こんにちは、NAEです。
過去にお世話になったクライアント(日本企業)の担当者が退職することになったそうです。
彼女はアメリカ人の女性で、USのオフィスで働いていました。彼女の役割はグローバル全体の情報セキュリティを取り仕切る責任者。言わばCISOでした。
ずいぶんと前の話になりますが、ぼくは1年間にわたって、全社セキュリティ改革の旗振り役として彼女を支え、共に闘ってきました。
今回は、そんなお話。
真のプロフェッショナルなCISO
ぼくはこれまで、いろいろなクライアントと一緒にお仕事をさせていただいてきました。
7年間という短いコンサルタント人生ではありますが、自信を持って断言できます。
彼女は、真のプロフェッショナルです。
ただのセキュリティのスペシャリストではないし、単なる良きリーダーでもない。
能力、人望、コミュニケーション、コミットメント、マインド、すべての点でパーフェクトで、純粋に尊敬に値できる人でした。
彼女は常に前を向いていた
彼女は、原因の無駄な深掘りや犯人探し、失敗の事実を詰めて責めるなどという行いを全くしません。
もちろん、本質的に解決すべきことは何か、そのためにどのようなアクションが必要か、という前向きな議論をするために原因を振り返ることはあります。
しかし、それはあくまで未来に目を向けたものであり、彼女との議論は常に建設的でした。
彼女は常にフェアだった
彼女は、自社の社員だからこう、外部のコンサルタントやベンダーだからこう、のような扱い分けを全くしませんでした。
常に、同じチームのメンバーとして、純粋に定められた役務を果たす事を求めるのみ。
想定外の追加タスクが発生すると必ず相談ベースで対応を協議する場を設けてくれる。お前は雇われる側だから無理なオーダーでも黙って聞け、なんてことは一度もありません。
そして、現実的にはどのようなアプローチが最適か、というトーンで話すため、言うこと一つ一つに筋が通っており、リーズナブルでした。
彼女はコミットしていた
そして彼女はCISOとして他の経営陣と話をつけ、決断を下し、下した決断についての責任を常に負っていました。
とても気概や胆力に溢れており、頼りがいがある。自己保身のため、責任を上下左右へ転嫁しながら社内政治の海を上手く泳ぎと生き残るという概念がそもそも無いように見えました。
いかんともし難い事情で経営陣とのコミュニケーションをぼくに委ねることはあったものの、その結果の責任は常に彼女が負っていました。
情報セキュリティを蔑ろにする風土が彼女を縛った
しかし、そんな彼女を暗雲が覆います。
- ITやシステムは業務の効率化や新サービス実現が目的のEnablerである!
- まずは業務部門の言うことをなるはや&最安値で実現しろ!
- 情報セキュリティは二の次!
というのが、当時のクライアント企業の風土だったのです。
日本企業ではよくあるやつだと思います。
情報セキュリティの優先度は地に落ちていた
ぼくが初めて彼女と会ったのはおよそ3年前。当時、彼女はクライアント企業に転職して半年が経ったばかりのニューフェースでした。
当時ぼくは同じクライアントの別プロジェクトでシステム開発を仕切っていました。個人情報を扱うシロモノだったため、設計方針などについて事前にCISOのレビューと承認を得たい旨、担当者へ打診しました。
その時、相手をしていたクライアントのシステム部門の担当者の言ったことが今でも忘れられません。
「え、面倒だけど・・・一応やらないといけない・・・んだよね?」
そう、セキュリティの優先度は地に落ちていたのです。
セキュリティ観点からのレビューは、ソフトウェア開発のプロセスを考えると当然必要なプロセスのはず。それが全く理解されていませんでした。
日本企業のセキュリティ投資が世界平均の半分
そもそも、日本企業におけるセキュリティの投資額は世界平均の半分しかありません。
情報セキュリティはリスク回避を主目的としています。
そのため、投資は必要であることはわかっていがらも、効果の試算が難しいという性質を持っています。そのため、経営陣の積極的なコミットメントなしに予算を得ることが難しいのです。
加えて、勤勉で倫理感の高い日本人の国民性がゆえ、情報セキュリティへ積極投資せずにも一定のセキュリティレベルが保ててしまう(性善説が通じる)。このような事情で、情報セキュリティ投資の必要性を経営陣が把握し辛いのです。
海外の場合、性悪説ベースで物事が検討されるため、情報セキュリティの仕組みで縛る必要性が経営レベルで理解されるんですよね。
システム部門は業務部門の奴隷
さらにあろうことか、このクライアントにおいてはシステム部門の至上命題は「業務部門への貢献」ただ一つ。
そのため、これまでセキュリティに特化した活動などひとつも存在しなかったし、極端な話、彼女が転職してくるまでセキュリティを主に担当する人間が一人もいませんでした。
各々のシステム担当者が個々人の良識に則ってセキュリティ対策を施している。しかも、業務部門に知られることなくひっそりと。
これがクライアントにとっては「普通のこと」だったのです。
そして邪魔者扱いされるCISO
そこに、CISOの登場するのです。
彼女は情報セキュリティチームを組織し、これまで野放しだった情報セキュリティの背筋を正そうとしました。これまでなあなあで通ってきたセキュリティをきちんとしようと。
しかし、システムを作り運用してきたシステム部門からすると、
「セキュリティレビューしようぜ!」
「チェックリスト作ったからチェックしてね1」
とけしかけてくるセキュリティチームは、単なるオーバーヘッドにしか見えなかったのです。
さて、何が起こるか。
システム部門の誰も、セキュリティチームに協力しようとしないのです。
セキュリティ系の施策は全社一丸。現行システムの担当者、ひいては業務部門の協力も不可欠です。協力なしには何もできません。
そこで協力を仰ごうとするのですが、
「え、それセキュリティチーム発の案件でしょ?」
「セキュリティチームで人採ってやってよ。俺忙しいんだよ。」
と、第一声から煙たがられるわけです。
正しいコミュニケーションルートを通しても、正規の承認を取った上で任せても、一向にコミットしてもらえない。
これでは手足をもがれているようなもの。彼女はクライアントへ転職後、こんな状況で日々過ごしてきたのでした。
社長の鶴の一声で立ち上がったセキュリティ改革プロジェクト、のはずが
そんな矢先、クライアントの社長の鶴の一声で、セキュリティ改革の案件が立ち上がりました。
これからはセキュリティもしっかりしなければならないぞ、と。外部のコンサルタントも入れて推し進めるのである、と。
ぼくがその支援でやってきた時の彼女の喜びようと言ったらありませんでした。
「やっと私のやりたいことができる。この時をずっと待っていたの。」
そう顔に書いてありました。誰でもない社長の勅命案件だ。進まないはずがない。彼女もぼくもそう信じてやみませんでした。
ぼくたちは、As Is分析、To Be像の定義、ギャップ分析、ロードマップ策定、プロジェクト定義など、セキュリティ施策を立ち上げるための事前準備を着々と進めていったのです。
突きつけられる、残酷な現実
しかし、フタを開けてみたらなんのことはない。冷酷な現実がぼくたちを阻んできました。
経営陣はセキュリティ施策の推進に協力してくれる。そのはずでした。しかしセキュリティ施策への投資案をシステム投資判断会議へ上申したところ、帰ってきたフィードバックは
「高い。理由を説明しろ。ベネフィットはなんだ。」
「全額は出せない。とはいえ6割位は出すからこれでなんとかしろ。」
コスト削減などのわかりやすい指標が出しにくいという、セキュリティの特性が仇をなしたのかもしれません。
そして、なんとか獲得したなけなしの予算で立ち上げたセキュリティ系ソリューションの導入プロジェクト。
当然、現場のシステム部門の協力は不可欠ですし、その事前コミュニケーションもされていました。
しかし、システム部門の部長以下、現場が全くついてきませんでした。
何かを依頼しても、現業で忙しいことを理由に時間を取ってもらえない。コミットすると言質を取っても実行しない。経営層レベルへエスカレーションしても改善は見られない。
全く物事が進まない中、セキュリティチームは自分で工数を持ちだし、本来自分たちのやるべきでない仕事を巻き取りながら、身を切ってものごとを進めることになったのです。
そんな中でも、システム部門長からはチクチク「もっと現場のことを考えろ」とお叱りを受ける始末。
システム部門は仲間のはずなのに
さらにあろうことか、部長以下の現場の人間が、セキュリティチームをリソースプールとみなし始めました。
セキュリティに少しでも関連する!セキュリティという色が少しでもついた!とみなした検討や作業を、ことごとくセキュリティチームに押し付けようとしてきたのです。
自分たちは何も協力しない一方、自分たちの仕事をただただ押し付けてくる。
見るに見かねたため、CISOの彼女に進言し、組織としての役割分担を仕切りにかかりました。結果、部長レベルと合意を取りつけるに至ったのです。
にもかかわらず、無茶振りは止まず。部長とは、役割分担とは、そして約束や合意とは、一体何だったのか。
彼女以下セキュリティチームは、本来すべき仕事ができないまま、ただ疲弊していったのです。
ここまでが、ぼくの知っている話。契約の関係で、ぼくは途中で彼女の元を去らなければなりませんでした。
そして彼女は、退職を決意した
正しいパスでコミュニケーションをし、正しい承認を取り、役割分担を仕切った上でものごとを進める。
極めて正しく、リーズナブルです。でもそれが通じない。経営層から落としても現場がついてこない。
長く続いてきたセキュリティが蔑ろにする悪風。社長の勅命でさえ変えることのできなかった価値観や風土。
おそらく、ぼくが去った後も彼女は封殺され続けたのでしょう。のびのびと仕事ができるはずもない。そして本来やるべきでない仕事のみが増え続ける一方。
それまで猛烈な使命感で働き耐えてきた彼女にも、とうとう限界が訪れたようでした。
「Hi NAE, I decided to leave this company.」
退職を決めたとき、彼女はいの一番にぼくに連絡をくれました。
セキュリティの重要性を理解していた点、外人しかいないセキュリティチームの中で唯一の日本人として、部長以下現場の日本人連中とのコミュニケーションを一手に引き受けものごとを進めていた点。
これらを彼女は高く評価し、ぼくに信頼を寄せてくれていたのです。心から感謝していると言ってくれました。
ぼくもまた、彼女を心から信頼してました。退職すると聞いたときは、まるで心に穴が空くような、そんな気分になったのです。
デジタル時代を目の前にCISOを失うのは、痛手でしかない
彼女を失うのはクライアントにとって非常に痛手であるはずです。彼女を失うことで、社長の勅命である全社セキュリティ改革の歩みは滞りますし、セキュリティは是正されずリスクは高まるばかり。
経営陣はそれを理解しており、彼女の慰留に奔走したそうですが、結局引き止めることはできませんでした。
あらゆるデータの全面活用を前提とするデジタルビジネスが本流となるこれからの時代。セキュリティはすべての礎であり、経営上の最重要アジェンダです。
セキュリティのしっかりしていない企業へデータを提供したい人などいませんよね。使えるデータがなければ、デジタルビジネスなど夢のまた夢。
そして、デジタルビジネスの時代はまさに拓こうとしている。前提となるセキュリティを是正するチャンスは今しかないはずなんです。クライアント企業はそのチャンスを取りこぼそうとしている。
彼女ほどのプロフェッショナルなCISOを、ぼくは今まで見たことがありません。
そんな彼女を、一人の稀代なるプロフェッショナルを、組織の風土が封殺したのです。そして今、その風土が、クライアントの将来のビジネスを殺そうとしています。
経営層の意識が変わっても、現場までそれが浸透しなければ意味が無い。
情報セキュリティを蔑ろにする日本企業、その価値観を形作る「ヒト」を変えるのは、情報漏えいでYahoo!ニュースに載るくらいの荒療治が必要なのかもしれません。
まとめ:セキュリティちゃんとしよう
というわけで、組織の風土が人材を殺し、将来のビジネスの礎を失おうとしている事例でした。
当の彼女は退職後カナダにいる娘家族のもとに居を移し、ローカル企業のセキュリティオフィサーとして引き続き敏腕を振るうとのことでした。
彼女のようなプロフェッショナルにぼくはなりたい。
今回は以上です。