IoT時代:経営層より現場のほうに可能性がある
〔1〕IoTで経営層は何をしたいのか?
江崎:それでは、IoT時代になって、経営層には具体的に何が求められているのでしょうか。
佐々木:今、日本の経営層の中にはIoT時代を迎えて、会社としてどのようなビジネスをするためにIoTを実現するのかが明確になっていないまま、現場に指示をする、というようなケースが多くなっています。結局、経営層がIoTで何をしたいのかが明確でないところが、現状での問題の根幹になっています。
ですから、その指示を受けて動いている現場の方々といくら話をしても、セキュリティの話にはなかなかならないのです。現場は一生懸命考えるのですが、(もちろん経営目線ではないので)技術指向のシーズ目線となっていて、こういう技術があるからこういうIoTができますよ、とまでは言うのですが、果たしてそれはビジネスとして儲かるのか、という疑問が出されると、そのまま止まってしまうことがよくあるのです。
江崎:そもそも経営層にお金を稼ぐというモデル自体がないところで、IoTをつくれと言われることになる。すると、ビジネスポートフォリオ注2をつくるところまでも、現場にふられてしまいます。
さらに、セキュリティ対策を行おうとすると、それは会社のBS(バランスシート:貸借対照表)の中では、通常はどのようなセキュリティ技術(ツール)を使っているかは書かれていないので、見えなくなってしまう。そのため、経営層は当然セキュリティに関するツールも知らない。このような現実を見ると、日本の場合は、リスクがどのように経営に対してインパクトを与えるかということを、経営層よりも現場の人たちが勉強したほうが早いのかもしれませんね。
〔2〕現場がサイバーセキュリティの知識を習得する
佐々木:そうですね。中間管理職(ミドル)の人が事業部レベルで頑張ったほうがよいのかもしれません。
江崎:結局、会社では事業部ごとに分散した採算性になっているため、その事業部が失敗すると責任を取らされる仕組みになっている。したがって、それに対抗するには、サイバーセキュリティの知識をきちんと現場の人がもっておいたほうがよいかもしれません。そういう意味では、日本の現場の人は優秀なので、勉強する気があれば、できそうな感じですね。
名和:多分できると思います。その理由は、現状では、経営層がサイバーセキュリティやOTのセキュリティを含めて、現場に丸投げしていますので、やや強制的にできてしまう環境にいるためです。
江崎:なるほど。そうすると、これは日本型と言ったら怒られるかもしれないけれども、まず経営層をきちんと教育するということが1つですが、その前に、かなり現場の賢い人たちの中から、そういうCISO的な発想がきちんとできる人を育てられそうな感じがしますが、いかがでしょうね。
〔3〕セキュリティのノウハウが継承できないという現実
名和:それは、現実には厳しいと思います。これまでは可能だったと思いますが、今は人がどんどん退職し、辞めていっている状況が目立ってきています。経験のある比較的年齢層が高い方はいらっしゃるのですが、若い方は躊躇なく離職したり、あとはキャリアを積むために他の部署に行ったりしているため、ノウハウが積み上がっていかなくなっています。
また、セキュリティに関する教育プログラムがないので、ノウハウを個人に代々伝えて引き継いで、他の人や部署には秘密になっているような「一子相伝」(いっしそうでん)的になっている傾向があります。
江崎:つまり、会社のローテーション(人事異動)上、異動してしまう場合があるため、セキュリティのノウハウがうまく伝達されない現象が起きていて、その部署にその財産が継承されていかないということですね。
名和:そうです。その傾向は、ここ数年特に顕著です。今年(2017年)になって強く感じていることは、フロント企業というか、ティア1注3の企業では、残業代を払わないといけない、給料を上げなければいけない、また長時間の残業をさせてはいけないなど、労務上の問題がクローズアップされていることです。
実は最近、IT業界では、ティア1の企業がティア2の企業に丸投げしている構図が、多くなっていますが、IoTも同じような傾向です。そのティア2の企業は超ブラック企業だったりします。そのような特定の企業(ティア2)にノウハウがたまっているのですが、その企業が倒産してしまうと、会社にノウハウが継承できないことになってしまう。今までは、ティア1の現場が強かったのですが、強い人間がティア2、さらにティア3へと流れてしまっているのです。
▼ 注2
取り組むIoT事業についての売上から利益、そして成長性などの一覧。
▼ 注3
ティア(Tier):階層あるいは段階、あるいはランク付けを意味する。例えば、自動車産業の場合は、以下のような階層的なサプライチェーンとなっている。
・ティア1:第1次下請け業者(直接自動車メーカーに納入する企業)
・ティア2:ティア1の下請け業者
・ティア3:ティア2の下請け業者