例えば、ネットワーク機器やセキュリティ製品の設定を自動で完了できる仕組みを活用することで、現地社員のスキルや人間性への依存を回避することができる。また、セキュリティを含むクラウドベースの共通IT基盤に統合することで、従来各拠点ごとにバラバラだったものを、海外拠点も含めて例外なく同じセキュリティチェックをかけることができる。シンプルにグループ企業すべてのIT基盤を統合することも一案だが、資本関係の濃淡や本業との関係性、従業員規模から優先度付けすることもできる。
関係性の構築と納得感ある説明の継続
本社側で巻き取ることが可能な仕かけはいくつか存在するものの、結局は方針を決定する本社側と利用する拠点側で折り合いがつかなければ、既存のツールや施策がある中で変えていくことは難しい。海外拠点も含めて会社全体で一貫したセキュリティを担保するためには、各拠点や部門との関係性の構築にも力を注ぐことだ。ガバナンスに関する問題は人に関係するものが多いという話をしたが、会社も組織として動いている以上、結局は人でなければどうにもならないことがある。IT・セキュリティ部門は事業の方向性やビジネスニーズを理解し、事業部門はIT技術のメリットとリスクを理解し、対話を通じて共通理解を深めていただきたい。理想的には定期的な場を確保して、継続して根気強くコミュニケーションを続けることだ。社内でその橋渡しとなるリソースを確保することが理想だが、難しい場合には外部リソースの活用も手段として考えられる。
同時に、本社側のセキュリティ部門は、海外拠点の現地担当者や責任者に対して納得感のある説明に努めることだ。なぜこの方針を採用するのか、なぜこのメーカーのこのツールを活用することが自組織の安全性に寄与するのか、つまり「合理性のある説明」ができるかどうかが肝になる。海外拠点を含めて一貫したセキュリティを実現する上では、ロジカルに説明できる、第三者が納得いく方針や要件の策定や製品・サービスの選定に取り組んでいただきたい。人でなければできない施策とテクノロジーでなければできない施策をうまく使い分けることだ。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>
