サイバーリスクに打ち勝つ経営、求められる「四つの視点」とは

企業としての「存在意義」を守るために不可欠な取り組み

　アビームコンサルティングは、このSecurity Quadrantフレームワークを用いて企業の情報セキュリティ対策のアセスメントを行い、課題のある部分について改善策のアドバイスから実際のセキュリティ対策に向けたテクノロジー導入まで一気通貫で行うコンサルティングサービスを提供している。

　例えば、「規範・法律」に関する体制が不十分な企業に対しては、法令違反を回避するための業務マニュアルを作成するサービスも提供する。

「近年、GDPR（EU一般データ保護規則）をはじめとする個人情報保護関連の法令は罰則が強化されており、法令順守の必要性はますます高まっています。こうした法令に対するマニュアルは、海外の大手企業が作成したものをほぼ丸ごと流用する会社もあるようですが、事業内容や企業文化に合わず、実用に耐えないことが多いようです。当社は企業ごとの事情や要望をしっかりヒアリングした上で、カスタムメードのマニュアルを作成しています」

　山中氏は、Security Quadrantフレームワークを用いたアセスメントについて、「現状の取り組みを採点するものではなく、あくまでも『見える化』することが目的なので、現場の方々には身構えないでいただきたい」と語る。

　テストのような気持ちで受けると、アセスメントによって抽出された課題が自らのマイナス評価につながるのではないかと恐れ、課題を隠そうとすることもあるからだ。それでは「見える化」ができなくなるので、アセスメントを行う企業に対しては、「監査の結果が人事評価に悪影響を及ぼすことはないということを、社員の方々にあらかじめ伝えてもらうようにお願いしています」と山中氏は説明する。

　情報セキュリティ対策のポイントを「規範・法律」「プロセス」「人・組織」「テクノロジー」の四つに集約したSecurity Quadrantは、シンプルで分かりやすいため、ビジネスの現場において活用しやすいという利点もある。

「組織全体が同じ視点で課題を共有できるので、例えば経営者は『最近、個人情報保護法が改正されたが、プロセスはしっかり対応できているのか』『人材や組織はちゃんと整っているのか』といった具体的な問い掛けが適切な管轄部署にできるようになり、部署の現場も対策や報告がしやすくなります。課題が幾つもあると対策が後手に回りがちですが、大きく四つに絞り込むことで、結果的に対策が進みやすくなるという効果も期待できます」

　最後に山中氏は、「繰り返しになりますが、情報セキュリティ対策は『企業としての存在意義』を守るために不可欠な取り組みです。経営者の方々には、常に「四つの視点=Security Quadrant」の意識を強く持って対策に取り組んでいただきたいと思います」と提言した。