セキュリティリーダーの資質とは
今回インタビューしたリーダー、それから私がセキュリティ関連のコンサルティングを通じて接してきた方々は実に多様です。業界は様々で個々人のキャリアも異なります。組織内のポジションも色々です。それでも共通点を私なりに感じ取れました。
まず、セキュリティ実務をこなす力をお持ちです。セキュリティリーダーは、ビジネスの実態を把握した上で、セキュリティを確保するために必要な施策を考えます。具体的な実務はセキュリティチームや情報システム部門、あるいは外部企業に担当してもらうわけですが、方針を決め、指示を出すのはリーダーです。
実際にサイバー攻撃による事故や情報漏洩が起きてしまったら、リーダーは状況を把握しつつ、チームの担当者と共に問題解決に当たります。複数の部門に動いてもらったり、全社員にとるべき行動を周知したりする。社内の各部門を横断して動ける人がリーダーになっています。
「ビジネスの実態を把握」という点が大事ですね。
山本:ビジネスセンスと私は呼んでいます。例えば、重要なプロジェクトで情報漏洩が起きるリスクをどう見積もっておくか。主力事業がサイバー攻撃を受けた際、顧客や取引先に何をどう伝えるか。買収した海外企業の社員へのセキュリティ教育をどう進めるか。こうしたことの判断にビジネスセンスは欠かせません。
縦割りになっている企業内で「部門を横断する動き」をとるのは難しいのでは。
山本:そこを何とかしようと、セキュリティリーダーの皆さんは社内外とのコミュニケーションを密にとっています。日頃から経営陣とやり取りし、企業が進む方向を確認しつつ、セキュリティに関する施策を経営陣に提案し、実行し、報告する。このとき、通常のビジネスの言葉で説明する必要があります。
セキュリティを自社だけで確保するのは不可能
さらに他社のCISOやセキュリティリーダー、そしてそういう人が集まっているセキュリティコミュニティとも連絡を取り合っています。セキュリティを自社だけで確保するのは不可能であり、業種ごと、地域ごとに攻撃状況などを伝え合い、常に対応を見直していくわけです。世界のCISOともコミュニケーションをとるリーダーも出てきています。
ビジネスセンスがあり、コミュニケーションをとれ、しかもテクノロジーのことが分かるとなると、やはりなかなかいないのでは。
山本:最終形を先に言ってしまうとそう思われるかもしれませんが、そうなれる可能性を持った人であれば社内にいるはずです。これからセキュリティリーダーを置こうという場合、まず社内でやれそうな人を探すことになるでしょう。中核となるビジネスの現場を経験していて、チームを率いることができ、経営陣が信頼している人が候補になります。セキュリティやテクノロジーの知識は後から身に付ければよいので前提ではありません。
情報システム部門の人ではなくても、新しい設計基準やルールなどを全社に取り入れる活動あるいは業務改革プロジェクトなどに関わった人は候補と言えます。全社の組織や業務を俯瞰し、利害関係者と交渉した経験を持っているからです。経営企画やリスク管理部門などガバナンス人材の中にも適任者がいるかもしれません。事業部門を調査したり統制を効かせたりした経験があり、社内の利害関係が分かった上で交渉する力を持っているからです。
リーダーの資質について付け加えると、今回インタビューした方々には、いわゆる「やらされ感」が皆無でした。ともすればセキュリティの活動は縁の下の力持ちで、問題が起きたときだけ注目される損な役回りとみなされがちでしたが、それは時代遅れの認識です。
企業の将来を左右する重大な仕事ですし、新製品や新サービスの安全を担保する積極的な活動でもあります。リーダーの皆さんは日夜降りかかるサイバーセキュリティの難題と格闘されているわけですが、セキュリティの奥の深さをある意味、楽しんでいるところがありました。経営者の方は、そういう人を見つけ、登用してはどうでしょうか。
生真面目だが余裕がない人はリーダーに向かないということですね。
山本:難しいところですがそう言えますね。職務上どうしても企業のセキュリティ担当者は守りに偏りがちです。とはいえ何事に対しても「セキュリティ上、危険なので駄目です」の一点張りになっては、情報が使い辛くなり、新しいビジネスがやりにくくなります。
日本企業の人事ローテーションとセキュリティ人材育成の兼ね合いについて言及されています。
Powered by リゾーム?