情報セキュリティをはじめとするリスク管理部門が、事業部門とともに事業を推進していくためには、事業戦略に沿った役割と期待される成果を明らかにする必要がある。しかし、事業推進と情報セキュリティは対立関係となりやすい。本稿では、バランス・スコアカード(BSC)を使い、情報セキュリティが果たすべき事業戦略上の役割と成功要因(Business Enabler)としての狙いを明らかにする。
「クラウドの提案は事業部門に行うべきだ。IT部門や情報セキュリティ部門はクラウド利用を邪魔するだけだ。」これは、2015年に、あるベンダー企業のグローバルミーティングで聞かれた発言である。当時、多くの組織では、自組織のセキュリティポリシーにより、機密レベルに格付された情報は組織内で管理することが求められ、外部の施設を利用する場合は物理的な監査が求められていた。このポリシーが障害となり、事業部門がクラウドを利用したくてもセキュリティポリシーがブレーキとなり、クラウドの採用に至らない企業が多く見られた。また、IT部門もクラウド利用に消極的な組織が多かった。
現在では、クラウド事業者に対する規準や認証制度が確立し、情報開示も進んだことから、クラウド利用も徐々に普及し、当時は情報セキュリティ部門とともにブレーキと考えられてきたIT部門は、新しいIT環境を活用し、開発・運用のライフサイクルを変化させながら、事業基盤としての役割を担うようになった。それでもなお、事業推進と情報セキュリティは根本に対立的な側面があることから、相変わらずブレーキの役割しか担っていない場合も多い(図1)。