クラウドコンピューティングやBYOD(bring your own device)の動きが顕在化し、企業のシステムを取り巻く環境が変化する中、セキュリティ部門や同部門のトップであるCISO(最高情報セキュリティ責任者)に求められる考え方も変わり始めている。ガートナー リサーチのバイス プレジデント兼最上級アナリストであるトム・ショルツ氏に、セキュリティ担当者に求められる能力を聞いた。
企業のセキュリティ部門はどのような変化に直面しているのか。
例えばスマートフォンによるモバイルコンピューティング環境で改革が起きている。セキュリティ担当者たちは、これら機器を社内に持ち込むことに対して、リスクがあるため「ノー」と言いたい。
クラウドも同じ。ビジネス的には魅力的で財務的にもいいモデルなのに、セキュリティ部門は否定的だ。
ビッグデータでは、大量の価値あるデータがあるにもかかわらず、セキュリティ部門はデータごとに利用できる人を区切って活用させるなど、包括的な内容を把握できなくしてしまう。
モバイルコンピューティングやクラウド、ビッグデータの採用により、これまでシステム部門がコントロールしてきた機能の一部が、ビジネス側に移るようになった。
こうした変化に対してセキュリティ部門が、「ノー」ばかりを言ってしまうと、ビジネスの現場にいる社員は、システム部門を無視して仕事を進めるようになる。
25歳より下の「デジタルネイティブ」と呼ばれる世代が、就職し始めている。彼らはインターネット、モバイルアクセス、ソーシャルメディアなどに自由にアクセスできる環境で育ってきた。会社で従来型のセキュリティ担当者が否定的なことばかりを言ってしまうと、デジタルネイティブ世代の人たちは、優秀な人から別の会社に移っていってしまうだろう。
セキュリティ部門が“守り”に入っているということか。
セキュリティ部門の担当者は元来、コンサバティブなものだ。しかし変化に対応する柔軟性を高めないと、組織の中で有効性や関連性を失って無視される存在になってしまう。
