【吉田】　はい、今回お話する内容として、小テーマを３つ用意しています。
1つ目が「異文化の企業合併下における取組について」というテーマです。われわれの会社は、M＆Aを何度か実施している会社なのですが、それぞれの企業で企業文化が大きく異なっていました。
　具体的には、昔大きなインシデントがあった会社となかった会社で、セキュリティに対する考え方が大きく異なっており、そのような会社が合併したりしています。その結果、PCの外部への持ち出し台数１つとっても大きく異なっています。
　そのような企業文化が異なる会社が合併した中、セキュリティについても一つの企業としてベースを作っていこうということになり、「では、現場をどうやって把握して、どういったセキュリティー対策ができるだろうか？しかも、いかに業務効率を落とさず、導入できるか」ということを、今まさに考えながら施策を行っています。
　その状況を、具体的な話を交えながら、実際に直面した課題や気を付けて対応している点等をお話しできれば、と思っています。

【吉田】　１つの企業文化や１つのネットワークだけであれば、セキュリティ対策をどこまで実施するかについてはシンプルに考えられます。しかし、企業文化が複数存在すると、先程もお伝えした通り、セキュリティに対する考え方が違ってきますので、業務効率を考えてどこまでセキュリティ対策をすべきかについて人によって意見が異なってきます。その基準をどう統一するかというのはかなり難しい問題になってきます。

【吉田】　そうですね。１つ目のテーマで事例や課題を中心にお話しした上で、その中で企業文化が色々異なる中で、どのようなセキュリティ施策を、どのように考えて何を取り組むことにしたのかをお話しします。
　セキュリティ施策について１つずつ詳しく説明するというよりは、どういう考え方・内容で、実際に経営陣に説明したか等を、お話しできればというふうに思っています。

【吉田】　高度な攻撃の対策ほど、本来技術的な説明が必要になってくるのですが、ITについて詳しくない経営陣にわかりやすく伝える点です。「現時点では既にこういう対策を実施しているけれど、このような攻撃を実施されると防ぐことができないので、対策が必要だ」という説明をする時に、本来技術的な説明が必要になるのですが、技術的な話はなかなか理解してもらえないと思うのです。そのため、どこまで技術的な話をするか、というのは非常に悩みました。例えば、営業の方にとってセキュリティの専門用語が入るような対策について、技術的な中身を説明しても理解していただくのは非常に難しいと思うのです。

【吉田】　では「なぜそれにするのか？」や、「なぜそこまでやらなければいけないのか？」という事をどのように納得してもらうかというのは、悩みました。

【吉田】　情報の中身というのが、どこまで対策するべきなのかという基準になりますね。私達の場合、（守るべき個人情報として）転職の職歴等はあるのですが、クレジットカード番号等の情報はありません。クレジットカード番号等があれば、そのPCIDSSという業界基準があって、守らなければいけないという基準があるのですが、私達はそうじゃないので、どんな情報を持っているかで、対策のレベルを変えていますね。

【吉田】　業界標準がある業界はいいのですが、無い業界の場合は、「どうしたらよいか？」よく考える必要があると思っています。私達の場合は、私は前職が同業の会社で対策が進んでいましたので、前職の対策をベンチマークにしているというのはあります。

【吉田】　はい。その方がやはり、経営陣にとっても納得性があるのではないかなと思います。

【吉田】　私が今年1月に入社した時は、セキュリティ部門には私以外に1名しかいませんでしたが、現在、8名まで増員しています。これまでの流れをお伝えすると、私が入社するまでは1年間程度採用活動を続けており、30～40人の面接をしたそうなんですが、採用することは出来ませんでした。そんな中、私が入社してからは、募集要項を見直したり、人材エージェントの会社に対して、私達がどういった人材を求めているかというのを詳しく説明したりしました。そうしますと、希望に合致した人材を紹介してくれることが増えました。
　またもう１つ採用できない大きな理由として、セキュリティの人材は競争が激しいので優秀な人材が他社に入社してしまうということもあります。競合先としては、他のユーザー企業だけではなくて、セキュリティ製品のメーカーやコンサルティング会社とも競合します。そんな中で、ユーザー企業を選んでもらうためにユーザ企業ならではのメリットを前面に出して、選んでもらえるようにしました。結果的にそれで採用がうまくいった事例もありました。

【吉田】　私達は人材サービスの会社ですので、社内で実際に中途採用を実施している部署の方と、どういう人を採用したいかという話をするんです。その話の中で、実際に求職者が会社を決める時に悩んでいることも教えてもらって、そのポイント抑えた上で面接に来てくれた人に自社のアピールをして…というのを地道にやってきました。現実問題として、人材市場にセキュリティ人材が非常に少ないんです。

【吉田】　人によります。

【吉田】　まず、大前提として、「セキュリティをやりたい」という人材を採用するようにしています。そして、彼らには、セキュリティの仕事をやると、“人材としての市場価値が上がる”とか、“私達の会社の取り組みが、いかに世の中でも重要となるような対策”だとか、本人のやる気につながるような問いかけをして、モチベーションを上げていますね。実際に、転職市場ではセキュリティ人材は希少ですから。
　育成に関しては、最後は本人の努力次第というのが大きいのが正直なところです。もちろん、研修のプログラムを用意したりとか、推薦図書をやCTFの大会の参加を勧めたりということは当然やっているのですが、結局それで伸びるかどうかは、どれだけ本人が努力するかによって全然結果が違ってきます。そのため、今、取り組もうとしている施策の意義や世の中での必要性等を伝えて本人のやる気を上げています。

【吉田】　セキュリティに関して、ユーザー企業が悩んでいること、取り組んでいることを共有すると、もっと効率よく良い対策を打てると思っています。私からも今回アウトプットしますが、参加者の皆さんからも是非アイディアをいただいて、ユーザー企業同士で良いアイディアを見つけられればと思っています。まさにそういったイベントだと思いますので、良い取り組みをどんどん共有してお互い対策に役立てていけたらなと思います。