ガートナージャパン株式会社が2018年7月24日から26日まで開催していた「ガートナー セキュリティ & リスク・マネジメント サミット 2018」の最終日となる3日目(7/26)に、セッション登壇の機会がありました。大変に光栄かつ貴重な経験でした。
サミットの会場内には、セッション聴講者があふれていました。会場内にほとばしる熱気を体感して、改めてセキュリティやリスクマネジメントに対する興味・関心の高さを再認識しました。
本Blogでは、講演内容のハイライトと登壇後に感じたことを要約して解説します。
セッションの構成
講演タイトルは「セキュリティ経営の最前線 ~グローバル5か国調査の結果をふまえて~」でした。
日本を含むグローバル5か国の企業に対するNRIセキュアの独自調査結果をふまえて、最新のセキュリティ実態や対策動向、および、今後のセキュリティ戦略の方向性や業務改善のヒントなどを紹介しました。
講演時間は45分、スライドは全42枚の大作となりました。本ブログでは、もっとも重要なテーマである "セキュリティ人材不足" にフォーカスをあてて、講演骨子を10分目安で振り返ります。
セキュリティの最新動向
セキュリティ人材の相対価値はますます上昇
1章の「セキュリティの最新動向」では、WEF(World Economic Forum)のグローバルリスクレポートやサイバーセキュリティ経営ガイドライン Ver2.0 などの内容にも触れましたが、人材育成という側面でセキュリティ関連資格に注目がより集まっていることを伝えたスライドにフォーカスします。
例年毎年1月に、米国のGlobal Knowledge 社が公表する「IT関連の稼げる資格 Top15」*です。青の網掛けがセキュリティに分類される資格です。Top10 で見ても、その半分がセキュリティ資格となっており、日本のみならず、グローバルにおいてセキュリティ専門性の価値がさらに上昇していることがわかります。
*https://www.globalknowledge.com/us-en/content/articles/top-paying-certifications/
1章の締めでは「セキュリティ人材の相対価値は依然として高く、ますます高まっていく」という予測とともに「セキュリティ人材の価値を認識し、貴重な人材を育成・維持するための戦略的な投資が肝要」という教訓にまとめました。
高度なセキュリティ人材を抱える組織ほど、セキュリティ人材強化において3つの観点に注意する必要があります。
セキュリティ人材の相対価値が高まるほどに、キャリア採用の困難性は増し、同時に人材流動性が高まることが確実だからです。特に多忙な時ほど、リテンション施策は疎かになりがちです。人材投資には処遇のみならず、色々な側面があります。
高度人材のモチベーション、キャリアパス、ワークスタイルなどに配慮・対応をすることが大切です。セキュリティのみならず、自社の業務特性や文化なども知り尽くしているセキュリティ担当者は本当に貴重ですので、簡単に失うことのないようにしましょう。
NRI Secure Insight 2018|グローバル5か国調査
セキュリティ人材不足を、人材以外で緩和する
2章の「NRI Secure Insight 2018」では、セキュリティ経営の観点で、4大経営資源であるヒト、モノ、お金、情報に関する実態を紹介しましたが、本Blog内では、セキュリティ人材の充足状況という観点にフォーカスします。
日本と海外4か国で、人材の充足感に対して、まったく正反対の結果が出ています。
2章の締めでは「セキュリティ業務見直しによる人材不足解消が肝要」というメッセージとともに、海外の充足理由から学びうる要素として、海外企業は「業務の標準化・自動化・省力化」に積極的に取り組んでいることを取り上げました。
セキュリティ戦略の方向性
セキュリティ人材不足の解消・緩和に DevOps のアプローチを
講演内で、3章の説明にはもっとも長く時間を取りました。課題解決の要点や戦略の背景を理解する上で大切なパートだからです。その中で、人材不足の解消にDevOpsなアプローチが有効ではないか?としたスライドについて、簡単に解説します。
DevOps という用語には決まった定義はなく、会社・組織毎の特性に応じて実装形態が異なりますが、2つの原理原則があります。
出所) DevOpsが日本に本格上陸して5年。DevOpsはいまどう語られているか?https://www.publickey1.jp/blog/17/devops5devops_devops_days_tokyo_2017.html
それは「チームをまたげること」および「できうる限りの自動化」です。どうして、この2つが原理原則となるのでしょうか?それはユーザーニーズの多様化・迅速化に伴い、ビジネスサイドから迅速な変化要求が寄せられ、適応する必要があるからです。
つまり、迅速な変化を遂げ続けることが大前提の DevOps は、いまのセキュリティ対策に求められる文脈と一致しています。DevOps を実践するWebサービスでは、一日に何回、何十回ものリリースを迅速に実施しているケースがあります。
最近のセキュリティ対策におけるトレンド、すなわちモダンなセキュリティの特長とは、どんなものでしょうか?色々な意見があると思いますが、筆者は3つの観点に注目しています。
- 適応型のセキュリティ(Adaptive Security)
- 継続的なセキュリティ(Continuous Security)
- 筋肉質なセキュリティ(Lean Security)
今回のガートナーサミット2018でも、初日の基調講演において、また複数のセッションにおいて、いかに適応、変革、拡張すべきか?というキーワードがセキュアなデジタルビジネスの必須要素として語られていました。
セキュリティ脅威の高度化、迅速化が激しさを増す一方であるため、企業はセキュリティ対策の実施・見直しプロセスを以前よりも俊敏にする必要に迫られています。DevOps の原理原則を、セキュリティ業務に応用することは、セキュリティ業務を省力化・効率化・迅速化する上で、有益であると考えます。
Secure SketCH がもたらす省力化・効率化
セキュリティ対策実行支援Webプラットフォームサービス「Secure SketCH」は、DevOps の原理原則に近い発想を持っています。SketCHというプラットフォームを通じて、企業内外の多くの人がコラボレーションできること。また、対策状況を一度入力・更新してもらえれば、計算・採点などは自動化されることです。
Secure SketCHは、日々繁忙の身にある日本全国のセキュリティ担当者の業務効率化と高度な意思決定をサポートすることで、省力化や働き方改革を支援し、セキュリティ人材不足という日本全体の課題の緩和・解消に貢献していきます。
セッション内では、講演途中にSecure SketCHを簡易説明する1分動画を流し、多くの参加者にご覧いただきました。わずか1分で、SketCH のポイントが分かるということで、またプロのナレーターの爽やかな声も手伝って、講演後半の良い気分転換になっていました。
Secure SketCHサービス紹介動画
(画像をクリックすると動画を再生できます)
ガートナー講演後、新たな発信を決意
格調・格式の高いガートナーサミット、その場でのセッションをおえて、ほっと一息をついた後、自身の説明内容に関して、本当に伝えるべきことを伝えられたか、もっと分かりやすい説明はなかったかなど、色々なことを振り返りました。セッションをお聞きいただいた聴講者の皆さまにセッションアンケートを多数記載いただき、激励や改善点など多くの有益なフィードバックを頂戴しました。
あの記念すべき日から数日が経ち、自身のプレゼンテーションにおける改善点や講演内で伝えきれなかった内容などを、日本中のセキュリティ担当者の皆さまに、改めて発信するべきだと決意しました。
そこで、ガートナー講演を通じて最も伝えたかった『セキュリティ人材不足という日本全体の課題に、どのように向き合っていくか?』というテーマで、新しいレポートを書きあげました。20ページにわたる内容で読み応えがあります。
セキュリティ人材不足に適応可能な組織は理想郷
モダンなセキュリティの3つのトレンド
- 適応型のセキュリティ(Adaptive Security)
- 継続的なセキュリティ(Continuous Security)
- 筋肉質なセキュリティ(Lean Security)
モダンなセキュリティの実践を志向する組織が目指すべき組織形態とは、一体どんなものでしょうか?2018年7月26日のガートナー講演が終わった後、頭の中で何度も考え続けました。頭の中にあるイメージを明確に伝える術を悩みました。
熟慮した結果、過去のナレッジを思い出して、筆者の中で腹落ちしたコンセプトがあります。それは昨年の Agile Japan 2017 の講演内容で知った、モダンアジャイルの4原則です。
貴社のセキュリティ組織がセキュリティ人材不足を解消・緩和する上で、この4原則は参考になります。モダンなセキュリティの現場において、この4原則を志向・体現する組織が増えることを祈願しつつ、Secure SketCHにおいても、この理想郷を追求し続けることで、日本中のセキュリティ担当者が最高に輝くことを支援・下支えするセキュリティサービスを目指していきます。
さいごに、ガートナー講演を聴講いただいたすべての皆さまと、講演の運営を支えてくださった関係者の皆さまに、心より感謝を申し上げます。
