セキュリティと向き合えるのが本当の情シス

鳴り物入りのB部長

「私よりも全然給料が高いのに・・・」

ある現場では「情シス部長代理」のAさんが、情シス業務を切り盛りしています。社員2名と派遣3名を統率し、インフラ管理からプロジェクト活動までのすべてをカバーしていました。

ところが最近、転職してきたBさんが、鳴り物入りで「情シス部長」に就任されました。

ベンダー企業で部長職を歴任し、DXプロジェクトをいくつも手掛けてきた実績をもつそうです。（そして、生え抜きのAさんよりも高給待遇です。）

B部長は着任してすぐに、いくつものプロジェクトを立ち上げました。全社員へのスマホ配布、基幹システムの刷新、データレイク構築およびBI・AI導入、など派手なものばかり。

前職のコネを活かして、ベンダーから次々と提案を受けています。

ある日、AさんはB部長に聞いてみました。

「セキュリティ対策はやらないんですか？」

B部長は「セキュリティも重要だと思うけど、経営層がそこまで乗り気じゃないんだよね…」と言われ、当面はまったく予定はないとのこと。

Aさんは、もともと予定していた「EDR導入」についてB部長に相談してみました。
（※ Endpoint Detection and Response：端末の脅威を検知・対応するセキュリティ技術）

「EDR？何それ？VPN接続しているから十分でしょ？」と怪しげな回答が…。

その後もやりとりを続けたところ、そもそもB部長はセキュリティに詳しくないようで、関心も高くない様子。

「情シスとして、こんなんで良いんでしょうか？」

Aさんと久々に再開したランチで相談を受けました。

情シス転職組の特徴

最近、ベンダーから情シスに転職してくるケースは増えています。

元開発者なので、技術的には優れており、プロジェクト経験も豊富です。社内の「システム導入プロジェクト」と相性は良いといえます。

元ベンダーの立場を活かして、ベンダー調整でも威力を発揮することでしょう。

ベンダー時代に染み付いた「ユーザーファースト」は、社内の各シーンでも活かされます。丁寧な対応は、ユーザーにも喜ばれます。

まさに即戦力といえます。

一方で、そのような人たちと多く接してきて、共通して感じることがあります。

「セキュリティ」の優先順位が低いのです。

開発サイドは、基本的にセキュリティは必須ではありません。むしろ利便性を損ねるため、意図的にセキュリティを緩めている人が多いのが実情です。

情シスの陽と陰

社内で新しい「システム」を手掛けるのは、派手だし目立ちます。

大型の「プロジェクト」においては、経営層や事業部門と連携を深め、社内で「顔」が利くようになります。

まさに情シス界の「花形」といえます。

一方、守りの「インフラ」においても、新しいサーバーの導入やデバイスの配布などは、業務遂行に不可欠です。サポート切れや故障時の対応は明確なので、優先順位も高くなります。

では「セキュリティ」はどうでしょうか？

必ずしもやらなくて良いもので、多くの場合は利便性が損なわれます。しかもサーバー、ネットワーク、端末など守る対象が多いため、セキュリティは単一の施策だけでは不十分です。

ところが、セキュリティで制約が多くなると、ユーザーには不評を買います。

予算申請しても、経営層に渋られます。

そもそも成功基準が不明確です。何事もなければ成功ですが、それがセキュリティ対策の結果なのか、何もしなくても起きなかったのか、証明するのは難しいのかもしれません。

しかし、ひとたび「インシデント」が発生したらどうなるのでしょうか？

大きな損害が発生し、場合によっては企業の信頼が失墜し、事業が傾く恐れもあります。

例えば、ランサムウェアの攻撃を受けてしまったら、責任問題に発展することでしょう。

会社全体のリスク管理という意味では、本来は経営層が考えるべき領域かもしれません。ですが、技術や知識が不足しているため、そこをリードし、提案するのも情シスの使命と考えます。

IT人材のスペシャリストとゼネラリスト

IT人材には「スペシャリスト」と「ゼネラリスト」という考え方があります。

スペシャリストとしての、プロジェクト組や開発チームは花形といえます。目立つし、成功もわかりやすい。

転職組はすぐにプロジェクトにアサインされ、報酬も理不尽に高かったりします。

しかし、それらの成功は、しっかりとした「守りのIT」の支えがあってこそ。

縁の下の力持ちですが、もっと評価されてもよいと考えます。

情シスは本来「攻め」も「守り」もできる「ゼネラリスト」が望ましいといえます。両者の影響を考えないと、最適な施策を打てないからです。

全体状況を俯瞰し、最適なIT施策を打つことが、情シスの役割です。

企業のIT化を進めると、必ず隙が生じます。攻めのITを増やすなら、それらを守るITが増えるのも当然です。

組織の規模が大きくなると分業が進み、スペシャリストが多くなるのはわかります。ですが、管理職以上は、企業全体のITに責任が生じるため、やはり「ゼネラリスト」の視点が不可欠といえます。

真の「攻めの情シス」

近年はクラウド化が進み、比例してサイバー攻撃の被害も増加しています。

セキュリティは今後、ますます重要性が高まっていくのは間違いありません。

だからこそ、セキュリティもしっかり対応してこそ、情シスの役割を全うしているといえます。

常に現場のITトラブルに巻き込まれ、苦労しながら対処してきた「生え抜きの情シス」の方が、セキュリティ意識が高いように感じます。

なぜなら、現場のインシデントは「我が事」であり、発生した際の地獄をリアルに想像できるからです。

ある意味、セキュリティ強化をきちんと推し進められる情シスこそ、真の「攻めの情シス」だと考えます。セキュリティはもっと攻めるべきです。

（後日談）
AさんはB部長を説得し、EDR導入の予算も確保できたと連絡を頂きました。

私は、そんなAさんを大変リスペクトしています。Aさんが部長になる日もそう遠くない…、と思う今日このごろです。