経済産業省が2017年末に発表したサイバーセキュリティ経営ガイドライン Ver2.0 に「経営者が認識すべき3原則」の一つとして以下の記載があります。
(3) 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
ここで述べられているのは、顧客や株主を含めたステークホルダー全体とのコミュニケーションの必要性ですが、対外向けのコミュニケーションを適時的確に行うためには、組織内部での円滑なコミュニケーションが欠かせません。
しかし、組織内部でのコミュニケーション手段の選択と、その隠れた"コミュニケーションコスト"については見過ごされがちです。
情報収集の手段によっては、隠れたコミュニケーションコストがある
情報セキュリティに関わるものに限らず、世の中のプロジェクトや組織活動の多くで「各担当者がもつ情報を調査・収集する」場面があります。このような場面で組織内で一般的に利用されている手段は、多くの場合以下のようなものでしょう。
- 担当者に直接聞く。
紙の調査票を作って回覧記入してもらう。
メールにExcelファイルを添付し、記入を依頼し、返送してもらう。
「直接聞く」という手段は相手が少数かつ知りたい情報の範囲も限られる場合は最も手軽で効率的な有効な手段と言えます。
一方で、多くの担当者に・同時に・定型質問を行う場合は、時間や場所の制約から、何らかの”調査票”を作成し担当者に提出してもらう方法が一般的です。
相手の利用する機器やツールを問わず調査する場合は紙を配布し記入・回収するという方法がとられますが、特にIT関連の調査であれば紙の代わりに調査票としてExcel等の電子ファイルを利用し、メールなどで依頼するやり取りを行うことが多いのではないでしょうか。
図1. やり取り型の情報収集
やり取り型の情報収集でも 少人数のやり取りであれば、問題が発生することは稀でしょう。 しかし、
- 『調査対象が組織をまたがる場合』
- 『組織の主担当者や代表者だけでは回答できない』
- 『複数の担当者がそれぞれ自分の担当箇所を埋めないといけない』
調査の場合は、大小さまざまな課題が発生することがあります。
図2. やり取り型の情報収集で起きる担当者の悩み
これらの課題単体で見ると、依頼者も対応している担当者も、それほど負担を意識することはないかもしれません。しかしながら、毎年、毎月、複数の調査を、多数の部門に対して実施している場合、組織全体で積み上げていくとこれらの課題や負担は決して無視できるものではないですし、これらの対応で起きる、「面倒で、少し嫌な」経験の積み重ねが、いわゆる調査疲れ・調査嫌いを生む原因の一つといえるのではないでしょうか。
なお、大規模な組織などで多数の対象者を調査になると、「調査専任の担当者」や「調査事務局」を置いて、予め回答範囲を絞り込むなどのきめ細やかな対応を行い、依頼者側と回答者双方の負担の軽減を図ること多いです。
このほかにも、情報収集という観点では「アンケート サービス」の活用や、「独自・専用システムの構築」も挙げられます。いずれも、うまく運営を軌道にのせることができれば、運営、統合は容易になりますが、運営を開始するまでに少なからず初期コストや運用が発生し「実施が手軽」とはいえません。
また、依頼側の担当者業務の一部を集約したり自動化・システム化したとしても、「回答社が一人で回答することが難しい」組織として、プロジェクトとして回答する性質の調査を行う場合は、代表する担当者それぞれが冒頭で挙げた「やり取りでの情報集」を行って内部の情報収集を行うこととなり、課題は残り続けます。
「組織として回答する場合も、個人単位で回答できるシステムを構築すればよいのではないか」と問われることもありますが、構築するまでのコスト・運用ともに多大な負担となり、受益や効果のバランスを踏まえると、このような対応が可能な業務は限定的です。
情報収集に協働作業向けのクラウドツール活用が有用
これまでに挙げた「やり取り型での情報収集」の課題を解決する方法の一つが、協働作業での利用を前提として作られたクラウド型サービスを活用することです。
多くのクラウド型ドキュメント製品では、ユーザーごとに編集権限、閲覧権限などを設定し、同時に編集作業を自動的に変更履歴を作成したり、チャット形式でコメントを追加できたり、何度もファイルのやりとりを行うことがなく「メール添付型での情報の授受・更新」の際に生じていた多くの課題を解決しています。
図3. 協働作業型の対応
すでに多くの企業でオフィスアプリケーションスイートとして利用されている、Microsoft Office365 や Google G Suiteなどの製品群にもこのような協働作業を行うことができ、活用を始めている企業も少なくありません。
例. Google G Suite(Webサイトより)
例. Microsoft Office 365 / Office Online(Webサイトより)
これまでメールでやりとりしていた情報を、一か所で編集できる、という点で協働作業が可能であります。ただし、過去の資産を継承したツール、特にファイル共有ベースの編集ツールでは、協働作業という観点での使い勝手が最適化されているとは言い難い点もあります。
そのため近年、製品設計の段階から協働作業を念頭に置いたクラウド型ツールが、特にテクノロジー活用の進んだ企業で利用されています。
例. SalesForce Quip (Webサイトより)
協働作業型で留意したい情報収集~行動までの前提
冒頭に挙げた「やり取り型の情報収集」の前提として「全ての情報を集めてから、対応を検討し、対策に進む」という計画を重視した考え方をされている場合も多いでしょう。
もちろん、そのような緻密な情報収集と計画が必要な業務もあります。しかしながら、すべての情報収集をこの前提を置いて進めるべきかどうかは、検討の余地があると考えます。
ここで、本Secure SketCHブログで以前掲載した OODAループという意思決定の理論を再掲します。
たとえ最初に収集できた情報が不完全であったとしても、不明点を認識できたと考え得た情報から方向性を判断し次のステップに進む、このような情報と行動のサイクルを、組織内、また組織を越えて協力して従来より早く回していく対応がサイバーセキュリティ対策において今後ますます重要となると考えています。セキュリティ関連業務のみならず、俊敏さが求められる業務全般において「協働作業型」のツールは有用です。
Secure SketCHも、協働作業型のプラットフォームとして「セキュリティ対策状況の把握、計画策定、実施までの取り組み」業務を複数の担当者で進めていくための機能を用意しています。
一例を挙げると、
担当者の招待や、メモ機能
回答に確信がない場合は「あとで確認」
誰が、いつ、情報を更新したかわかる
Secure SketCHでは、企業のセキュリティ実態を俯瞰し、網羅的に把握したうえでスコアを算出します。そのため、広範囲の情報セキュリティ対策の実施状況を回答する必要がありますが、すべての実施状況を一人で正確に把握されているケースは稀ですので、このような複数担当者が利用することを想定したプラットフォームとしてサービスを提供しています。
Secure SketCHは今後も継続的に進化していきます