【朝コラ】セキュリティ畑からビジネス畑への転身で学んだこと(前編) 1/2 | (仮)アホを自覚し努力を続ける!
Amebaホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

(仮)アホを自覚し努力を続ける!

アウグスティヌスの格言「己の実力が不充分であることを知る事が己の実力を充実させる」

【朝コラ】セキュリティ畑からビジネス畑への転身で学んだこと(前編) 1/2

ビジネス職へと転身した4人の元セキュリティ・プロフェッショナルが現役CSOに贈る
アドバイス
(メアリー・ブランデル)


 ビジネスとセキュリティの世界の間には大きな隔たりがある。ビジネス・リーダーにCSOの考えを深く理解することはできない──。これは、以前から繰り返し議論されてきたテーマだ。しかし、両者の間のギャップを解消する方法が少なくとも1つある。それは、CSOのビジネス・サイドへの転身だ。今回、そのような転身を遂げた4人の人物──ビジネス職に移った3人の元CSOと、著名ビジネス誌ハーバード・ビジネス・レビューの編集者になった元セキュリティ・ジャーナリスト──に話を聞くことができた。転身を果たした彼らは今、セキュリティやリスク管理の問題をどう捉えているのだろうか。本稿では、その4人の見解を紹介する。



ビジネス意識を持つことの重要性について

 チャーリー・ブラウン氏(以下、ブラウン):初めてビジネス関連職に就いたときのことだ。ある調査のためにいろいろなWebサイトを見て回ったのだが、本来問題のないはずのサイトまで自社のWebフィルタリング・ソフトウェアでアクセス制限されていると気がついた。例えば、ファッション・ブランドのアバクロンビーのサイトは、ポルノ・コンテンツが掲載されているとして遮断された。また、洋服のサイズを示す“XXXL”という表記があるページもブロックされたため、注文ができなかった。

 これを踏まえて私が助言したいのは、セキュリティ対策は自社が事業展開する市場を深く理解したうえで実施する必要があるということだ。今日、衣料品の6割は中国をはじめとするアジア諸国で作られている。中国のインターネット検閲システム“グレート・ファイアウォール”の存在や、インドネシアやバングラデシュの労働慣行を知らずにセキュリティ・ポリシーは決められない。また、土曜日に就労したり、金曜日が休みという慣習もある。もちろん、クリスマスとは無関係の国だって存在する。データセンターの移行で大失敗したくなければ、考慮するべきことばかりだ。

ジョン・ハートマン氏(以下、ハートマン):後悔しても遅いのだが、ビジネス畑に転身する前は、自分の会社がどうやって利益を得ているのか、その詳しい仕組みを知ろうとしなかった。企業各社は、それぞれ固有のビジネス・モデルや利益構造を持っている。

 自社の利益モデルを理解していると、セキュリティ強化や事業継続といったプロジェクトの提案や優先順位付けを、ビジネス面でのメリット/デメリットを深く考慮したうえで行えるようになる。またそうすれば、模索すべき解決策や費用対効果の高い実施方法を広い視野で検討することが可能になる。


信頼関係を強化する重要性について

 スコット・ブレイク氏(以下、ブレイク):私が今、その重要性を深く理解し、CISO(最高情報セキュリティ責任者)時代にもっとよく理解しておくべきだったと思うのは、周囲との信頼関係についてだ。当時も分かっているつもりではいたのだが、それは決して十分ではなかった。ウェルズ・ファーゴでファイナンシャル・アドバイザーを務めていたとき、この問題を深く理解するきっかけをつかんだ。

 セキュリティやITに携わる人々は非常に分析的な傾向があり、事実やデータをもって相手を説得しようとする。しかし、ファイナンシャル・アドバイザーとして、将来の生活を守るためにすべきことを顧客に理解してもらうには、相手の感情を尊重する姿勢が欠かせない。これは、情報セキュリティの世界でも同様で、分析によってデータ面での信頼を得ると同時に、感情面での信頼も獲得する必要がある。

 もし信頼関係の重要さについてCISO時代に理解していれば、周囲との関係構築にもっと多くの力を注ぎ、プロジェクトが人々の感情に与える影響にも注意を向けていただろう。


ビジネス・リーダーを理解することについて

 スコット・ベリナート氏(以下、ベリナート):ビジネス畑に転身して初めて理解したのだが、ビジネス・リーダーというのは本当に多くの責務を負っており、数分のアポイントメントを確保するのも困難なほど時間に追われている。CSOがリスクについて語るのを聞いている暇などない、とまでは言わないが、両者がコミュニケーション不足に陥る理由が今となってはよく分かるし、その溝は今後も埋まることはないだろうと感じる。いくらCSOが潜在的な脅威の危険性をCEOに説いても、彼らにとってそれは、どこか遠いところに存在するぼんやりとしたリスクにしか感じられない。差し迫った脅威でもないかぎり、彼らの関心を引き寄せることは困難だろう。

 このギャップの解消や克服は望み薄だ。必要なのはマネジメントである。CSOが期待できるのは、経営幹部に戦略的な役割を与えてもらい、検討が必要な話題について発言する権利を与えてもらうところまで。そうしてビジネス・リーダーから信頼を得られるようになったら、重要な問題の所在を彼らに示す。その細かな仕組みまで説明する必要はない。

 以上を理解した後は、すべての関係者が常にセキュリティのことを考えてくれるような一大改革は不可能だと悟った。それよりも、適切な相手と交わす定期的なコミュニケーションこそが大切なのだ。

 ブレイク:大人数を相手のコミュニケーションは非常に難しい。それよりも、1対1で対話するほうがはるかに効果的だ。例えばファイナンシャル・アドバイザーは、顧客に手紙を送ることがある。文面で相手の心を掴める場合もあると思うが、対面で話をすれば、もっと大きな影響を与えられるだろう。社内を相手にする場合も同様だ。セキュリティ担当者は、全社員に向けて繰り返しメールを送るのもいいが、個人的なつながりを忘れてはいけない。管理職など、社内に大きな影響力を持つ人物を説得できれば、その人物を通じて全社的に影響を及ぼすことが可能だ。

 ただし、CEOにばかりアプローチするのは必ずしも得策ではない。CEOを説得するなら、CEOが信頼を置いている人物をターゲットにしたほうが効果的な場合もある。

 またファイナンシャル・アドバイザー時代がそうだったのだが、相手が2人組である場合、一方が他方に意思決定を委ねているケースが多い。誰が意思決定権を持っているか分からない場合もあるが、交渉相手を説得したいなら、そうした人物にこそ働きかけるべきだ。

 ブラウン:ビジネスの最前線の現場と、企業という組織内での営みには大きな違いがある。ビジネスの現場では、常に予算不足や顧客からの厳しい要求といった問題との戦いを余儀なくされている。

 そこで私は、誰かが大規模な──例えば10万ドル規模の──プロジェクトを提案してきた場合、その人物を製造現場に連れて行く。そして、10万ドルもの利益を出すためにどれだけのタグやラベルを製造する必要があるのかを見せる。そうすると、大抵の人はすごすごと帰っていくことになる。