リーン・アプローチによるチーム育成で挑むセキュリティ人材不足の解消

[2018/09/03 08:00]齋藤公二 ブックマーク ブックマーク

セキュリティ

ガートナー ジャパンが7月24日~26日に開催した年次イベント「セキュリティ&リスク・マネジメント サミット 2018」。その3日目の講演には、バイスプレジデント兼ガートナーフェローのトム・ショルツ氏が登壇し、「スキル不足を緩和するリーンなデジタル・セキュリティ組織を採用する」と題した講演を行った。ここでは、同講演で提言されたリソース不足のなかで効率的にセキュリティ組織を運営する方法についてレポートする。

本当に効果のあるセキュリティチームの育成

豊富な経験を持つセキュリティ人材の不足が懸念されている。サイバーセキュリティの脅威は留まるところを知らず、企業は脅威に対抗し得るセキュリティチームの育成に力を注いでいる。それがますます、人材不足に拍車をかける結果を招いている。

ショルツ氏はそうした状況だからこそ、セキュリティチームの作り方にも新しいアイデアが必要だと説く。ショルツ氏は、情報セキュリティガバナンス、セキュリティ戦略、セキュリティ担当組織の力学、セキュリティ管理プロセスの各領域における権威で、2016年には通説を覆すような画期的なプロジェクトとしてガートナーが取り組んでいる「Maverickプロジェクト」において、「リーン・アプローチ」を用いたチーム育成に取り組んだ。

リーン・アプローチは、リーン開発などでもおなじみの、トヨタ生産方式を源流とするプロダクト開発手法だ。さまざまな箇所で発生するムダを削ぎ落とし、改善サイクルを素早く回すことを目指す。ショルツ氏は講演で、このリーン・アプローチを用いることで、どのようにセキュリティチームの人員配置に関する課題が解消できるのかについて解説していった。

ガートナー バイスプレジデント兼ガートナーフェローのトム・ショルツ氏

Maverickプロジェクトのベースにあるアイデアは、あるCISOの取り組みから得られたものだという。

「大手グローバル企業のCISOと知り合いました。彼は5年でCISOを辞めようと思っていると言うので理由を聞くと、こう答えました。『5年でCISOが必要とされないセキュリティ組織と環境を作り上げることが目標なんだ』と。これは非現実的な目標ですが、非常に重要なアプローチです。トップダウンではなく、セキュリティの機能を役割ごとに組織的に分散させ、トップがいなくても自律的に動ける組織を意味しているからです」(ショルツ氏)

ショルツ氏によると、セキュリティ専任チームは、ビジネスイノベーションの障壁として見られる傾向が強いという。リスクが増えることで、専任チームへ集約される機能が増え、それが障壁としてビジネスの前に立ちはだかりやすい。

「もし本当に効果のある組織にしたいなら、情報セキュリティとリスクは企業の構造に完全に組み込まれる必要があります。おそらく、一般的なセキュリティチームが現在担っている業務は全て、社内の別の既存のチームや社員が、品質を落とさずに効果的に遂行できる可能性があります」(ショルツ氏)

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

何から始める? どう考える? ハイブリッドクラウド時代のセキュリティ対策

何から始める? どう考える? ハイブリッドクラウド時代のセキュリティ対策

ガートナー ジャパンが7月24日~26日に開催した「セキュリティ&リスク・マネジメント サミット 2018」の3日目の講演では、米ガートナーのバイス プレジデント兼最上級アナリスト、ニール・マクドナルド氏が登壇。「ハイブリッド・データセンター・インフラストラクチャ向けのセキュリティ戦略とアーキテクチャ」と題し、ハイブリッドクラウドのセキュリティを概観した。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
知りたい! カナコさん 皆で話そうAIのコト
教えてカナコさん! これならわかるAI入門
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
ソフトウェア開発自動化入門
PowerShell Core入門
徹底研究! ハイブリッドクラウド
[解説動画] Googleアナリティクス入門講座
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る