どこもデータ活用体制の構築に必死のようで、貯めこんだデータの活用が出来ていないと誰に話を伺っても一様に同じ嘆きが返ってきます。

データとリスクは比例する

創業期には、当然とにかく早急に結果を残さなければならないかと思います。
しかしながら、データを扱う以上はデータを取り扱い間違えた場合のリスクも同時に存在し、データが肥大化すると共にリスクも肥大化していきます。データとリスクは比例します。

寄せ集めのメンバー間には文化がまだ存在しません。当然ながら行動を起こさない限りセキュリティレベルは各々のリテラシーに委ねることになります。データドリブン組織がデータ取り扱いの信頼性を得る為には、 データドリブン推進の傍らで、成果発揮の為の業務と並行してセキュリティ対策を進める必要があります。

取り組みポイント

セキュリティ対策には「ベター」な推奨事項はあっても、どの企業でも同じことを実践する訳ではないと思います。この記事では、セキュリティの改善体制をどのようなことに気を配りながら構築したかについてを備忘録として記録します。
（私が携わった組織では、諸事情によりプライバシーマークやISMSなどがそもそも条件的に取得することが出来ないという前提があるため、本記事で書き起こすのは認証を得るための体験ではありません）

前提条件

• メンバーは情シス人員 計2名
• 規模は1～50人程度の企業を想定
• 会社にはエンジニア人材と非エンジニア人材が両方存在する

出来れば2名いた方がいいので、人員不足する場合はリソース増員を検討ください。
（難しい場合は一人で頑張りましょう！）

そもそもこれから取り組むことって…

セキュリティ対策をとことんネガティブに言い換えると、作業効率を落とすことに直結すると思っています。というと確実に語弊があるのですが、それでもセキュリティ対策を強いられる側から見ればそうとしか思えないので、その視点を常に持っておくことが大切だと感じています。
そして「作業効率落とすことなんて、デメリットでしかないじゃん！」とならないように、なるべくシレッと進めていくのが一番理想だと考えています。
つまり、セキュリティ対策を強く推し進めると作業効率が落ちて、作業効率を優先しすぎるとセキュリティ対策になってない、といったシーソーのような状態でどちらかに偏りが生まれていると所謂「情シスvs現場」みたいな対立構造が形成されてしまうと思うのですが、お互いにリスペクトし協力し合う（利益ある行動である）ということを認め合いながら進めていくことが肝要であると思うのです。
セキュリティはセキュリティ担当だけが頑張れば成熟するものではありません。
何よりも、セキュリティ担当以外の従業員の協力をどれだけ得られるかにかかっているのだと思います。

経営にとってのメリットを定義する

効率的にセキュリティ対策を進めていくためには、まず経営陣ないし社内でリソースのカギを握っている人物を説得していく必要があります。また既にその人物との合意が取れている（トップダウンで指示が下りてきた方）も、成果の方向性を違えない為にもこの手順は飛ばさずに実施した方が望ましいです。

本格的にセキュリティ対策に取り組む前に、以下の2点を定めます。

1. 経営上の理想像（対外的なメリット）
2. 環境の理想像（対内的なメリット）

前者は、セキュリティ対策の結果 社外から見てどのように見え方が変わるか（変えるか）といった"使命"に近いニュアンスのものを指します。
一方後者は、社内において副次的にどのようなことをセキュリティ対策により実現できるようになるか、といった「社内環境改善の理想像」を指します。
こうしたビジョンを立てることで後の工程での課題策定と取り組みのゴールが経営者-セキュリティ担当者-現場間でブレず、効率よく成果を出すことができるようになります。

セキュリティ対策チームがまだ存在せずセキュリティリテラシーが低い状態であれば、前者の例は以下のようなもの（例）になります。経営層ないしキーマンに対しボトムアップで提案し決めるのが良いと思います。

• データを預かる会社としての信用/信頼を獲得
• 情報漏えい事故を未然に防ぐことによる訴訟リスク軽減

後者は会社によって様々ですが、経営者がやりたいことや従業員が叶えたいことを挙げるのがよいでしょう。例えば以下のような例が挙げられます。実際にヒアリングして決めるのも良いと思います。なお上にも下にもヒアリングした方が絶対に良いです。

• リモートワーク環境の強化によるワーケーションの実現
• リモートワーク環境の強化によるエンジニア採用の優位性獲得
• 適切な権限管理によるデータ民主化の実現

これらを決め終えたら、実際の作業計画を立てる作業に移行できます。
上記が今後のセキュリティ対策の「ゴール」たるものになるので極力ブレないようにする必要がありますが、セキュリティ対策の実行期間によって柔軟に変更をかける必要もあるので適宜実施してください。
例えば1ヵ月間の取り組みであればブレない方が望ましいですが、1年計画の場合は（創業期であれば尚更）途中で状況が変わることも多いと思います。その場合は再度「経営上の理想像」と「環境の理想像」を定義し直すのが望ましいです。

FailFast/フィードバックを活かすスケジュールを立てる

整理すると、セキュリティ対策を実行するプロジェクトメンバーは、自分自身含め誰も実践したことが無い未経験者です。その為「まずやってみる」からの「フィードバックから改善を行う」のサイクルが早いほど、適切なセキュリティ対策チームの構築が早まります。
また経営陣からすれば利益になるわけでもない活動に人件費を割かせてやっているのですから、中間報告は小まめにあった方が望ましいですね。

なので、初めに中間成果報告のマイルストーンを切ってしまいます。
中間報告に至るまでのサイクルはお任せしますが、個人的には四半期（３ヵ月）ごとに切って実施するくらいがオススメでした。短すぎてもいい成果なんか出ないし、長すぎると成果が出るまでに時間がかかり過ぎる。「３ヵ月ごとに成果を報告する」くらいのボリュームで取り組むと、セキュリティ対策の実行難易度的にも必然的にちょうどいいものから着手し始められると思います。

セキュリティ課題を作る

まずは顕在化している課題を潰していく

潜在的なセキュリティリスクを潰していくことを実行していくことが「理想」です。
しかし、初めてのセキュリティ対策チームが完璧なリスクアセスメントをいきなり実行するのは無理があるし、そうこうしている間に時間は過ぎていってしまいます。
ゼロベースで何から着手したらいいか分からなくなっているくらいなら、まずは目先の課題を解決していきます。
具体的には、全社員にアンケートを取りセキュリティ課題やセキュリティインシデントについて自由に意見をもらいました。それらを対応優先度別に振り分け、作業を解決の為の作業を行い始めます。
既存の情シス担当者がこれらの作業を実施していくことで、メンバーも作業の進め方に対して理解を得てくれます。

対応レベルを考察する

実際に課題着手してみると「どこまでやればいいか」問題に直面し、ゴール設定経験が浅い情シス担当者はここで作業に迷いが生じ始めます。
その為、セキュリティの対応レベルを以下３分類することで、着手ハードルが下がり、なにをどのようにいつまで対応しなければならないかが明らかになります。

従業員が、「それ」の何が危険かを理解できていない状態であれば、まず従業員教育から実施(Level1)します。自立的な理解を得られない状態でルール化(Level2)をしても反感を食らいやすい上、そうでなくとも効果的なルールにならない可能性が高くなるため、必ずLevel1をクリアにした状態であることを確認してからLevel2を実施します。
ルール化をしても解決できない問題(人の注意や善意によって解決できない問題、ヒューマンエラーなど)についてはそもそもの仕組みを変えるのが効果的と判断し、カイゼン(Level3)を実施します。

必ず定量化し、定点観測する

セキュリティの対応状況を定量化してあげることも重要です。定量化には様々な方法がありますが、IPAから提供されている以下の2つを使用するのをオススメします。

①セキュリティ始めたてフェーズにおける基本的なセキュリティ診断
　5分でできる！情報セキュリティ自社診断

②300名以上の中小企業を対象としたサイバーセキュリティ対応状況の可視化ツール
　サイバーセキュリティ経営可視化ツール

①から始めてみるのではなく、①②を両方運用していくほうが良いと思います。
同様の資料を1か月に1回、もしくは3か月、半年、1年などのスパンで記録していきセキュリティの進捗状況を「定点観測」することに意義があると考えています。セキュリティ対策を組織で開始したらなるべく早くこのツールを使い今の組織の現状と対応後の推移を記録し始めることで、成果を示すことが出来たり、あるいは従業員ないし経営層の協力不足を指摘したり、様々な推進事項に利用することが出来るためです。

最初の段階では、①での高得点、②での平均スコアを目指すとよいと思います。
セキュリティ対策という目には見えない対応を見えるようにするのは、大切なことです。

とにかく見やすくルールを定義する

セキュリティルールを定める場合は、可能な限りわかりやすく定義しましょう。
例えばそれが就業規則や社内規定に関わるものであれば労務的な文書に落とし込む必要がありますが、どちらかといえばそれは万が一の場合に会社を守るための決まりであることが多いです。
そちらも必要な手続きですが、実際に従業員に実行してもらったり、協力してもらったり、覚えて貰ったりするための形式としては堅苦しい文書ではないほうが望ましいと考えます。例えば、Google SiteやWordpress、なんでもよいですが図やサマリを設けながら、とにかく瞬間的に目に入りやすい工夫をしないと、面倒なルールを社員は覚えてくれません。それでもセキュリティ事故を未然に防ぐためには他でもない従業員の工夫が必要不可欠なので、なるべく見やすく読みやすくルールを定義し、共有したほうが好ましいです。

従業員には飴と鞭の両方を与える

セキュリティ対応の施策は、恐らくほとんどの作業者にとって「作業の自由を奪われる」ことだと思います。
「そんなに厳しくルール化しないほうが効率がいいのに、頭が固い」「誰がこんな制限をかけて幸せになるのか。もう少し作業効率のことを考えてほしい」
このようなフィードバックを貰うことがしばしばあります。こういった場合、Win-Winのセキュリティ対策にできておらず不満が噴出してしまっている状況をセキュリティ担当が作り出してしまっていると理解する必要があります。不満が出ているだけならまだしも、実際に作業効率が落ちてしまったり、シャドーITが横行してしまったりするともっと最悪です。
防ぐためにも、毎回でなくても良いので明確にセキュリティ対応によって生まれる従業員に対しての「飴（メリット）」のことも考えてあげてください。

以下は飴の例です。
これらを通して「セキュリティ対策って悪いことばかりじゃない」「働きやすい環境を作るためにも必要なことなんだ」「だったら協力してあげよう」という流れを作ってあげましょう。
パスワードポリシーを全社的に強化したい
　→　パスワード管理ツールを導入し、従業員に与える
特定のIPアドレスからしか社内システムに接続できないようにする
　→　リモートワークを許可する

アンケートを取る

セキュリティ対応はセキュリティ担当が推進しますが、全社的な成熟をするには全社的な協力が必要です。ですから、セキュリティ担当者の独りよがりな施策になっていないことをジャッジされる必要があります。
現状のセキュリティ対策の速度感、業務支障の大きさ、不満や要望、定着率など、これらは定期的に全社的なアンケートを取りフィードバックされる必要があります。

セキュリティと言えども「やっていき」から始める方針で問題ないと思います。
しかし、あくまでも実行者はセキュリティ担当以外のすべての従業員であることを忘れないように運営していくとよいと思いました。

巻き込む、巻き込まれる

セキュリティ担当者が慣れてきたら、次は組織拡大も進められるとよいと思います。何度も繰り返す通り、セキュリティが成熟するためにはセキュリティ担当の独りよがりではなく、全社的に協力を得ながら進めていくことが必要不可欠になると考えています。

その為、セキュリティ担当がセキュリティ施策を自立的に考えられるようになったら、次はこのチームを組織で横展開していくのが良いと思います。

組織図がもし縦割りなら、横割りでセキュリティプロジェクトチームを作る感じです。
他部署のチームから各1名ずつ選任するなどよいでしょう。各チームの所属長から協力を得て、指名or立候補してもらうことで、各チームへのセキュリティ意思の伝達や、意見の吸収スピードが格段に速くなるだけでなく、セキュリティ対策へのオーナーシップをはぐくみやすくなります。

最終的に、セキュリティ担当がいなくても自浄作用を持って稼働していく「根」のようなものがはやせれば、文化形成としても成功したと言えると思います。その為にも「巻き込み」と「巻き込まれ」を意識してセキュリティチーム運営も視野に入れていくことが肝要だと、自身の体験として感じております。