👓

事業会社のセキュリティ人材に求められるValueを考える

2024/12/24に公開

サイバーセキュリティチーム マネージャーの岡地です

前回のブログで、当社のサイバーセキュリティチームの目指す姿〈Vision〉と戦略について記載し、思いのほか多くの反応を頂きありがとうございました。今回は、事業会社、特にウェルスナビにおいてセキュリティ担当に求められる〈Value〉について考えてみました。

事業会社におけるセキュリティ担当の存在意義

セキュリティに関する需要の高まりは多くの方が感じているかと思いますが、仕事にする場合、様々な選択肢があります。その中で、事業会社の中の人間としてセキュリティに携わる意義について考えてみます。

1.セキュリティマネジメントの最適解を考え続ける存在

例えば以下のイメージでは、セキュリティに関する仕事がわかりやすく整理されていて、大きく3つの色で分類されています。この中で事業会社に存在する仕事は青のポジションを中心に、緑のポジションもところどころ内製化されている、という感じでしょうか。

セキュリティのお仕事まとめ
(サイバーな)セキュリティのお仕事まとめ - SecurityDesigNより

そしてこれを見た瞬間、「うちにはこんなにポジションない!!」と感じたセキュリティ担当者の方もいるのではないでしょうか?(私だけでしょうか‥)
元記事をちゃんと読むと、これは高校生向けにセキュリティのお仕事を紹介する絵なので、組織によっては存在しないものも書かれているのだと気づき、落ち着きを取り戻しました。

そして裏を返すと、各事業会社では会社のフェーズやポリシーに併せてどのポジションや機能を配置してセキュリティマネジメントを構築するかを自分たちで考える必要があります。NIST CSFなど参照できるフレームワークはありますが、絶対的な正解はなく、セキュリティマネジメントの設計、実装方法(インソース・アウトソースの選択など)は各組織次第です。

さらに、時間の経過とともに所属組織や外部環境の変化があるため、一度やれば終わりというものではなく、継続的に見直す必要があります。この自組織におけるセキュリティマネジメントの最適解を考え続ける存在が、事業会社のセキュリティ担当だと考えています。

これは、事業会社の一員として内部にいるからこそ実践できることで、継続的な取り組みとして、様々な制約の中でセキュリティ機能のスタックを適切に組み替えながらリスクマネジメントを推進することを意味します。


目標レベルを見直しながらセキュリティ対策を成長・追加していく

2.組織にとって適切なAssurance〈保証〉を提供する存在

上では組織における存在意義という、ある種"マクロな視点"で考えましたが、次は"ミクロな視点"で現場における存在について考えます。組織の内部にいて、事業の現場にセキュリティの側面で貢献する際、重要なキーワードになるのがAssuranceだと感じています。

一般論として、事業会社で働く人たちにとって、セキュリティの優先度は必ずしも高くありません。むしろ、面倒くさいと感じたり、煙たがられることも少なくないでしょう。しかし、少し掘り下げて認識しておくべきことは、「セキュリティなんてどうでもいい」と思っている人も少ない、ということです。ニュースでもサイバーセキュリティに関する情報が増え、事業に大きな影響を与えるサイバー攻撃被害も少なくありません。このような状況で事業会社のセキュリティ担当に求められるのは、自組織にとって適切なAssurance〈保証〉を提供することだと思っています。

これを実践する上では所属組織の"外"と"内"、両方に対する視点が必要です。

  • 外に対する視点:世の中の脅威動向、自社に影響するリスク
  • 内に対する視点:所属組織のポリシーや環境、文化

組織におけるセキュリティの専門家として、世の中で発生しているサイバーインシデントや脅威動向の情報を収集し、自組織にとってのリスクを見極め、何らかの対策を実行する。このリスクの見極めまでの部分を"外に対する視点"とすると、"内に対する視点"は、対策の実行部分です。リスクに対して代表的な対策を認識することはそれほど難しくありませんが、それらをそのまま適用できるケースは意外に少ないのではないように感じます。所属組織における適切なリスク対応方法を検討するためには、"内に対する視点"で影響範囲を整理し、組織にとって優先すべき事項を見極め、関係者が納得できる効果的・効率的なセキュリティ対策を推進する。これを組織の中で実践し、組織外だけではなく組織内部のことも注意深く観察してAssurance〈保証〉を提供することが、事業会社におけるセキュリティ担当の存在意義だと考えています。

求められる〈Value〉

上で記載した存在意義を実践する上で、特に重要だと感じているものを2つ挙げます。

1.柔軟で粘り強いセキュリティマネジメント

フローとストック

組織内でセキュリティを実践する上で、頑なに押し通すのではなく柔軟な発想が必要です。このことについて「フローとストック」を参考に整理してみます。フローは「行為」、ストックは「状態」ですが、転じて以下のように考えることができます。

  • フロー型
    • その場の状況に応じて最適な選択肢を柔軟に取り入れて行動する
  • ストック型
    • 過去の経緯と「いままでの蓄積」を重視して物事を判断する

みなさんの組織のおけるセキュリティ業務のイメージはどちらでしょうか?
厳格な組織においては「ストック型」のイメージが強く、細かいところまで明文化されたルールに基づいて判断されるケースが多いかもしれません。これはこれで必要なのですが、特に弊社のような変化が激しい環境では実態と基準の乖離が起こりやすく、「ストック型」を主軸とした統制には弊害が生じやすいと感じています。

そうすると、「フロー型」で統制すれば良さそうですが、これも善し悪しがあります。ルールや基準にある程度の柔軟性を持たせることで、個別の事案に対して適切な判断ができる場合もありますが、このアプローチは"人"に依存するため、判断できる量に限界があり、事案ごとにぶれが生じやすいという難点です。

このため、セキュリティ統制においては、「フロー」と「ストック」を自組織の変化のスピードと規模、取り扱う事案のリスクレベルに応じて適切に使い分けることが重要だと考えています。特にウェルスナビはまだ変化が激しい環境なので、「フロー」型の統制がマッチするケースが多いフェーズですが、今後組織が拡大する中では「ストック」型の統制も少しずつ積み上げ標準化していくことで、安定感が増していくと思います。そして、これはセキュリティマネジメントの話ですが、セキュリティ担当者が意識すべきマインドだと考えています。


フローとストックを意識したリスク管理のイメージ

ネガティブケイパビリティ

これを実践するうえで、もう一つ注目しているキーワードがネガティブケイパビリティです。これは、不確実性や曖昧さに耐え、答えがすぐに出ない状況でも冷静に対処する能力を指します。

セキュリティ担当にとって悩ましい問題は、明確にリスクが高いと判断できる問題よりも、その他多くの判断が悩ましい事案の取り扱いではないでしょうか。例えば、「フロー型」の統制で判断し、一定の対処をしたうえで残存リスクを許容したとします。この判断の要素は、リスクの性質、対応の難易度、組織的な事情(リソース、時間的な制約、コスト)など様々な要素が絡み、必ずしも安心しきることはできないこともあるでしょう。そうしたとき、この「残存リスク」をどのように向き合うか。

  • 今後もリスクが高まる恐れが低いので何もしない
  • 時間的な余裕ができたタイミングで対処する
  • 当該事案を定期的にモニタリングし、好ましくない変化があれば検知する
  • 技術的に効率的な対処策が出てきたら対応する

ケースバイケースではありますが、「フロー型」を主軸としながらも高い視点でリスク把握に努め、アンテナを張る。画一的な対処が必要なリスクが出てくれば「ストック型」に組み込む。言うは易しではありますが、こうした柔軟かつ継続的なセキュリティマネジメントが実践できると、組織にAssuranceを与えられる存在になれるのでは、と考えます。

2.他者の理解に努める姿勢

もう一つ、重要な特性として挙げたいのが他者の理解です。ここはウェルスナビが会社として掲げる〈Value〉として「助け合おう、向き合おう」というものがあるのですが、セキュリティ従事者にとっても特に重要な基本姿勢なので触れておきます。

特に変化の激しい環境下でセキュリティを適用する際には、組織や一緒に働く方々の「ナラティヴ」(解釈の枠組み、組織文化)を意識し、「橋を架けていく」ことが必要です。もちろん、妥協するということではなく、組織や関係者の「ナラティヴ」を意識したうえで、目標とするセキュリティレベルを変えずに最善と思われるアプローチを考え続ける、ということです。

例えば、事業上のセキュリティリスク軽減を目的とする対応を進める際に、影響を受ける他者に対して、はじめからセキュリティ側の論理だけで会話をしてしまうのは、相手の「ナラティヴ」を意識できていない状態です。これでうまくいくケースもあれば、当初の目的であるセキュリティリスク軽減が達成できず、今後の対応に悪影響を与える心理的障壁を作ってしまう可能性もあります。

ここで、まず自分たちの「ナラティヴ」を脇に置き、相手の「ナラティヴ」(組織上の役割や業務の状況等)の理解に努めて検討を始めることができると、結果が大きく変わってくると思います。対話を通じて、当初想定していたものよりも適切なアプローチが見つかる可能性もあり、結果として今後に向けた良好な関係性の維持にも繋がると思います。

このことは、個人としても、チームとしても常に意識すべき〈Value〉だと考えます。
(この部分の考え方は「他者と働く」がとても参考になりました。)

最後に

今年はサイバーセキュリティチームを立ち上げ、様々な取り組みをする中で大切だと感じた〈Value〉について書いてみました。正直なところ、まだ実践できていると胸を張って言える状態ではありませんが、まずはチームとして体現していけるよう、今後も善処していきたいと思います。


📣ウェルスナビ サイバーセキュリティチームは一緒に働く仲間を募集しています📣
https://hrmos.co/pages/wealthnavi/jobs/1988804247936655422

著者プロフィール
システム基盤グループ サイバーセキュリティチーム チーム責任者
岡地(おかち)

WealthNavi Engineering Blog

Discussion