するメディア「Darsana」の編集長として、変革者へのインタビュー、イベント企画、コミュニティ運営を手掛けている。ITとビジネスをつなぐ役割を担っているCIO、IT部門長へのインタビュー多数。モットーは、「変化の時代に正しい選択をするのに役立つ情報を発信すること」

クレジット

イベント企画:AnityA

関連記事