コンサルティングメニュー
コンサルティング事業
HOME
ソリューション
コラム・
事例・資料
お問い合わせ
ローンチ3か月前に急遽参画 新規事業の実態を赤裸々に語るガバナンス&セキュリティコンサル座談会

脅威の高度化が進む昨今、セキュリティ対策はビジネスにおいて重要なファクターの1つです。特に新規事業を立ち上げる際には、法令遵守を意識したセキュリティ業界水準への対応は、事業を進めるうえでもおろそかにできない部分ですが、実際には課題に直面する機会も少なくありません。そんな新規事業におけるセキュリティ対策の重要性について、お伝えします。

POINT
  • 新規事業立ち上げ時のセキュリティ対策は、ターゲット市場における国内外の法規制に対する対応有無の判断が重要
  • コンサルティングファームの選定は、計画後の実行を描けるかどうかが鍵
  • 業界スタンダードとなる最新の知見を生かした運用と、改善していける体制づくりが重要

セキュリティが抜け落ちる…新規事業における課題

多くの企業が取り組む新規事業を生み出す過程では、どんなことが課題になりやすいのでしょうか。

飯田:一般的に新規事業を立ち上げる際には、自社が持つ技術資産や以前から持っている強みをベースに横展開していくケースが王道の進め方の1つ。ただし、自分たちが狙っている業界や市場において、求められることが見えていなケースが散見されます。マクニカで新規事業を始める際にも同様で、自分たちの売りたいものが当てはまる市場を考えてしまい、その市場における業務プロセスの課題をないがしろにしてしまう。どうしても、今までの製品やソリューションの延長線上で考えてしまいがちなのです。

また、製品そのものを販売して運用保守のサービスを請け負うことで商売をされてきた製造業では、DXという領域で商売を考えると、サービスを中心にお客さまに価値を提供していくことになりやすい。その場合、利便性の高いクラウドを活用していくことになりますが、長年培ってきたオンプレミスのナレッジがうまく当てはまらず、なかなかうまく進まないケースも多く見られます。

セキュリティの課題についてはどんな点が顕在化しやすいのでしょうか。

鈴木:ガバナンスを順守していくためには、通常はセキュリティルールや方針をドキュメント化したうえで現場にて実行し、きちんと守ってもらうことが必要です。しかし、ドキュメントまでは作り込むものの、現場に守ってもらうという仕組みまで実装できておらず、部署ごとに異なるやり方を採用してしまう、いわゆる属人化の課題はよく目にします。業界スタンダードな方針が盛り込まれていないといった課題も見受けられます。

清水:セキュリティ人材はそもそも不足しているため、業界に精通した外部のコンサルタントに依頼することは決して悪いことではありません。ただし、部署によって委託先が異なってしまうと現場での実現方法も変わってくるため、全体としてセキュリティレベルが上がってこないケースも。まさに鈴木が説明した、大きな方針に沿った形で会社全体でのレベルが上がらないという事態に陥ってしまう企業も少なくありません。

飯田:新規事業においては、ターゲットとなる市場を見据えているはずで、その市場における法規制などが当然存在しています。国内はもちろんですが、例えば中国やヨーロッパなど対象地域を広げた場合、それぞれの地域における法規制は数多く存在します。ヨーロッパではGDPRなどが有名ですが、ターゲットとなる地域に応じて法規制をすべて網羅していこうとすると難易度が高いのが正直なところでしょう。また法律に対して具体的に何をすべきなのかという対策も検討する必要があり、企業だけで対策していくのは難しい。法律違反ではないものの、やっておいたほうがいいというベストプラクティスの判断が、新規事業においては特に難しいところで、我々も常に模索しているところです。

新規事業で見落としがちなセキュリティ

システム的な側面でも課題になりやすい点はありますか。

飯田:新規事業の場合はスピードが重視されるケースが多く、システム開発やプロモーションに多くのリソースを割くことで、セキュリティは後回しになる傾向は否めません。また、オンプレミスからクラウドを活用するなど従来とはシステム面での形態が大きく変わることで、従来の開発者や運用者も全く異なる分野として技術や運用ノウハウを獲得していく必要があります。サービスリリースに向けた開発投資やビジネス面でプロモーションできる状態に持っていくことを優先するのは、企業として当然です。結果として、セキュリティが抜け落ちてしまうのです。

日本ならではの環境もありそうですね。

飯田:日本企業の場合、グローバル企業に比べてCISOChief Information Security Officer:最高情報セキュリティ責任者)のような情報セキュリティに関する責任者が圧倒的に不足しています。CISOが設置されていない企業は、情報セキュリティにかける予算が少ないという傾向は明らかです。その場合、我々のようなセキュリティに精通したコンサルタントが重宝されますが、一般的なコンサルティングファームの場合、計画を完遂するまでに課題も多く、頓挫してしまうケースもあります。もし新規事業に向けてセキュリティに関する最適なプランが出来上がっても、そのプランが実行できないというジレンマを抱えてしまう現場も実際に存在しています。

新規事業に関わるコンサル実例

コンサルタント業務として、新規事業にはどのようにセキュリティ領域で関わっていくのでしょうか。何か実例を紹介いただけますか。

鈴木:新サービスのローンチを控えたお客様を支援させて頂いたケースですが、実際にお話を伺うと、セキュリティ責任者の所在があいまいで、その新規事業分野の法規制にもあまり詳しくない。このままだとガバナンスの面で後々問題になってしまう可能性がありました。マクニカはその業界での実績があり、法規制に詳しいという評価をいただいていたようで、現状を是正して欲しいという依頼でした。そこで、まずは業界のスタンダードに近づけるべく、支援に入ったというものです。

清水:新規事業の場合、どうしてもローンチが最優先事項となっており、サービス開発にコストも人的リソースも重点的にかけているものです。収益化に向けた開発に注力していたものの、セキュリティ部分が後回しになっていたようでした。開発スピードとセキュリティってどうしても相反する部分がありますし、どうしてもセキュリティは利益を生まないと思われがちなのです。

佐藤:情報漏洩を未然に防ぐためにチェックポイントを設け、定期的に開発内容をチェックしレビューを受けるとなど、セキュリティガイドラインを運用するのは大変です。開発側からすれば、本来開発に注力して新たなサービス開発に着手したい。どうしてもスピードが落ちてしまうという意味では、イノベーションが止まってしまうと考えているお客さまもおり、この事例先についても同様の見解でした。セキュリティが事業のドライブにならないと考えている企業が多いのです。

実際にマクニカさんが支援に入った背景は何があったのでしょうか?

清水:当初は大手の外資系IT戦略ファームが参画しており、やるべき大きな枠組みとなる器は用意されていました。しかし、どうやって現場の運用に落としていくのか、その取り組みの方法が分からないまま放置されてしまっており、現場も困っていた。その時点で我々に白羽の矢が立ったのです。

佐藤:当初のコンサルティングファームでも、我々が行うセキュリティ成熟度調査のようなものを実施していましたが、実は一般的な国際基準がベースとなっており、日本の法規制で要求されるような視点や業界特化のリアルなセキュリティの知見が含まれていませんでした。確かに資料は綺麗に作られていますが、実際にどう使うのかが見えてこない。海外で作成したものをそのまま流用したような印象で、実運用に乗せるのは厳しいと言わざるを得なかったのです。

よくあるコンサルティングの落とし穴

よくあるコンサルティングの落とし穴

現状把握がとっても大変…プロジェクトの進め方

このプロジェクトは、どのように進めていったのでしょうか。

清水:もともとゴールが決まっておらず、まずは実態の調査から始め、大方針決定やマニュアル制作、チェックシートなどの整備などを行っていきました。お客さまとしては、絶対やらないといけないことに対して、早くかつ効率的に進められるものを挙げて欲しいという要望でした。初期の支援では、調査を行いながら方針を決めていくという部分まで。その後は運用に落としていく作業を進め、今も継続して改善活動を続けている状況です。

鈴木:当初は成熟度調査から課題を洗い出して是正すべきポイントを提示するというイメージでしたが、お客さまからは一緒になって進めて欲しいという要望でした。実装まで含めた実行支援をする際には、マニュアルや方針がそもそもないと運用していくのが難しいため、それらも含めて決めていきましょうというのがプロジェクトのスタートです。実際には、重要度とローンチまでの優先順位という大きな軸でそれぞれやるべきことを見極め、フェーズを分けて対策を実装していきました。

佐藤:具体的には国が認める安全基準が定められており、そのなかで業界横断的なガイドラインが示されています。組織体制や情報の取り扱い、システム対応要件などを決めていくことなりますが、その詳細を決めていくために部署ごとに100を超える質問に回答してもらい、その調査を経てお客さまに適した文章を用いながら実装を進めていきました。

新規事業セキュリティプロジェクトの進め方

新規事業セキュリティプロジェクトの進め方

調査して現状を可視化するだけでも大変そうです。

佐藤:実際には25を超える部署の上長の方に回答いただくべく、個別にミーティングを開いてヒアリングし、2週間ほどで一気に調査し、現状の可視化を行いました。例えばルールが決まっていますかという質問に対して、30ページほどのPDFにあるルールに沿っていますという回答が各部署から寄せられたことも。しかもそのドキュメント数だけで100近くもあり英語版と日本語版が点在していました。正直チェックするだけで気が滅入ることもあったほどで、調査だけでもかなり苦労しました。

現状を明らかにしたうえで、実際のマニュアルなどに落としていったわけですね。

佐藤:ISMSPCIDSSなどの内容が含まれている、お客様のルール文書を参考にしながら、お客さまの言葉に落とし込んでいきました。大きな方針を決定し、より具体的な対策にまで落とし込んでいきました。そして、自分たちでチェックして改善していけるよう、自主点検の仕組みも組み込んでいます。自主点検の項目ごとにYesNoで回答してもらい、改善方法も具体的に記しています。

自主点検の仕組み化より飯田さんがプロジェクトに参加したと伺っています。

飯田:プロジェクトでは、利用者の安心安全を提供するためにセキュリティ上考慮すべきスタンダートを作り上げていきましたが、国内のスタンダートと照らし合わせると成熟度が十分でない部分ももちろんあります。ある脅威に関しては、確かに社内基準の要求として含まれていましたが、その段階ではまだ十分だとは言えなかった。社会的なトレンドを鑑みても今後ますます強化が必要になってくるため、急遽サブプロジェクトが立ち上がり、そこで私が参加することになったのです。

その時点ですでにかなり詳細な落とし込みがされているようですが、それでも十分でないと。

飯田:セキュリティは、今日がよくても明日は駄目になってしまうことも起こりるなど、攻撃側のトレンドによって刻々と変化していきます。それゆえ、ガイドラインや要求事項は日々更新されていくため、自主点検の仕組みも常に社会的な情勢を加味したうえで定期的に見直していかなければなりません。特にセキュリティは常にお客さまと伴走しながら最新の状況に備えていく必要があるのです。

よくある社内基準作成での課題

よくある社内基準作成での課題

清水:特にマクニカは、会社としてグローバルなセキュリティに関する知見を多く有しており、ハッカーコミュニティなどとの連携も含めて最新の情報を常にウォッチしています。セキュリティ商材を数多く扱っているため、仕入先のベンダーに所属するエンジニアが最新の規格策定に関わっているなど、最先端の人材と直接やり取りできることも我々の大きな強みです。高度化するセキュリティ脅威に対抗していくためのグローバル標準を理解しながら、それを国内に適した形に落とし込んでいくことができる点が大きなポイントです。

飯田:我々が手掛けるコンサルティングは、伴走型でお客さまとプロジェクトを進めていくことをテーマにしており、お客さまとのコミュニケーションが非常に重要です。現状はコロナ禍ではありますが、基本的にはお客さま社内に常駐し、社員と同じ目線に立ってコンサルティングを行っています。特定の作業だけを行うような請負形態とは本質的にアプローチが違うのです。

白熱する議論も真摯に向かうからこそ…顧客から得た信頼感

伴走型の支援の結果、お客さまからはどのような評価をいただいているのでしょうか。

鈴木:伴走型でお客さまと一緒に進める際には、これまで経験したことのないようなチャレンジングな内容も含まれています。しかし、パッションを持って諦めずに支援し続けたことで、継続してさまざまな相談がいただけるようになっていることが、おそらく評価いただいている証拠だと考えています。現状もプロジェクトは続いており、既存の見直しと新たなテーマへの取り組みを進めている状況です。

佐藤:執行役員の方から役員会議中のミーティングに急遽参加してくれというご連絡をいただいたことがありました。世の中の変化に対していきなり意見を求められ、事前準備ができないなか、役員の方にご意見申し上げるのは確かに焦りました。それでも、我々に意見を求めていただけるということは、少しでも信頼いただける関係性が築けているのではと考えています。

事前準備する間もなく役員会議で意見を語るなんて、なかなかしびれる展開ですね。

佐藤:10分後に電話会議で相談したいという連絡をいただいたことも。複数のコンサルティングファームが対応に向けた提案を行うなか、それまでの支援実績を評価していた上層部の方からマクニカの方が最適なのではという社内の声が挙がり、すぐに提案書を出して欲しいという依頼がありました。
品質管理に関連したテーマだったのですが、提案書を出した段階で担当部署のトップ2人とミーティングをする段取りに。その日のうちに発注書が送付されるというスピード感でした。新規参入する業界に対するノウハウを持っていることが評価されるなど、それまでの実績から信頼感がお客様内に醸成されていたのかもしれません。

飯田:物事が早く決まるというスピード感は、このお客さまに限った話ではなく、新規事業を立ち上げる際にはよくあることです。過去の実績はもちろんですが、一番ご評価いただいたのは実行力だと考えています。綺麗なプランを描くコンサルタントでも、それを実行することは本当に難しい。我々はそれを実行に移していき、そしてやりきることができるのが強みです。その部分を正しく評価いただいた結果だと思っています。

実行することは当然責任も伴いますが、なかなかコンサルタントでそこまで踏み込めないケースが多い印象です。

清水:そこがお客さまの社員として、組織の一員として活動する伴走型の強みではないでしょうか。はじめの方針決めの際に現場にいる海外の方とも話をするなか、我々としてはどのように是正するポイントを見極めていく相談をしても、何でもできるから大丈夫だというニュアンスの回答ばかりの方が。スタンスや考え方の違いから、気づけば言い合いになってしまったこともあります。最適なアプローチではないかもしれませんが、組織の一員として真摯に向かい合っているからこそ、現場で議論が白熱したのだと思います。

熱量をもって伝えても、なかなか現場で対応いただけないこともありましたか。

清水:事前に示唆したポイントに絡んだインシデントが発生したこともあり、もっとマクニカの言うことを聞いておけばよかったという声をいただいたことも。部署によっては内部リソースだけでやりきれない部分も当然あります。我々として最優先でこれだけはやってほしいとお願いしても、なぜ今やるべきなのかが十分に伝えきれなかった結果、数週間後にインシデントが発生してしまったのです。セキュリティに関しては、確かにインシデントを経験すると考え方も変わりますし、それを繰り返していくことで我々に対する信頼感も改めて醸成されていくのかもしれません。今ではマクニカに言われたので、やった方がいいかなと考えてもらえるようになったのではと感じています。

飯田:グローバルな技術商社としてのマクニカ視点から見ても、我々とご一緒いただけるメリットは感じていただいているはずです。顧客が新たに商材を購入する場合には、マクニカ経由でという話がいつも舞い込んできますし、コンサルティングではその後のシステムや製品の要件定義や選定をお手伝いすることも多いです。そもそも技術商社としてのマクニカは、半導体やネットワーク商材含め、海外仕入れ先とのやり取りが多く、非常に苦労して今の環境を作り上げてきました。特にガバナンスの観点では、国内でできていることが海外の基準に照らし合わせてどうなのか、本社機能として把握したい企業は少なくないはずです。その点でも重宝する存在になり得ると考えています。

鈴木:コンサルティング業務としての関わりでスタートしましたが、今では会社対会社の関係としてしっかりとしたリレーションを維持し、お互いにビジネスを拡大するためにエンゲージしていかないといけない存在として考えていただけるようになったと考えています。コンサルタントの場合、その分野の専門家として“できて当たり前”のように思われている方もいて、直接的な評価の声をいただけないケースもありますが、結果を出せばビジネスが次々と生まれてくる。それが我々に対する評価だと考えています。

新規事業立ち上げに向けたアドバイス

最後に、新規事業を立ち上げるときに考えるべきポイントについて、読者にアドバイスいただけますか。

佐藤:既存事業でも同様ですが、特に新規事業は法規制が常にアップデートされ、組織や人も進化を続けていき、一度作成したチェックシートなども短期間でアップデートが求められます。新規事業を運営していけば会社や組織のレベルが向上していきますし、その環境に応じてアップデートしていきながら実行していける環境があるかどうかはしっかり意識していただきたいところです。ただし、忙しい顧客のビジネスや情報システム部門ではリソースが確保できませんし、そもそも儲かるかどうか不透明な領域に対してガバナンスやセキュリティに大きく投資できないはずで、どうしてもおざなりになりがち。その観点からも、そのセキュリティ部分を早期に立てつけられるパートナーその存在に目を向けていただければと思います。

鈴木:弊社としては、業界スタンダードとなる最新の知見を生かして運用に落とし込み、改善していけるような体制づくりを進めていけるかどうかが大切。属人化してしまった現場の環境を見極め、会社のスタンダートにまで運用を高めていくことで、統制のとれた環境が整備できるようになるまで伴走支援するマクニカのコンサルティングサービスに、ぜひご期待いただければと思います。

コンサルタント

各分野に精通したコンサルタントが、皆さまの「チームメンバー」としてプロジェクトの成功まで伴走します。

ビジネスコンサルタント
  • 課題のヒアリング
  • 環境分析
  • 課題の具現化、優先順位付け、実装プラン策定
  • 実装支援、効果検証
  • 実運用支援、定期効果測定
  • 改善、改良施策の策定   など
テクニカルコンサルタント
  • 各法規制・ガイドラインと、内規定の差分評価、
  • 改善施策提案・法令対応に向けた文書作成、マニュアル整備
  • セキュリティ検証  など

企業が新規事業に取り組むタイミングでお声がけいただく機会は増えています。特に世の中のデジタル化が急速に進み、多くの企業がDXを推進する過程で、ビジネスモデル変革に向けて新規事業をスタートさせる企業が多く、我々マクニカも例外ではありません。

ぜひお気軽にお問合せください。

お気軽にお問合せください