米国金融機関のセキュリティ担当者が、最も重視しているものは何か。海外送金やクレジットカード発行を手がける米Western UnionのDavid Levin情報セキュリティ担当ディレクターは「従業員の生産性」と断言する。

 Western Unionは2015年に「バグ報奨金制度」を開始するなど、先進的なセキュリティ対策で知られる(関連記事:社外の力でセキュリティ強化、メーカーや金融に広がる「バグ報奨金制度」)。もっとも、同社が「セキュリティ先進企業」と呼ばれるのは、セキュリティ対策が厳しいからではない。むしろ同社の従業員は「使いたいクラウドサービスがあれば、ほぼ何でも使える」(Levin氏)状態という。

写真●米Western UnionのDavid Levin情報セキュリティ担当ディレクター
写真●米Western UnionのDavid Levin情報セキュリティ担当ディレクター
[画像のクリックで拡大表示]

 なぜなら同社は「従業員が使いたいというクラウドサービスがあったら、その利用を禁止するのではなく、安全に使える方法を情報システム部門が考案する」(Levin氏)という方針を採っているからだ。CISO(最高情報セキュリティ責任者)直属のディレクターとしてセキュリティ対策を立案するLevin氏に、詳しい話を聞いた。

Levin氏の肩書きである「情報セキュリティ担当ディレクター」の業務とは?

 私はセキュリティ担当者の業務を「エンドユーザーに最新のテクノロジーを届ける(デリバリーする)仕事」だと定義している。過去10年に渡って、当社でサイバーセキュリティ担当者として働いているが、その仕事内容は大きく変化してきた。

 10年前の我々は「コンプライアンスドリブン(駆動)」で仕事をしていた。しかし今は、セキュリティ担当者にも「ビジネスを前進させる」発想が求められている。金融業を取り巻く競争環境が激変していることが大きい。

 セキュリティの水準を高く保つことは当然の責務だが、それだけを考えていたのでは失格だ。今は金融機関が、ソーシャルメディアを通じて顧客と直接コンタクトする時代だ。どのようなテクノロジーを活用すれば、顧客満足度やサービス品質を高め、イノベーションを加速できるのか。それをセキュリティ担当者も考えなければならない。セキュリティはビジネスをスローにする存在であってはならない。

具体的にはどのような取り組みをしていますか?

 エンドユーザーから新しいテクノロジーやサービスを使いたいという要望を受けたら、情報システム部門はそれがセキュアに利用できるかどうか評価(アセスメント)を実施し、もし何か問題があれば、それを改善する策を考える。

 重視しているのは、エンドユーザーとの対話だ。エンドユーザーのニーズに背を向けてしまうと、従業員や部門が勝手にクラウドサービスを活用する「シャドーIT」がはびこりかねない。

 新しいクラウドサービスを導入する際には、安全な使い方に関するエンドユーザー教育も実施している。当社が重視するのは、ビデオを使った教育コンテンツだ。10万人を超えるエンドユーザーが情報システム部門が作成したチュートリアルのビデオを閲覧して、サービスの正しい使い方を学んでいる。