「セキュリティ」と「品質」というさほど関係が深くなさそうなふたつについて、失敗や「第三者組織」に従事した経験、そして知見を通した所感を、今後の参考になればとの思いでコラムにまとめてみました。
◆品質についての実体験~ふたつのプロセス~
長年ITに関わってきましたが、当初は「システムの提供」を最優先に、がむしゃらに努力することで「品質」は後からついてくると考えていました。それが変わったのは、納期が迫る中いくらくり返しても「品質」が安定しない事態に陥った時に、自己流ながらルールを策定しプロジェクトを推進した結果、何とか窮地を脱出できてからです。
ただ一度上手くいくと、その自己流ルールを金科玉条として別のプロジェクトにも強引に適用するようになり、いくつかは力でメンバーを押さえ込むことができましたが、最後には大規模なプロジェクトを破綻させるという手痛い失敗を経験しました。
当時は、残念ながら失敗した理由を理解することができませんでしたが、少し経って振り返った時に思い出したのが、過去にISO9000の外部審査を受けた際、審査員から聞いた「ルール作りは重要だが、それ以上に大事なのは実践できるプロセス」という言葉でした。
審査員が伝えようとしたのは、「狭義のプロセス(工程)」だけでなく、的確かつ柔軟に運営する「人材」、「組織」や冷静に正しく評価できる「第三者組織」が合体した「広義のプロセス(以下仕組みと記載)」が必要なのだということ。聞いた時(30年前)は、工程を定義したプロセスがあれば十分と軽く考えていましたが、失敗の経験をした後では全く違うことに気づいたのでした。ふたつのプロセスの重要性を理解できてからは、一定の成果をおさめてこられたのではないかと自負しています。
◆情報セキュリティの今までとこれから ~ルールと仕組み~
両輪として機能するべきふたつのプロセス(ルールと仕組み)を、セキュリティに当てはめてみましょう。この分野は、「戦争」とも言われるように激しい競争下で情報技術の変化への対応が優先されており、マネジメント面では「ルール」設定が精一杯で、仕組み整備は後回しにされていると感じてきました。ただ最近の状況を見ると、人材育成や第三者含む組織の重要性にも目が向けられるようになってきたのではないかと感じます。
例えば米国では、まずはルールを優先しNIST SP 800-171を制定しましたが、DoDが行った第三者チェックにより想定と実情が異なっていることが明らかになり、監査・認証を含めた仕組み(CMMC)を制定・施行するようになったと見受けられます。
日本でも標準の仕組みを定める動きがあり、筆者としては「ルール」は先進性や充実度からSP 800-171を中心に。実践する仕組みとしてはCMMCを参考にするのが妥当だと考えますが、どうなるかは不明です。
ただ定められた仕組みがどんな内容でも、上手く機能させるには「人材(育成)」と「組織(第三者含む)」が重要であると、「第三者組織」に従事した経験からも感じています。
第三者を「監査」や「点検」に活用すると、当事者のスキル不足をカバーしつつ、思い込みや形骸化の防止に有効であり、専門組織化すれば、ノウハウの蓄積に加えて、当事者へのフィードバックによる「人材の育成」効果も期待できます。従って情報セキュリティにおいても、この分野に卓越した組織が定められた仕組みを参照しながら、第三者として「監査」や「点検」を実施し現場を支える形が、仕組みの定着に有効ではないかと考えます。
筆者:佃 隆
