”セキュリティの難しさ”をデザインで越える｜白坂教授と考える、共創とデザインの力｜ブログ

blogtop

独立した複数のシステムが統合された巨大システム「Systems of Systems（SoS）」が注目される近年。データの一元化や情報処理コストの圧縮といったメリットが期待される一方、セキュリティ対策の難しさが課題として浮上しています。SoS時代で企業に求められる正しいセキュリティマネジメントとはどのようなものでしょうか？SoSをはじめ経営のシステム化に関する研究に取り組む慶應義塾大学大学院システムデザイン・マネジメント研究科教授の白坂成功氏と、NRIセキュアテクノロジーズ株式会社セキュリティソリューション事業本部長の足立道拡が対談しました。

「体験をデザインする」ことの重要性

足立：白坂教授、弊社が企画したカンファレンスの基調講演で登壇いただいた際はお世話になりました。講演のなかでグッドデザイン賞を受賞された御校の「慶應EDGEグローバルイノベータープログラム※」について触れられていましたよね。その内容がとても心に刺さり、アーカイブで繰り返し3回視聴しました。

※慶應EDGEグローバルイノベータープログラム：慶應義塾大学大学院システムデザイン・マネジメント研究科による人材育成連携プログラム。システム思考とデザイン思考を融合しながら、分野を横断したアプローチで新価値創造を促進。学内外の多様な人が相互作用する場を通じて、継続してイノベーターが生まれる仕組みとしてデザインされている。

白坂：ありがとうございます。コラボレーションルームとプロトタイピングルームを有するこちらの研究室は、まさにその拠点となる場所です。現在もここで学生たちが多くの人と関わりながら、社会課題の解決に向けたさまざまな企画を創造しています。グッドデザイン賞というと一般的には意匠デザインの印象が強いなか、我々の取り組みは少し特殊かもしれません。私自身、意匠デザインが得意なわけではなく、そういった特別なセンスもありませんが、「仕組みや体験のデザイン」という領域で研究を続けてきました。

fig-DSC3735

足立：

プロダクト開発でも、「体験をデザインする」という発想はとても大切だと感じます。私たちがSecure SketCHを開発する以前、「セキュリティは大事だけれども、難しくて大変なもの」というイメージが世の中に浸透していました。

しかし、見せ方ひとつでその印象やセキュリティ担当者が取り組むときのモチベーションが変わるのではないかと、デザインを強く意識するようになりました。そこから、色々な形でデザインを意識するようになり、デザインチームを立ち上げたことで、Secure SketCHも2022年にグッドデザイン賞を受賞することができました。

白坂：「セキュリティは難しくて大変なもの」というユーザー側の目線に立った、まずそこがスタートだったのですね。日本では、メーカーを中心に単純に単価を積み上げて製品の価格を設定するという考え方が根付いています。しかし、同じ機能性を持つプロダクトでも、ユーザー体験を良くすることでその価値を高めることができますよね。

セキュリティ評価に「偏差値」という独自の概念を導入

足立：お客様がセキュリティに対して持つネガティブな意識・印象は、私自身のキャリア初期にセキュリティコンサルタントをしていた時に身をもって感じていたことでした。コンサル先の企業のセキュリティ評価や監査を、全て表計算ソフトで実施していました。時間をかけて、難しい分析をして報告しにいっても、セキュリティに詳しくない経営層からは「難しくてよくわからない」と一蹴されてしまうこともありました。そこで、お客さまの声によく耳を傾けてみると、他社や業界全体と比較して、自社がどういう状態なのかがわからないので判断できない、という本音が聞こえてきたんです。

その後、NRIセキュアの新規事業担当になり、その後にSecure SketCHにつながる事業開発に着手した際、当社が有していた取引先数千社のセキュリティ調査結果の回答データに価値を見出しました。そして、セキュリティ評価において「偏差値」という独自の概念を導入したんです。偏差値を利用して、セキュリティレベルを可視化することで、各社を同じモノサシで評価できるようになりました。

fig-DSC3762

白坂：特に周囲との比較を意識する日本において、偏差値という発想は非常に示唆深いですね。セキュリティ評価に限らず、例えばDXの推進度合いを測る場合など、さまざまなシーンで使えるフレームだと感じます。

75の設問でセキュリティレベルを可視化、Secure SketCHの特徴

白坂：Secure SketCHでできることについて、もう少し教えていただけますか？

足立：Secure SketCHは、戦略・組織・技術・有事対応と、セキュリティを4つのカテゴリに分け、そのなかで75の設問を用意しています。企業のセキュリティ担当者さまはそれに答えるだけで「得点」や「偏差値」を定量的に可視化できます。

4つのカテゴリを設定した理由は、セキュリティを担保すべき領域が多岐に渡るからです。攻撃者が狙う対象は、アプリケーション、物理、インフラなど全体に及ぶため、網羅的に全体を評価する必要があるのです。

SketCH 「Secure SketCH」のWEBサイトより

白坂：たしかに、セキュリティの専門家であっても1人ですべての領域をカバーすることは難しいですよね。4つのカテゴリを定義したことは、Secure SketCHの重要な価値だと感じます。

足立：ありがとうございます。また、4100社以上の統計データから他社と比較した評価がわかり、同業他社をベンチマークに対策を行えるところもSecure SketCHの特徴です。私のコンサル時代の話に戻りますが、当時は取引先の企業が求める要件に合わせて評価項目をアレンジしていました。個の追求という意味では正しいアクションだったのかもしれませんが、その結果、各社を異なるモノサシで評価することになり、企業を比較することはできませんでした。

Secure SketCHの開発にあたっては、まずグローバルも含めたいくつものガイドラインを確認したうえで、誰もが納得できる75の設問をつくりました。この設問を活用していただくことで、導入企業の担当者さまからは、「経営層への報告がしやすくなった」「数年間のロードマップを立ててセキュリティ施策に取り組めるようになり、その結果が金融機関の監査でも有効だった」「セキュリティ専門外のIT担当者がセキュリティ領域も兼務できるようになった」といった嬉しいお声をいただいています。Secure SketCHを利用いただくことで、セキュリティ対策の自立自走が進み、とても嬉しく感じています。

白坂：他社と比較して、自分たちが今どういった段階で、これからどこに向かうのか、見通しを立てられるというのはとても良いですね。しかもセキュリティというわかりづらい領域でそれが実現できる。早速大学のセキュリティ担当者にもSecure SketCHのことを話してみようと思います。

イノベーションを起こす組織に必要なのは「アジャイル思考」と「多様性」

白坂：足立さんは元々コンサルタントでしたが、NRIセキュアでSecure SketCHのプロダクト企画・開発を担ったのですよね。

足立：はい、さらにその前は物流の業界で荷物の仕分けやフォークリフトの運転をしていました。そんな自分がプロダクトの開発に携わるとは思ってもみませんでしたね。

白坂：それはユニークなご経歴ですね。初めてのプロダクト開発、ご苦労もあったのでは？

足立：そうですね。最初は、コンサル時代の仕事の癖が抜けず、「お客さまの話を完璧に聞き、完璧に資料化し、完璧に説明しなければならない」という発想にとらわれてしまい、プロダクト開発も思うように進みませんでした。

白坂：完璧な状態でないと人に披露してはいけないと思っていたわけですね。

足立：はい。そんななか、あるお客さまが「そんなに頑張らず、プロトタイプの状態で持ってきてください」と言ってくださいました。これがきっかけで、1人で完結しなくていいんだと心理的負荷が下がり、周囲にも相談できるようになりました。そこから開発のスピードはグンと上がりましたね。

白坂：いいお話ですね。私も慶應EDGEグローバルイノベータープログラムで多くの人と関わってきたので、以前の足立さんの状況はよくわかります。共創・コラボレーションという言葉がありますが、完璧なかたちでアイデアをもってこられると、そこからいくら議論しても大きく変わることはありません。逆に、ラフなアイデアをベースに考えた方が、明らかに新しいものができるんですよね。特に我々日本人はしっかり準備してから発表するという発想になりがちですが、このバイアスを外し、アジャイル思考で議論することでイノベーションのスピードもアウトプットの質も飛躍的に向上します。

足立：全くその通りです。そのバイアスを外し、アジャイルな姿勢を持てたことで、日々の仕事でお会いする方も変わるようになりました。新規事業立上げの専門家、アジャイル開発・デジタルマーケティング・コンテンツ制作・Webデザインのプロ集団など、そういった多様性に溢れる社外のステークホルダーに何度も助けていただきました。

白坂：慶應EDGEグローバルイノベータープログラムでは、学生だけでなく、新卒の社会人から定年退職後の方、理系に文系、技術者、研究者、営業、人事、省庁職員からお笑いタレントさんまで、年齢、性別、学歴の異なる多くの人がワンチームでプロジェクトを進めていきます。この多様性こそが、今までにないアイデアを生み出す刺激になります。

keio 「KEIO EDGE」のWEBサイトより

足立：

今までにないアイディアを生み出すという観点では、白坂先生が講演で触れていた認知バイアスという観点が特に大事だと信じています。既存事業や技術に精通すればするほど専門性が増えるが、無意識の認知バイアスが障害となり、新しい発想を遠ざけてしまいがちです。そんな時に、異なる専門性や文化を持つ人達から頂戴したピュアな意見や真っすぐな疑問から色々なことを学んできました。

一方で、多様なチームだからこそ考慮しなければならない言葉の難しさにも苦しみました。セキュリティの用語や専門性は難しいので、専門性の量や年代の異なる人達にどうすれば伝わるか、課題の本質を共有できるかを常に考え続けてきました。

白坂：

おっしゃる通り。個々の専門性が違うほど、言葉のもつ意味や定義が違うので、会話のコミュニケーションだけだと「わかったつもりでわかっていない」ということが多発します。例えばビジネスに関する議論で、経験豊富なビジネスマンの話を新卒の人は理解できるわけもなく、否定や質問もできませんよね。

そういった状況を防ぐために、議論では重要な内容を図に描き、異なる専門家バイアスを持つ人同士でも伝わるように工夫しています。図で構造化・可視化されることで、専門家バイアスの外の人が素朴な質問をぶつけられるようになり「そういう発想はなかった」と、創造的なコラボレーションが生まれるのです。

足立：多様な人が図で見せ合いながら忌憚のない意見を交わし合う…その光景が頭に浮かび、思わずワクワクしてしまいました。私もぜひ参加してみたいです。

System of systems (SoS) 化が進む今、理想のセキュリティマネジメントとは？

fig-DSC3721

足立：白坂教授が弊社主催の講演でもお話されていたように、昨今、セキュリティに関する企業経営者の意識は変わりつつありますよね。以前はあまりセキュリティに関心のない経営者の方も多かったですが、セキュリティ事故が事業経営にもたらす影響やサイバー攻撃の脅威を自分ごととして捉える方が増えている印象です。

白坂：そうですね、特にSystem of Systems (SoS) を採用している企業の場合、さらにセキュリティ対策の重要性は増すでしょう。複数のシステムが複雑に連携したSoSでは、セキュリティ面でどこまでをどう評価すべきかがわかりづらく、手動でのマネジメントは困難でしょう。そこでSecure SketCHのようなシステムの活用がますます求められると思います。

足立：SoSを企業におけるサイバーリスクの観点で捉えると、サプライチェーンリスクではないかと思います。システム同士が多様につながり、企業のサプライチェーンは複雑になり続けるはずですから、その構造やリスクを手動で追い続けることは困難です。また、セキュリティ対策は、事業の動きを止める“ブレーキ”として捉えられがちですが、Secure SketCHは“ガードレール”のような存在でありたい。そう考えています。ガードレールがあることで、車は安心してスピードを出せますよね。セキュリティは非常に大切ですが、事業のなかで不用意に意識させたくもないので。

白坂：とても面白いコンセプトですね。おっしゃる通り、セキュリティは多くの人が正しく理解しなければならないことですが、その一方で、実際の行動のなかでは意識せずに自然と守られる状態が理想的。相反することを両立しなければならない…Secure SketCHは、まさにそこに目を向けたプロダクトということですね。

足立：SoSによるシステムの複雑化とともに、サイバー攻撃の技術は日々進化しており、セキュリティ対策の適応力はさらに重要になるはずです。Secure SketCHは、開発と運用が密に連携したアジャイル開発により、1日5回のアップデートができる体制を確立しています。サービスを止めることなく実装できる構造で、これからも企業さまのセキュリティ対策を強固にサポートしていきたいです。

白坂：近い将来、企業のオフィス環境だけでなく、家電製品や自動車など、ハードウェアも一体となったセキュリティ対策が求められるようになるでしょう。そんななか、開発と運用のシームレスな連携で隙間なくセキュリティの状況を可視化し続けるSecure SketCHは、まさにDevOpsの良い事例ですね。これからのさらなる発展に期待しています。

”セキュリティの難しさ”をデザインで越える｜白坂教授と考える、共創とデザインの力

「体験をデザインする」ことの重要性

セキュリティ評価に「偏差値」という独自の概念を導入

75の設問でセキュリティレベルを可視化、Secure SketCHの特徴

イノベーションを起こす組織に必要なのは「アジャイル思考」と「多様性」

System of systems (SoS) 化が進む今、理想のセキュリティマネジメントとは？

メルマガ登録

人気記事

人気動画

人気資料ダウンロード