最後のテーマは、経営者に対するセキュリティの訴求についてだ。

コロナ禍により、セキュリティ対策が十分ではないのにテレワークやリモートワークを始めざるを得なかった企業が多いが、それは働き手だけの問題だったのか、あるいはCIOやIT部門だけの問題だったのかと矢野氏は問いかける。

矢野氏は、環境が未整備でセキュリティの対処が不十分だったのにビジネスを継続しなければならず、その方法がリモートワークだったのではないかと指摘する。

これは、環境とビジネスの不整合が生じていたという問題であり、必ずしもセキュリティだけの問題ではなかったとする矢野氏は、未来の働き方におけるセキュリティを考える場合、今後もこのような議論が多く起こるのではないかという。

セキュリティの担当部門ができることは、例えばセキュリティをきちんと実装してセキュアな状態を作っていくことであり、それが別の理由で間に合わないのであれば、ITではなくビジネスとリスクとして消化していく必要があると矢野氏は指摘する。

しかし、その切り分けは経営層はやってくれず、CIOやIT部門、セキュリティ担当者の役割だと矢野氏は語る。

コロナ禍初期のような緊急事態が再度発生した場合、どう対処すればいいのか。

矢野氏は、緊急事態下のセキュリティにおける例外的な対応の大原則は、例外処理の範囲を極力狭めることだという。

具体的には、全従業員を対象とするのではなく、本当に必要な最小限の人数または範囲に最少化しておくことが、IT部門やセキュリティ担当者が経営層に進言できる内容だと矢野氏は指摘する。

「このような形で、セキュリティの部分をセキュリティなりスクと経営的なビジネス上のリスクの2つに区分していくこと、この見極めができることが、今後のセキュリティを考えていく上で私たちに課せられた大きなチャレンジとなります」(矢野氏)

矢野氏はセミナーのまとめとして、従来のセキュリティ対策はWhatを追求するものだったが、今後のセキュリティではどのくらい実行すればセキュアになるのかという程度が問題となり、セキュリティ担当者の多くは既にスタディを始めていると語る。

そして、「ぜひ、現場のセキュリティの方々と話してください。そして、今日お話しした4つのセキュリティの最小要件も忘れずに見直してください。そうすれば、私たちの今後の新しい未来の働き方、新しい世界は、きっとかっこよくスマートで、セキュアなものになると思います」と締めくくった。