[インタビュー]

エンドユーザーを「格好の標的」から「最高の防御壁」へ

テクノロジーよりも人を重視するセキュリティ対策

2016年8月5日(金)川上 潤司(IT Leaders編集部)

事業部門が積極的にITを活用して攻めのビジネスを展開するような例が続々と出てきている。そうした状況下、CIOやIT部門は、データのガバナンスやセキュリティ対策において、どのような使命を担うべきか。この領域を専門とする米ガートナーのトム・ショルツ氏(リサーチ部門 バイスプレジデント 兼 ガートナーフェロー)に話を聞いた。

 各種のクラウドサービスが充実してきたことや、ビジネスパーソンのITリテラシーが向上したことなどを背景に、事業部門が自ら“攻めの事業モデル”を画策し、あれこれ積極的に手を打ち始めている。セキュリティやガバナンスの観点で問題がないかを確かめにCIOやITリーダーが現場にヒアリングに出向くと、「我々がアクセル全開でいこうとしてるのに、わざわざブレーキを踏みに来たのか」といった陰口をたたかれかねない。こうした状況にどう対峙していくべきだろうか。

米ガートナー リサーチ部門 バイスプレジデント 兼 ガートナーフェローのトム・ショルツ氏

 事業部門自らが、最新テクノロジーを活かしてビジネスを加速させていく「デジタルイニシアティブ」に取り組むようになった状況下、「CIOやIT部門がデータのセキュリティやガバナンスに関わるすべてに責任を持つべし」といった従来ながらの考え方が通用しにくくなっていることをまず認識しなければならない。Time to Marketが最優先される様々なプロジェクトが既に社内で多数動いているだろうし、その数はますます増えることになる。すべてを中央集権型でカバーするのには自ずと限界がある。

 それぞれの事業部門が主導権を握って進める戦略においては、リスクのとらえ方もまちまちだ。リスクという英語の真意はなかなか伝わりにくいのだが、単に“危険”を意味するものではない。リスクをTakeする(とる)という表現からも分かるように、能動的な行動の結果として予期せぬことが起こる可能性がリスクであり、それには目的を阻害するマイナス要因もあれば事業機会に結び付くプラス要因もある。事業部門は、これまで避けていたリスクを積極的にとることもあるし、その性質や選考度合いが大きく変わってきていることを理解する必要がある。CIOがかねてから経験を積んできたリスク管理のやり方を、紋切り型で持ち込んでも、うまくはまらないのだ。

 とはいえ、企業はコンプライアンスを遵守しなければならないし、セキュリティインシデントに端を発する信用失墜などを起こさぬよう注意を払わなければならない。ここで最近、広く受け入れられるようになってきたのは、事業部門が自律的に推し進めるデジタル戦略において、それを支えるシステムが独立したものである限りはインフラもデータも当該部門がオーナーであり、しっかりとした説明責任を負って事にあたるべし、という考え方だ。CIOとしてアドバイスできることは多々あるが、責任はあくまでオーナーとしての各事業部門にあり深く干渉できないと割り切る。一方、その事業部門が全社的に共有されるインフラ環境を使ったり、CIOが責任を持つデータとつなげたりするのであれば、CIOが管轄するポリシーに準拠することが絶対条件という明確な線引きをするのだ。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

【次ページ】ロールベースのユーザー管理に新しい動き
  • 1
  • 2
  • 3
関連記事

エンドユーザーを「格好の標的」から「最高の防御壁」へ事業部門が積極的にITを活用して攻めのビジネスを展開するような例が続々と出てきている。そうした状況下、CIOやIT部門は、データのガバナンスやセキュリティ対策において、どのような使命を担うべきか。この領域を専門とする米ガートナーのトム・ショルツ氏(リサーチ部門 バイスプレジデント 兼 ガートナーフェロー)に話を聞いた。

PAGE TOP