開発手法の一つだった「アジャイル」という考え方が、ビジネスの世界でも使われ始めている。無駄を極力排除してビジネスを立ちあげる「リーンスタートアップ」という概念が登場したためだ。スタートアップだけではなく、大企業でも取り入れられている。

 事業やサービスを高速に改善しながら進めるには、これまでのコーポレートIT、コーポレートセキュリティとは全く違った「事業部門主導のセキュリティ」という考え方が必要になる。本稿では、事業部主導でスピード感をもって進める事業・サービスで、スピードを犠牲にせずにセキュリティを担保する手法について論じる。

●1.これまでのセキュリティの考え方

 これまでは、情報システム部門やセキュリティ部門が、ビジネス部門で主導する案件についてもセキュリティ構築の責任を担っていた。これには一定の成果もあったが、ビジネスのスピードを阻害する点や、セキュリティ担当者にビジネス側の知識がないこと、またこれまではコーポレートITやコーポレートセキュリティを主軸にしていたために、事業側ITやセキュリティの知見が不足しているなどの課題があった。

 新規事業におけるセキュリティの導入においては、以下の点を考慮する必要がある。

・事業の特性を理解

・事業のスピードを最大限優先

・多岐にわたるステークホルダーとの調整

・自社以外のセキュリティ対策の可能性

 中央集権型で情報セキュリティを進めるこれまでのコーポレートセキュリティとは違う考え方を導入する必要がある。

●2.ビジネスのアジャイル化に必要な方法論「リーンセキュリティ」

 1.で挙げた課題や考慮点に対応する新たなセキュリティ手法として「リーンセキュリティ」を提唱したい。リーンセキュリティとは、リーン(無駄のない)なセキュリティを実現することで、ビジネスのアジャイル化でもスピードを落とさず、高速にセキュリティを検討していく方法論である。

 この考えは、事業側ITに関するセキュリティの統制機能を、そのプロジェクト側に取り込むことにより、前述の課題を解決するものだ。

●3.リーンセキュリティの導入を行うには?

 リーンセキュリティの導入において、検討すべきポイントを3点説明する。

・(1)デジタルビジネスのサービス企画段階でのセキュリティの検討

・(2)デジタルビジネス担当者のデジタル+セキュリティのスキルセット所持

・(3)ビジネス部門のセキュリティに関する説明責任の明確化

 また、それぞれの検討において以下のような考え方が必要になる。

 以下ではリーンセキュリティ導入のポイントについて、各ステップで検討、実施すべき内容を紹介する。

(1)デジタルビジネスのサービス企画段階でのセキュリティの検討

 デジタルビジネスの構想や予算化などのサービス企画の初期段階から、セキュリティを検討すべきである。これにより安全性、セキュリティ、信頼性、プライバシー、データ倫理に関連するリスクを予防的に管理することができる。

 また、同様に業務要件定義、システム要件定義段階でも、セキュリティの検討を漏れなく実施すべきである。結果としてデータセキュリティ、プライバシーなどのセキュリティ要件漏れによる手戻りを抑制し高速化が実現できる。

(2)デジタルビジネス担当者のデジタル+セキュリティのスキルセット所持

 デジタルビジネス担当者は「デジタル+セキュリティ」のスキルセットを所持すべきである。デジタルビジネスでは、アイデア創出、サービス企画立案、概念実証(PoC)といった企画段階でサイバーセキュリティ、データプライバシー、データ倫理に関する課題を含めた検討が必要となるため、セキュリティのスキルセットが求められている。

 デジタルビジネス担当者が「デジタル+セキュリティ」のスキルセットを所持することで、組織として意思統一されたポリシー、ガイドラインの下でコンプライアンスやベースラインを順守する。そうしながら、ビジネス企画と同様に個人の裁量でセキュリティを検討し、関連するリスクを予防的に管理し、俊敏性を損なわずプロジェクトを推進できる。

 ただし、デジタルビジネスに未着手もしくは初期段階では、デジタルビジネス部門担当者のスキルが成熟していないため、従来のセキュリティ部門の支援や外部専門家の活用などで、ビジネスへの影響を極小化しつつ、段階的にスキルを向上させる必要がある。

(3)ビジネス部門のセキュリティに関する説明責任の明確化

 サイバーセキュリティ、データプライバシー、データ利用ガバナンス、今後発生するコンプライアンスなど、説明責任の所在を明確にすべきである。セキュリティ考慮不足の抑制やスピード感のあるセキュリティの検討を強制するためには、デジタルビジネス部門はビジネスリスクとともにセキュリティリスクも負うべきであろう。

 例えば、デジタルビジネス部門がセキュリティリスク対応(リスク特定、分析、対策)を実施し、セキュリティ部門はセキュリティポリシーやガイドラインを提示して企業組織のセキュリティ全体を統括するといった形だ。企業ごとに適したセキュリティ領域における役割を検討し、役割に応じた責任を負うよう検討すべきである。その結果、必要に応じて組織編成の見直しや役職者の設置などを、継続的かつ柔軟に進めていくことになる。

 リーンセキュリティの導入により、デジタルビジネス部門主導の新しい事業・サービスでもスピードを犠牲にせずにセキュリティを担保することが可能になるだろう。デジタルビジネスに取り組む企業・組織はぜひリーンセキュリティの考えを取り入れ、価値ある顧客体験を安全に提供できる事業・サービスの開発を推進いただきたい。

●著者紹介:小林公樹(PwCコンサルティング合同会社 ディレクター)

セキュリティリスク評価、構想策定、戦略策定、システム化企画、要件定義、設計、構築、運用全ての領域を経験しており、幅広い知見をもとに大手金融、製造業、商社等業種を問わずコンサルティングサービスを提供。PwC Japanグループにおける個人情報・消費者情報保護ならびにキャッシュレス関連のセキュリティをリードしている。