※本記事はDarsana ID会員記事です。記事の続きは会員登録（無料）の上、ログインしてご覧ください。

　
　ITやセキュリティの必要性をなかなか理解してくれない経営層をいかに説得し、セキュリティ投資のための予算を確保するか──。2021年7月、この解を考えるための「『セキュリティよりもデータ活用に投資しろ』といわれたら？　経営陣を納得させるセキュリティ投資の説得術」と題したAnityA主催のセミナーが開催された。

　多くのセキュリティ担当者にとって悩みの種であるこの課題について、本イベントの前半ではアサヒグループホールディングス 日本統括本部 システム統括部 マネジャーを務める清水博氏に自身の経験をプレゼンテーションで紹介してもらった。

　イベントの後半では、このプレゼンテーションの内容を受けて、アサヒグループのセキュリティ戦略をベンダーの立場から支援する日本マイクロソフト株式会社 Microsoft 365ビジネス本部 製品マーケティング部 プロダクトマーケティングマネージャー 山本築氏と、エンタープライズ企業向けにITコンサルティングサービスを提供するAnityAで代表取締役を務める中野仁を交えた3人でフリーディスカッションを行った。

　本記事では、このディスカッションの模様をお伝えする。

セキュリティベンダーの「ホラー営業」には付き合わないのが吉

中野氏　清水さんのプレゼンテーションをお聞きして「とても本質的だな」と感じたのが、セキュリティの話だけを経営陣に持って行ってもなかなか理解が得られないので、グローバルのコミュニケーション課題を解決するためのデジタルワークスペース構築の一環としてセキュリティをあわせて提案したという点ですね。

　やはり経営課題と紐付けてセキュリティの価値を提示しないと、経営層にはその必要性がなかなか伝わらないですよね。

清水氏　そうですね。ほかには、世の中で大きなセキュリティ事故が発生したタイミングで「うちでも対策しないとまずいですよ！」と急かして予算を確保するという方法もよく聞きます。

　でも、こうしたやり方は一時の熱が冷めるとすぐ効力を失ってしまいますし、本来の目的がきちんと理解されないまま場当たり的に対策を導入するので、後になって「なんでこんなものを入れてしまったんだ？」ということになりがちです。

中野氏　そうやって導入した仕組みは得てして長続きしませんし、過剰投資になりがちです。しかも製品導入に合わせてよく分からない運用プロセスや運用ルールも作ってしまったがために業務生産性が下がってしまい、まったく本末転倒になってしまっているケースも散見されますね。

　やっぱり安易に製品やサービスを導入するのではなく、一見、遠回りに見えても、自社のビジネスにおける導入価値をきちんと検討してから必要なものを取り入れる方が、結局は近道になりますね。

山本氏　確かにベンダーは、「対策しないと情報が漏えいしますよ！」「そのままではインシデントが発生してしまいますよ！」と半ば脅すような形、いわゆる「ホラー営業」で製品やサービスを売ろうとすることが多いですね。

　その点マイクロソフトはセキュリティ専業ベンダーではなく、まずは生産性向上のための製品・サービスを前面に打ち出していますから、生産性を阻害するような提案を行うことはありません。セキュリティ対策を特段行うことなく、標準状態できちんと安全が担保されているのが理想的な状態だと考えています。

　しかしアサヒグループさんが進められているデジタルワークスペース構想のように、どうしてもそれだけでは安全を担保できないというケースでは、必要な分だけの仕組みを導入すればいいのだと思います。

経営が理解できるようにセキュリティを「抽象化・シンプル化」して語る

山本氏　私が清水さんのプレゼンでとても印象に残ったのは、あくまでも経営の目線からシステムやセキュリティをとらえて、経営の文脈にうまく乗るように抽象化・シンプル化して語っている点ですね。

　ゼロトラストの話も出てきましたが、最近のゼロトラストのガイドラインを見ると「EDR（Endpoint Detection and Response）」「CASB（Cloud Access Security Broker）」「SASE（Secure Access Service Edge）」といったテクノロジーカットで分類・抽象化されていて、ビジネスの視点が全くないんですよね。これはちょっと方向性が違うのではないかと思っています。

清水氏　その通りだと思います。経営陣は各々「自分がやりたいことリスト」を持っているのですが、その中にセキュリティが入ることはまずありません。そこに対して、いきなりテクノロジーカットでセキュリティの重要性を説いて、無理やりリストの中に含めてもらおうと思っても、まず理解してもらえません。

　そうではなく、彼らがもともとリストの中に含めている「売上」「利益」「コスト」といった経営課題に絡めた形でセキュリティを語らなくてはいけません。そのためには、経営にも理解できる形にセキュリティを抽象化・シンプル化して説明する必要があります。

中野氏　総務部門と法務部門をうまく巻き込むことでセキュリティ対策の導入がスムーズに運んだ──というエピソードもありましたが、これも同じ話ですよね。業務部門が抱えている課題とセキュリティをうまく絡めることで、業務部門の人たちを味方に付けることができます。

　従ってシステム企画の担当者は、ITを何らかのビジネス課題とうまく掛け合わせられる能力が求められますね。これをやらずにシステムやセキュリティそのものの価値だけをいくら主張したところで、経営からしてみれば「何それ、おいしいの？」という程度の印象しか持ってもらえません。

ビジョンや戦略がなければベンダーの提案内容を評価することもできない

中野氏　もう1つ清水さんのプレゼンの中で印象深かったのが、セキュリティにおいても中長期的なビジョンが重要だとおっしゃっていた点ですね。

　これを持たない企業や組織は、ベンダーに言われるがままにいろいろなセキュリティ製品を場当たり的に導入していって、結果的にそれらを運用するためのプロセスや体制をうまく構築・運用に行き詰ってしまいます。

清水氏　ベンダーに言われるがままに製品を買ってしまう企業なんて、本当にあるんですか？

中野氏　会社全体のビジョンやアーキテクチャ構想がない状態で、部門ごとに個別の判断で製品を導入しているケースではままありますね。

山本氏　本来なら、まずはビジョンがあり、それを基にビジネスアーキテクチャを描き、最後に製品・サービスに落とし込むという順番で進めるべきです。

　でも、こうした手順を踏むことなく、個別のニーズに応える形でばらばらにシステムを導入していくとシステム同士の情報連携が取れませんから、そこから新たなインサイトは生まれません。ただ情報があちこちに散在するカオス状態に陥るだけです。

清水氏　ベンダーに提案を依頼するというのは決して悪いことではありませんし、実際、弊社でもそういうケースはあります。でもやっぱり基本的なアーキテクチャ構想がしっかり定まっていないと、ベンダーの提案内容が果たして自社の方向性や戦略と合致しているかどうかを見定めて正しく評価することができません。

　そうした評価や判断を「組織として高い精度で行う」ためにも、やはり中長期的なビジョンやアーキテクチャ構想は重要だと思います。

中野氏　最近、システム開発の「内製化」の重要性が叫ばれていますが、内製化といっても実際にコードを書く作業だけでなく、最上流の企画フェーズをきちんと内製化できるようになることがとても重要ですね。

　コンサルの支援を仰ぐことも決して悪いことではないのですが、少なくともコンサルが出してきたアウトプットをきちんと精査できるだけの企画力を自社で備えていないと、結局はコンサル会社にいいようにカモられるだけです。

組織や体制は変えないまま「やり方」だけを変える

中野氏　ここ5年間で、アサヒグループのセキュリティへの取り組みが急加速したとのことですが、そのために組織や体制はどのように変えていったのでしょうか。

清水氏　実は個人的には、ほとんど変わっていないと思っています。というのは、弊社は外資系企業やテック企業とは違って離職率や人材流動性が低いので、組織を構成する顔ぶれにほとんど変化がありません。ジョブローテーションは頻繁に行っているものの、組織全体を構成する人の入れ替えはほとんど起こっていませんから、やはり組織そのものも変わっていないと思います。

　つまり、「組織や人は変わっていない中、やり方だけを変えた」ということです。人そのものは変わっていないので、当然のことながら従来のやり方に固執する人からの抵抗や戸惑いといった反応はありますが、かといって無理に人や組織を変えようと思っても無理があります。ただ、中長期的には日本社会全体で人材の流動性がこれから急速に高まっていくでしょうから、そのときには弊社も大きな変化に直面すると思っています。

山本氏　マイクロソフトもCEOがサティア・ナデラに替わってカルチャーが一変したと言われています。短期間でこのような大きな変化を起こせたのは、組織のKPIを全部一気に変えた点にあります。一方、多くの企業では、社長が「カルチャーを変革せよ！」というミッションを現場に落とすだけで、組織にもKPIにも一切手を付けないので、結局は人の振る舞いが変わらず、何の変化も起きないわけです。

清水氏　なるほど。そういう意味では、弊社はこれまで人材の流動性が少なかったと同時に、KPIにも大きな変化はありませんでした。そのKPIの評価基準にたとえ違和感を覚えたとしても、それが理由で会社を辞める人は今まであまりいませんでした。

　でも、こうした考え方も、いずれ人材の流動性が上がれば一気に変わってくると思います。そのときにはアサヒグループも会社として、大きな変化を迎えることになると個人的には予想しています。

場合によっては「あえてベンダーロックインされること」も戦略の1つ

中野氏　先ほどのビジョンやアーキテクチャ構想の話とも関連するのですが、製品やサービスを導入する際には、全体の方向性や戦略との整合性はもちろんのこと、将来、整合性が取れなくなったときの「撤退のしやすさ」もあらかじめ考慮しておくべきですね。

　自社の戦略やビジネス環境、技術トレンドなどが当初の予想から大きく外れていくことは十分にあり得ますから、そうした事態に直面した際にスムーズに製品・サービスの利用を止められる出口戦略をあらかじめ立てておかないと、最悪、大きな技術負債を抱えて身動きが取れなくなってしまいます。

清水氏　そうですね。弊社ではその点を考慮して、さまざまな製品・サービスを互いに密結合ではなく疎結合でつなげることで入れ替え可能性を担保するようにしています。

　ただ、今のところ、マイクロソフトさんのOffice 365 E5に関してだけは、出口戦略が見付からないんですよね。E5のようにデジタルワークスペースとセキュリティの機能がひとまとめになっているソリューションは、今のところ他社からは提供されていないので、もしE5の利用をやめるとなると自前で個別のソリューションを調達して組み合わせる必要があります。これはこれでとてもハードルが高いので、あまり現実的ではないとも思っています。

山本氏　そういう意味では、かつてと比べて「ベンダーロックイン」という概念の捉え方が変わりつつあるのかなと感じています。

　Microsoft 365 E5の最大のメリットは、各ツール間のインテリジェンスの連携がデフォルトで可能になっている点にあります。従ってセキュリティインシデントが発生した際も自動的に各ツール間でインテリジェンスが共有され、相関分析によって感染の経路や影響範囲が即座に可視化できます。

　一方、個別にツールを導入した場合はこうしたインテリジェンスの連携を個別に実装する必要があり、相当ハードルが高くなります。従って、「ベンダーロックインされることのメリットとデメリットを冷静に判断すること」が大切だと思います。

清水氏　私も同感ですね。システム全体のアーキテクチャ設計において疎結合がきちんと担保されているのであれば、あえてロックインされに行くのも戦略の1つです。私はこのことを「戦略的にロックインされに行く」と表現しています。

　もちろん、その製品・サービスにべったり密結合してしまってはロックインのデメリットばかりが目立ってしまいますが、人間関係と同じでほどよい距離を保てるのであれば、ある程度ロックインされるのもいいのではないかというのが私の考えです。

セキュリティ投資は「過去との相対比較」では評価できない

中野氏　視聴者の方から、「セキュリティ対策に掛かるコストをどうとらえるべきでしょうか？」という質問が来ています。

　セキュリティ対策は「ここまでやれば十分」というラインがはっきり決まっているわけではありませんから、どうしても「どこまでお金を掛けるか？」「どのあたりで止めるか？」という匙加減が大事になってきます。

清水氏　投資額が高いか安いかを客観的に判断するには、やはり「物差し」が必要ですよね。そういう意味では、その会社の「身の丈に合った」投資額を割り出すことが必要だと思います。

　社会人1年生がいきなりフェラーリを買うのは身の丈に合っていませんよね。同じく企業がセキュリティに投資する場合も、自社の身の丈に合ったコスト感を大事にするべきだと思います。ただ正直に言うと、Office 365 E5は弊社の企業規模から見ても「高いなあ」と感じてしまいますね！

山本氏　確かに「E5が高い」というご指摘はたびたび受けるのですが、E5の価格を評価いただく際に導入・運用に掛かる人的コストがあまり考慮されていないのは少し残念だなと思います。

　E5はエージェントレスで展開できますし、先ほども申し上げた通りツール間のデータ連携も標準で実現しています。一方、エージェントをすべての端末にインストールする必要があったり、ツール間のデータ連携を個別に実装しなければならない製品を導入・運用するとなると、莫大なコストが掛かってしまいます。このあたりの潜在的なコストを節約できる点もぜひ考慮して評価いただけるとありがたいですね。

清水氏　確かにおっしゃる通りなのですが、セキュリティ対策の多くは新規導入なので、これまでの投資額との相対比較で「高くなった・安くなった」という評価ができないんですよね。純粋に「今よりお金が掛かるようになる」という印象が先に立つので、このあたりをどうクリアするかがセキュリティ投資を考える上で難しいポイントだと思います。

山本氏　確かにおっしゃる通りだと思います。一方、人手の作業を自動化することで空いた時間を、よりイノベーティブな仕事に費やせるようになる効果は経営層にはささるかもしれません。

清水氏　確かによく聞くロジックですね。ただ個人的にはそのロジックは、あまり説得力がないような気がしています。

　イノベーションはそのような受け身の姿勢で実現できるようなものではないはずで、イノベーティブなことを実現しようと考えている人は、いくら忙しくても事業を立ち上げるなり起業するなりして、とっくに能動的に行動を起こしているはずです。イノベーションのために時間を使おうなんて人はよほどのもの好きで、大半の人は時間が空いたら遊びにいきますよ。私だって時間ができたら飲みに行きます（笑）。

これからはITが経営を積極的にリードしていくべき

中野氏　「IT部門にとって中長期ビジョンとはどう考えるものですか？」という質問もいただいています。

清水氏　まず経営の中長期ビジョンありきで、そこからITの中長期ビジョンが導出されるというのが基本的な考え方だと思います。

　ただし、もし経営のビジョンが存在しなかったとしたら、私はITが経営のビジョンや戦略を策定するのがいいのではないかと考えています。ITは現実世界における実行力を伴いますから、空疎な絵空事を並べるぐらいなら、ITが主体となって経営戦略を考える方がよほど現実的なのではないかと思います。

中野氏　経営戦略がそもそもなければ、「これを戦略にするべきだと思います！」と初めに手を挙げた者の意見が通る可能性は高いですからね。従って、たとえIT側の人であっても、「こういう世界を実現したい」「こんな会社を目指したい」というビジョンがもしあるのなら、ぜひ経営戦略の領域にも踏み込んでいくべきですね。

清水氏　それに経営戦略よりIT戦略の方が、タイムスパンが長いですからね。

　中期経営計画は3〜5年のタイムスパンですが、IT戦略はもっと長い7〜10年のスパンで計画を策定します。従ってIT戦略を行政に例えると「都市計画」のようなものだと捉えています。

　都市計画は、まず長期的な計画があって、それに沿った形で個々の政策が決まります。ビジネスも同じように、まずは長期的なIT戦略があり、それを前提に個々の経営戦略が決まってくるわけです。

　今日の企業経営においては「ITが経営をリードする」と言っても過言ではありませんから、企業のIT部門はぜひ積極的に経営に関与していくべきだと思います。