経営陣と管理職が決して犠牲にしたくないこと、それは生産性です。
ご存じのように、生産性とは資源を活用し収益性の高い製品やサービスを生産する能力です。別の言い方をすれば、インプットされた資源に対して充分な利益のアウトプットを生み出しているか、ということです。生産性は企業の業績やビジネス効率性を評価するために用いられます。
生産性が高いと収益性も上がります。生産性は企業業務が効果的に利益を生み出しているかを評価するための積極的な手段として重要です。生産性の最終成果物は利益です。企業幹部なら誰でも生産性の低下を望まないのは当然です。
生産性を高めたいというプレッシャーの結果として度々発生する問題の一つは、効率向上を目指すあまりセキュリティがおろそかになることです。セキュリティが生産性向上を妨げている、と見なす経営者は少なくありません。つまりセキュリティ対策が強化されると、人々の仕事が遅くなると考えているようです。そう考える理由については容易に想像がつきますが、その考え方は事実を正確に反映していません。実際には、自社の業務改善の一環としてセキュリティ強化を行えば、セキュリティ強化と同時に業務の無駄を省くことも可能です。
生産性への圧力はどこからくるのか?
絶えず生産性を向上への圧力があるのは、生産性こそが企業の利益、コスト削減、そして収益の源であるからです。
企業が無駄なコストを節減すると、それが利益になります。さらに、無駄を省けば生産プロセスや業務の合理化と最適化につながり、より多くの製品、あるいはより高品質の製品やサービスが提供できるようになります。経営者の役割は、収益性を高めるために生産性を向上させることで、株主や取締役会もそれを期待しています。外部の競合相手は、同じ価格でより良いものをより早く提供しようと絶えず努力しています。技術的革新で新たなビジネスモデルが生じれば生産プロセス自体が時代遅れになってしまう可能性もあります。経営者が直面するプレッシャーは甚大なものです。
最近のIT技術の進化に伴い、ビジネスにとってのセキュリティが再定義される中、問題はいよいよ複雑化しています。生産性の向上を目標に掲げるのはもっともですが、セキュリティを犠牲にするのは浅はかなことです。もし、ある企業がデータ侵害を受けたら、生産力を高めるためのすべての努力は役に立たなくなり、そこから世論の反発、売り上げの喪失、ブランド資産価値の低下、訴訟、そして全体的な採算の低下へとつながります。サイバーセキュリティを無視すると、経営者は組織を膨大なリスクに曝すことになります。
一般的業務改善フレームワーク
生産性の改善には、リーン(Lean)生産方式、シックス・シグマ(Six Sigma)、カイゼン(Kaizen)、プロセス・リエンジニアリング(Process Reengineering)といった業務改善フレームワークの実践が考えられます。こういったフレームワークは概して、無駄の排除、労働力と資産の最も効率的な利用法を目的としています。
例えばリーン生産方式のプロセス改善フレームワークでは、次の5つの原則に従うことになっています。(1)生産高の知覚価値の特定、(2)バリューストリームの特定、(3)サイズの大きなバッチ処理の削減、(4)デマンド プルの活性化の促進、(5)継続的な改善、です。Six Sigma は品質改善に焦点を当て、エラーを減らしてゼロに近づけるのを目標にしています。カイゼンは効率目標達成に向けた積み上げ式のアプローチです。カイゼンは反復的なタスクで最も効果を発揮します。Process Reengineering は、エンド・ツー・エンドプロセスの効率化のための一般的なアプローチです。不要なステップをなくし、人任せ主義を減らし、エラーを減少させ、サイクル時間を短縮することを目標にしています。
各プロセスフレームワークにおいて気になることがあります。セキュリティについて言及、強調されている箇所はどこにもありません。サイバーセキュリティと、その革新的な統合の必要性を理解するのはひとえに管理者の責任です。ここで問題なのは、これらは業務の生産性・効率性の向上に対する様々なアプローチのほんの一例に過ぎないことです。しかしありがたいことに、こういったフレームワークによく調和するセキュリティ設計の考え方があります。
セキュリティ・バイ・デザイン原則の統合
セキュリティ・バイ・デザインは、データ保護の問題に事後に対処するのではなく、製品やプロセスの設計段階で中核問題ととらえて対処するための一連の基本原則です。セキュリティの観点上、品質プロセスは最初から可能な限りセキュアになります。データセキュリティの基本原則には、機密性、完全性、可用性があり、セキュリティ・バイ・デザインフレームワークはこの3つを柱にして構築されました。セキュリティ・バイ・デザイン原則には以下のものがあります。
最小権限の原則
情報へのアクセスを制限し、必要最小限の人にだけ知らせるようにしてください。ユーザは業務に必要な最小限の権限を与えられていなくてはなりません。この原則は肩書きに関係なく平等に適用されるべきです。最高マーケティング責任者(CMO)も、新規採用者も必要なものだけにアクセスします。
フェールセーフ
たとえ故障状態であってもメインシステムが脅威に曝されないように常にサブプロセスが設計されているようにします。目標はオフラインでも各プロセスを確実に操作出来るようにすることです。FedexがNotPetyaの大流行で世界的のITシステムが機能不全に陥った時も、操業を続けることが出来たのはそのおかげです。
単純性
セキュリティは制御と保護からなり、システムが複雑になるほど難しくなります。生産性に支障を生じさせることのないように、必要な情報システムだけを提供するようにしてください。システム(機能、プラグイン、インテグレーションなど)が複雑になるほど、脅威とバイパスに曝される可能性が高くなり、システムが単純なほど、監視と制御は容易になります。
曖昧なものは受け入れない
機密性に依存するシステムだと、いずれ晒されてしまうか、旧弊なものとなってしまいます。機密性を保つことでセキュアな状態を確保しようとしてはいけません。サイバー攻撃中に晒されてしまう可能性が高い機密ファイルを保持するよりも、サーバー上のデータを分割する方が有効です。
心理的受容
セキュリティは業務プロセスと統合されているべきで、業務の継続の妨げになるべきではありません。仕事の内容、そして多大な追加業務の勤労意欲への影響を考慮し、セキュリティシステムがユーザ中心となるようにしてください。この「人」という重要な要素を考慮に入れないと、過失や不満によって内部脅威に晒される危険度が増加します。
防御策を階層化する
一つの防御方法だけに頼ってはいけません。どのような方法でもバイパスの対象となります。一人一人のセキュリティ意識はサポート技術と同様に重要なものであり、防御の第一線です。データ侵害が起きた際でも情報データが外部からアクセスできないように少なくとも二つの緩和策を組み込んでください。こういった対策はパッシブなためネットワーク上のユーザには気付かれることもありません。
フレームワークに統合する場所
セキュリティ・バイ・デザインの各原則について、可能であれば各段階ごとに取り込むべきです。実際プロセス再設計のフレームワークとこれらの原則はよく調和します。あらゆる原則を同時に適用する必要はありませんが、可能な限り多くをプロセス再設計に適用するようにしてください。生産性に関して最も重要なのは、プロセスの心理的受け入れを確実なものにすることです。まずセキュアなプロセス設計を行い、その後にどの技術が適用可能かを考えることが必要だと認識することも重要です。主要因が特定されて初めて、必要な技術の実装が必要となります。
現状のプロセスの上に技術を実装すると、煩雑になるだけで生産性は低下します。本来プロセス設計とは反復作業の創設です。つまりセキュアで効率的なプロセスを先に設計し、その上で新たな技術と統合します。
