“守り”に入ったセキュリティ部門は捨てられる---ガートナー ショルツ氏

クラウドコンピューティングやBYOD(bring your own device)の動きが顕在化し、企業のシステムを取り巻く環境が変化する中、セキュリティ部門や同部門のトップであるCISO(最高情報セキュリティ責任者)に求められる考え方も変わり始めている。ガートナー リサーチのバイス プレジデント兼最上級アナリストであるトム・ショルツ氏に、セキュリティ担当者に求められる能力を聞いた。

企業のセキュリティ部門はどのような変化に直面しているのか。

例えばスマートフォンによるモバイルコンピューティング環境で改革が起きている。セキュリティ担当者たちは、これら機器を社内に持ち込むことに対して、リスクがあるため「ノー」と言いたい。

 クラウドも同じ。ビジネス的には魅力的で財務的にもいいモデルなのに、セキュリティ部門は否定的だ。

 ビッグデータでは、大量の価値あるデータがあるにもかかわらず、セキュリティ部門はデータごとに利用できる人を区切って活用させるなど、包括的な内容を把握できなくしてしまう。

 モバイルコンピューティングやクラウド、ビッグデータの採用により、これまでシステム部門がコントロールしてきた機能の一部が、ビジネス側に移るようになった。

 こうした変化に対してセキュリティ部門が、「ノー」ばかりを言ってしまうと、ビジネスの現場にいる社員は、システム部門を無視して仕事を進めるようになる。

 25歳より下の「デジタルネイティブ」と呼ばれる世代が、就職し始めている。彼らはインターネット、モバイルアクセス、ソーシャルメディアなどに自由にアクセスできる環境で育ってきた。会社で従来型のセキュリティ担当者が否定的なことばかりを言ってしまうと、デジタルネイティブ世代の人たちは、優秀な人から別の会社に移っていってしまうだろう。

セキュリティ部門が“守り”に入っているということか。

 セキュリティ部門の担当者は元来、コンサバティブなものだ。しかし変化に対応する柔軟性を高めないと、組織の中で有効性や関連性を失って無視される存在になってしまう。

そうならないためにセキュリティ部門はどうするべきなのか。

 セキュリティ担当者たちは、セキュリティをなりわいにしている人たちとの会話はできている。一方で、企業でビジネスを担う人が理解できる言葉で、セキュリティについてうまく語ることができない。

 理由として、その企業のビジネスをけん引しているのは何かを理解できていないのと、ビジネス側の人とのコミュニケーション経験が不足していることが挙げられる。

 効果的なコミュニケーションを上級役員レベルの人たちとするスキルが足りないのだと思う。時間がないエグゼクティブに3〜4秒で理解してもらえるコンセプトを伝えるスキルが不足している。エグゼクティブたちが理解できる方法で、さらには事業目標につなげた形でセキュリティの話ができる必要がある。

ではセキュリティ部門のトップであるCISOが身につけるべきスキルは何か。

 あえて3つ挙げるなら、ビジネス知識、コミュニケーション能力、リレーションシップ能力。最も重要なのはリレーションシップ能力だろう。ビジネスを担う立場の人とうまく関係を築けていれば、効果的なコミュニケーションが取れるはずだし、ビジネス側の要求も理解できるはずだ。

CISOは必要なスキルに対して、企業のセキュリティを維持する仕事に追われて、手が回っていないのが現実では。

 実行力のあるCISOは、運用などの業務についてはチーム内にうまく権限を委譲しているはずだ。CISOの立場の人たちがこうしたスキルを磨く時間をうまく得られないのなら、恐らくその職を失うことになるだろう。

 セキュリティが売り上げを生み出すものではないため、多くのCISOは不十分なリソースの中で仕事をしているだろう。しかし先ほど挙げたスキルを身につけられれば、情報セキュリティの価値を幹部に伝えられ、CISOとして会社に貢献できる。

CISOとCIO(最高情報責任者)はどのような役割分担がよいのか。両方の仕事を兼務している例もあるが。

 CIOは技術、情報活用の全体を見る立場だが、CISOの立場は情報やITの利用にかかわるリスクをマネジメントすることだ。CISOはいかに組織で情報を活用するのかその方向全体を総括して、確実な利用を保証する立場にある。

 従業員が3000〜4000人でIT担当者が80〜90人を超えている企業では、CIOとCISOが別にいないと合理性がない、といえるほどCIOとCISOの役割は異なっている。

 リスクマネジメントをするシステム部門は、リスクを避けようとする振る舞いをしてしまいがちだ。だからこそCISOの立場の人間がリスクを評価できないといけない。ビジネス部門がリスクと得られる利益をはかりにかけて意思決定ができるよう、リスクについてアドバイスする能力がないといけない。

最後にCISOの立場にいる人は、どうあるべきか。

 繰り返しになるが、CISOはビジネス、コミュニケーション、リレーションのスキルに優れていないといけない。

 セキュリティの知識はなくても、ビジネス、コミュニケーション、リレーションのスキルを持つ人材がセキュリティ部門を率いる方が、企業にとっての早道になることもある。リーダーシップを持っている人ならチームをグリップできるし、不足している技術的な部分はセキュリティチームが補完すればよい。欧米の一部の企業では、セキュリティ関連の業務で経験がない人がCISOに選ばれる例もある。

2013年 9月5日
参照Itpro

ガートナー

顧客には数々の大手企業や政府機関が名を連ねており、IT系企業や投資組合なども多い。リサーチ(Gartner Research)、エグゼクティブプログラム(Gartner Executive Programs)、コンサルティング(Gartner Consulting)、イベント(Gartner Events)から構成されている。1979年に設立され、3700名の従業員のうち 1200名がアナリストやコンサルタントとして世界75カ国で活動している。

ガートナーについて

IT業界、コンサルティング業界の最新ニュースをお伝えします。最先端の業界で何がどう動いているのかをWatchすることで、広くビジネス界全体の今後の動きを展望することができるはずです。

ニュース検索はこちらから 


無料転職相談・登録はこちらから

初めての方へ

INTERVIEWインタビュー



SEMINARセミナー情報

他セミナー情報一覧

FIRMファーム・企業特集

アクセンチュアの中でも特に積極採用を行っている各領域ポジション

DTC積極採用中!未経験からコンサルへ!

世界最大級ファーム「PwCコンサルティング」各ポジションの求人案件掲載中!

KPMGコンサルティングで積極採用中!各ポジションの求人案件掲載中!

過去最高益を記録した、東証一部大手ITコンサルティングファーム

おすすめ求人

業務プロセスコンサルタント:大手総合外資系コンサルティングファーム

もっとも知名度の高い大手総合外資系コンサルティングファームの一つ

SCM領域に対して、戦略の策定から業務改革やプロセスの再構築、組織変革、ITの導入・定着といったコンサルティングサービスを提供します。

詳細はこちらから

ITコンサルタント:最大のSI会社を母体とするシンクタンクにてIT戦略策定

日本最大のSI会社を母体とするシンクタンク。戦略立案、新規事業戦略、IT戦略等のコンサルを中心に展開しています。

一般企業、金融機関、行政機関全般における、IT戦略、CIO支援に関連するコンサルティング業務

詳細はこちらから

転職サービスはすべて無料となっております。ムービンではお一人お一人に
合わせた転職支援、そしてご自身では気づかれないキャリアの可能性や、
転職のアドバイス、最新の情報をご提供致します。
キャリアチェンジをお考えの方はぜひ一度我々にご相談ください。

無料転職相談・登録はこちらから

無料転職相談・登録はこちらから

転職サービスはすべて無料となっております。
ムービンではお一人お一人に合わせた転職支援、
そしてご自身では気づかれないキャリアの可能性、
転職のアドバイス、最新の情報をご提供致します。
ぜひ一度我々にご相談ください。

無料転職相談・登録はこちらから

ITコンサルタントになるには

ITコンサルタントとして求められる基礎能力・資質 - 求められる人材像とは

皆様からよく頂くご質問

弊社にご登録いただき、ご面談した方からよく頂くご質問をまとめてみました。

初めての方へ

ムービンのことや、弊社サイト活用法などをご紹介致します。

未経験からITコンサルタントへの転職 その対策方法とは?

未経験からITコンサル転職を目指している方へ、その転職方法と積極採用中の求人をご紹介いたします。

ページトップへ

お問い合わせ、ご相談はこちらから。すべて無料となっております。

Copyright (c) movin CO .,Ltd. All rights reserved.



未経験からコンサル転職

初めての方へ

無料転職相談・登録