このケースの課題は、セキュリティ対策を実装する現場において、製造/物流/営業などの異なる組織間、あるいはマネージャー/担当者などの階層間で、情報セキュリティに対する課題認識が共有されていないこととなる。
組織や階層間で課題認識が共有されていない故に、「なぜ業務に制約を与えてまでそんな対策が必要なのか?面倒くさい」と、対策の浸透がルーズになってしまうのである。
つまり、上記いずれのケースにおいても、範囲の違いがあるだけで、根源の課題は、「課題認識の共有」にあると考えることができる。
課題認識の共有
 課題認識の共有というのは、簡単に見えて実はとても困難な作業である。
私は本件のような情報セキュリティ(あるいはリスクマネジメント、あるいはITとも言える)だけでなく、経営コンサルタントとして、事業戦略・営業戦略・マーケティング戦略など広範な領域に携わっている。
このように広範な領域に携わっていると、業務の入り口としては、単純にナレッジが欲しいといったものから財務効果を前提としたチャネル戦略を作って欲しいなど様々なレベル感の案件があるものの、プロジェクトが進捗するに従って必ずといっていいほど登場する課題がある。課題認識の共有である。
例えば、営業戦略立案の案件があったとしよう。現状を把握するために各グループ・各階層の様々な人物に対して、「売上が落ちている理由は何か?」という営業の問題に関するヒアリングをする。
この単純な質問に対する答えは、各人で驚くほど拡散する。
ある者は「製造部門の対応が悪く、納期遅れで顧客の信頼を失っているから。」と答え、ある者は「営業の人数が足りず、顧客をフォローし切れないから。」と答え、またある者は「評価制度が不公平でやる気が出ない。」と答え、それに対して、「評価制度がローリスクの弱者救済型になっている。もっと格差を付ける必要がある。」と答える者もいれば、また「そもそもトップが何を考えているのか分からない。戦略不在が問題。」などと答える者もいる。
このように、同じ組織の中で課題認識のターゲットも異なれば、同一課題にまったく正反対の見解を持ったりする。
つまり、課題認識がまったく共有されていないのである。
「2:6:2の法則」などと言われたりもするが、企業組織を構成する人員の大部分は、自ら論理的に課題を抽出し、それを全社的に働きかけて組織の改善を図るほどのモチベーションなどは持たず、基本的に、命令服従によるやらされ感を少なからず持っているものである。
例えば、努力によって成果を出せば評価が上がるという成果主義の評価制度があるが、これは課題認識の共有ではなく、個人的な上昇志向に訴える側面が強い。過去、先を争うように導入された成果主義の評価制度がうまくいかないという話が多く出ているが、それらの原因の一つは課題認識の共有とは乖離したこの部分にある。確かに成果主義によって、一部の優秀な人員には給与アップ・昇格のチャンスが増えるが、中間層で組織の大部分を構成する人員には逆に無力感を与え、組織が動かなくなってしまうのである。
成果主義によって金、ポストを配分するにも限界があり、組織全体をエンパワーすることはできない。
組織全体を動かすには、組織全体への波及が可能な方法である必要がある。
組織全体を動かすインセンティブは、ほとんどのケースにおいて課題認識の共有に収斂されることが多い。
課題認識の共有には基本的に資源上の制約がなく、また、危機感を前提とした課題認識の共有は、人心を強くドライブするからである。
情報セキュリティの担保においても、組織全体のエンパワーが不可欠である。
前述のように、現場レベルの課題認識だけで上層部と共有されていなければ、組織レベルでの対策実装は不可能であり、また、組織横断的に課題認識が共有されていなければ、どこかに脆弱性が生まれ、リスクマネジメントの網羅性が崩壊してしまうからである。
逆に、課題認識の共有によって組織全体がエンパワーされていれば、前述した情報セキュリティ実行面の課題も、第二回コラムで述べた対策策定の課題も双方を突破することができるのである。
つまり、情報セキュリティにおける根源の課題は、テクノロジーのブレークスルーでも、CIOのスキルレベルでもない。
「(情報セキュリティとして何を守るべきか)、(それはなぜなのか)、(どうすれば守れるのか)という課題認識の共有」こそが根源の課題なのである。
課題認識の共有を実現する方策
いかがだろうか?
情報セキュリティ対策がうまく実行されないというときに、最新の技術動向を調査する、他社をベンチマークする、といったところから始めてはいないだろうか?
それが無駄だということは決してないが、「課題認識の共有」という根源の課題を解決することにはならない。
では、「課題認識の共有」のためには何をしなければならないのか。
結論は、「戦略的思考プロセスセッション」の実行となる。
戦略的思考プロセスセッションの展開
「戦略的思考プロセスセッション」とは、段階的に議題を設定してディベートセッションを持つことによって、徐々に人員の目的認識、課題認識を収斂させる手法である。
ここでのポイントは、段階的な流れとディベートという手段による明示的な認識共有である。
多くの企業において行われる会議や打合せは、流れが段階を追っていないこと、及び上意下達に+α程度の発言に終わるケースが多い。このような時間をいくら取っても、課題認識の共有につなげることは難しい。
課題認識の共有につながる具体的なセッションの流れは以下のようになる。
①ビジョニングセッション
ビジネスゴールの理解と、ビジネスゴールとリンクしたリスクマネジメントとしての情報セキュリティのゴールを共有する。
②課題マッピングセッション
①で共有されたゴールの実現に対する阻害要因を洗い出し、ロジックとして共有する。
③根源課題抽出セッション
②で共有されたロジックから、根源の課題は何かについて明示的に共有する。
③までのフェーズが完遂すれば、結果は自ずとついてくると言える。
なぜなら、根源の課題が明白になるからである。
前述のように、おおよその組織において、課題認識は拡散している。拡散した課題認識に各人・各組織が拡散して対応しようとするため、リソースパワーが拡散し、実行力が担保できない自体となる。
それら現象面を捉えた表面的な課題認識ではなく、一つか二つに収斂された根源の課題への解決に組織全体が向かうことで、実行力が生まれるのである。
今まで、最新のセキュリティ技術は何か、コストなどを鑑みて自社に適用可能な技術は何か、といった論点でセキュリティ対策の実装を試み、思うような成果が挙げられなかった方は、是非上記手法を試していただきたい。
明示的に根源の課題が共有されれば、その後何をすべきかは、社内外の英知を結集することによって容易に策定することができるはずである。
情報セキュリティは長らくテクノロジー主体で語られてきた。手段として有効なものは確かにあるが、それだけで情報セキュリティを網羅的に確立することはできない。
セキュリティ対策を実装するために、テクノロジー論の前にまず、課題認識の共有にトライしていただきたい。 |
