先日、CIO Summit というイベントにて、さまざまな業界のIT責任者の方々と個別にお話をする機会がありました。限られた数ではありましたが、貴重な生の声として現場の課題感に触れることができる良い機会となりました。
今回は、CIOとの対話の中で見えてきた、現在企業が抱える課題について考察してみます。
多くの方が課題として挙げたのが、人的リソースの最適化です。慢性的なIT関連の人材不足の中、セキュリティの専門家という特殊な人材を、どのような形態で活用するのが最適なのかという課題です。この課題は、特に今後のAI等で大きく変化する技術革新の波の中で注目を集めるものです。
また、弊社をはじめ、各種セキュリティベンダーがマネージドサービスを提供す���中、セキュリティの果たす機能および人材の両側面で、どこまでを企業の内部組織として内製し、どこからを外部委託すべきかといった課題も散見されました。
しかし元を辿れば、ITの活用やDXの促進は、そもそも組織としてのビジネスを最大化させることが目的であり、セキュリティはそのための手段です。したがって、ビジネス判断に関わる機能は、組織内部で持つべきでしょう。組織内にセキュリティの専門知識を持つ人材を確保することは重要ですが、求められるのは、大量の情報からさまざまなノイズを除去し、必要なものを見極める知識です。必ずしも最新の技術を完全に理解しておく必要はないと考えます。その部分は、外部のプロに頼れば良いのです。重要なのは、委託先の外部ベンダーが具体的に何を請け負っているのかということを正確かつ詳細に理解することで、組織内のセキュリティ担当としての説明責任を果たせる状態になっておくことです。
また、特に製造業の方々が課題とされていたのが、海外拠点や工場など、本社機能の外にある組織の管理です。昨今の、海外子会社や関連会社を経由した侵害の発生が、日本企業のITガバナンスに対する姿勢を改めさせているようです。また、経営層への説明責任が一層重要となっているのも、これらの課題が重要視されている要因の一つでしょう。
ITガバナンスの要諦は、末端まで漏れなく何が起きているかを把握し、それに基づいて正しい対処をとることにあります。IT部門管理対象への対応だけでなく、それらが接続する外部や社外のサプライチェーン、契約しているベンダーなども管理の対象となってきているのが現状です。この社会的なコンセンサスの変化が、ITガバナンスを再考し、本来ある姿へと進化する素地となっていると考えられます。
本来、IT部門は全ての関連するシステムを掌握したいと思っていたはずです。この変化を追い風に、ITガバナンスの確立に向けた取り組みが多くの組織で始まっていることは、健全な取り組みだと言えます。方向性が決まれば、そこからの動きが早い日本の製造業の底力を感じて嬉しくなりました。
本イベントは、Rapid7としても、このようなお客様の課題に対して、ビジネスの成功を後押しするさまざまな解決策を提示する良い機会となりました。同イベントを通じて、お客様にとって、良き伴走者として共に進んで行く決意を新たにしました。
文:ラピッドセブン・ジャパン株式会社 古川勝也