モダン情シスは何を考えるべきか

この記事はモダン情シス Advent Calendar 2018の16日目の記事です。

セキュリティを強化しつつ働きやすい環境を提供したい

情報システムに関するコンサルティングは、ほぼこのお題から始まります。

ビジネスモデルや働く人のITリテラシー、組織の成熟度や社内政治、はたまた歴史的経緯によって、企業の情報システムは目指す姿が変わります。
目指す姿が変わればアプローチも変わり、その複雑さから情報システム部は目指す方向性を見失いがちです。

企業ごとに目指す姿が変わると言っても「情報システムとはどうあるべきか」「どのような考え方で進めれば良いか」の基本的な考え方は存在し、その考え方を各企業に合わせてコンサルティングを行っています。
今回はその基本となる考え方をご紹介します。

自分たちの役割を認識していない情報システム部

そもそも企業内における情報システムは何の為に存在するのでしょうか。

情報システムは「情報」を扱います。
「情報」は「ヒト・モノ・カネ・情報」と経営資源の1つとして扱われています。

よく「情報」もしくは「IT」は「こんなこといいな、できたらいいな。」の文脈で語られることがあります。
しかし、この世界観は事業を創出する場面では有効でも、事業を管理する場面では全く異なる視点で見る必要があります。
「情報」の管理は「やらなければ経営が傾く」ほど重要な立ち位置にあるのです。

その情報資産を適切に管理することが情報システム部の最低限の役割です。

情報システム部の責任

情報資産を適切に管理するためには「情報システム」と「情報セキュリティ」の2つに考え方が分けられます。
2つに分けられますが全く別のものではなく相互に影響を与え合う関係の為、同時に考えていく必要があります。

情報システムは、社内ネットワークの構築やデバイスの手配、ソフトウェアライセンスの管理など、働く人が滞りなく・快適に業務ができる環境を提供する責任を指します。
もう一方の情報セキュリティは、情報資産をいかに守るか、脅威に対していかに対処するかの責任を指します。

セキュリティの世界に100%の安全はありません。
標的型攻撃を受けた場合、ソーシャルハックや物理的な侵入を含む攻撃を成功するまで行うため防ぐことは不可能です。
100%安全のない世界で驚異に対してどのように対処するか、どれくらいのコストをかけて守るか。
そのさじ加減が情報セキュリティが難しいとされているポイントです。

難しいセキュリティの世界をシンプルに解くキーワードの一つが「説明責任」です。
内部の管理も外部からの攻撃も、最終的には「説明責任が果たせるかどうか」に収束します。

説明責任とは、自社のリスクを特定し、どのような対応を行い、結果どうなったか、を説明できる状態のことを指します。
情報漏洩リスクは金銭的な損害の他、社会的信用を失うことを指しますが、その損害を小さく留める方法が「説明責任」です。

例えば、情報漏洩を起こしてしまった場合
「リスクを認識しておらず、誰でも情報漏洩できる状態でした。」と
「リスクを認識しており〇〇のような運用をして対策をしていましたが、その対策に抜け穴があり情報漏洩しました。」では
その後の損害賠償額や失う社会的信用の大きさが違うことが想像できます。

極端な話、損害賠償を金で解決し、社会的信用を一切気にしない会社であれば「セキュリティ対策はしない、その分事業に注力する」という戦略もあります。
情報セキュリティは情報システム部だけの課題ではなく、ハイレベルな判断を必要とする経営の課題です。

信じる者は足元をすくわれる

前述の通り、情報システムの目的は「守りたいものを守る」ことに始まります。
当初のお題である「セキュリティを強化しつつ、働きやすい環境を提供したい。」の働きやすい環境作りが先に来てしまい、働く人に「管理されていない自由」を与えると情報資産を守ることができなくなります。

ゼロトラストの考え方では、働く人をはじめネットワークやデバイスなどのITシステムを信じません。
情報システム部の責任において守りたいものがあるのであれば、説明責任を果たせる状態を維持することが重要です。

それでは「守りたいものを守る」ために、すべて情報システム部に話しを通さなくてはならないのでしょうか。
答えはNoです。

何も信じないセキュアな情報システムを構築すると、情報資産と働く人は常に守られている状態となります。
働く人はセキュリティを意識することなく自由にツールやデバイスを選択し、効率の良い働き方を実践することが可能となります。
「セキュリティ」と「利便性」と「コスト」はトレードオフの関係に思えますがそうではなく、適切な方法を採用することにより業務効率を向上させることができます。
「信じない」ことで守りたい資産を守り、働きやすい環境を提供することができます。

さいごに

情報システム部が守るべきものは何か、守るためにはどうすれば良いかの一部をご紹介しました。
「何を守りたいか」を改めて定義し、目指す情報システムの姿を思い描くことがモダン情シスの考えることであり
その結果、利用者である従業員、経営、そして管理者の三方良しの環境を整えることが、情シスの責任であり、腕の見せ所ではないでしょうか。