リーン・アプローチによるチーム育成で挑むセキュリティ人材不足の解消｜IT Search+

ガートナー ジャパンが7月24日～26日に開催した年次イベント「セキュリティ&リスク・マネジメント サミット 2018」。その3日目の講演には、バイスプレジデント兼ガートナーフェローのトム・ショルツ氏が登壇し、「スキル不足を緩和するリーンなデジタル・セキュリティ組織を採用する」と題した講演を行った。ここでは、同講演で提言されたリソース不足のなかで効率的にセキュリティ組織を運営する方法についてレポートする。

本当に効果のあるセキュリティチームの育成

豊富な経験を持つセキュリティ人材の不足が懸念されている。サイバーセキュリティの脅威は留まるところを知らず、企業は脅威に対抗し得るセキュリティチームの育成に力を注いでいる。それがますます、人材不足に拍車をかける結果を招いている。

ショルツ氏はそうした状況だからこそ、セキュリティチームの作り方にも新しいアイデアが必要だと説く。ショルツ氏は、情報セキュリティガバナンス、セキュリティ戦略、セキュリティ担当組織の力学、セキュリティ管理プロセスの各領域における権威で、2016年には通説を覆すような画期的なプロジェクトとしてガートナーが取り組んでいる「Maverickプロジェクト」において、「リーン・アプローチ」を用いたチーム育成に取り組んだ。

リーン・アプローチは、リーン開発などでもおなじみの、トヨタ生産方式を源流とするプロダクト開発手法だ。さまざまな箇所で発生するムダを削ぎ落とし、改善サイクルを素早く回すことを目指す。ショルツ氏は講演で、このリーン・アプローチを用いることで、どのようにセキュリティチームの人員配置に関する課題が解消できるのかについて解説していった。

ガートナー バイスプレジデント兼ガートナーフェローのトム・ショルツ氏

Maverickプロジェクトのベースにあるアイデアは、あるCISOの取り組みから得られたものだという。

「大手グローバル企業のCISOと知り合いました。彼は5年でCISOを辞めようと思っていると言うので理由を聞くと、こう答えました。『5年でCISOが必要とされないセキュリティ組織と環境を作り上げることが目標なんだ』と。これは非現実的な目標ですが、非常に重要なアプローチです。トップダウンではなく、セキュリティの機能を役割ごとに組織的に分散させ、トップがいなくても自律的に動ける組織を意味しているからです」(ショルツ氏)

ショルツ氏によると、セキュリティ専任チームは、ビジネスイノベーションの障壁として見られる傾向が強いという。リスクが増えることで、専任チームへ集約される機能が増え、それが障壁としてビジネスの前に立ちはだかりやすい。

「もし本当に効果のある組織にしたいなら、情報セキュリティとリスクは企業の構造に完全に組み込まれる必要があります。おそらく、一般的なセキュリティチームが現在担っている業務は全て、社内の別の既存のチームや社員が、品質を落とさずに効果的に遂行できる可能性があります」(ショルツ氏)