背景
プロジェクト開始の前年に、クライアントである製造業の大手企業に、重大なセキュリティインシデントが発生しました。このインシデントは企業の根幹を揺るがしかねないものと捉えられ、「セキュリティ体制の強化」が最優先経営課題として位置づけられました。これまでのセキュリティ運用は委員会的な位置づけでいわゆるサブタスク化されてしまっていたため、、継続的で、さらに専門的なセキュリティ運用を主体的に実行する組織の立上げが必要になりました。
特に課題となったのは、セキュリティチームの通常業務がセキュリティ機能の導入に軸足が置かれすぎてしまい、導入後の継続的な運用や監視が適切に実施されていないことでした。また、業務プロセスに基づく体系的なセキュリティ運用や、カバレッジの拡大、課題の解決といったセキュリティ運用を維持・拡大していく機能が欠如していました。このままでは次の重大インシデントを防ぐことができないし、対応スピードもあげることができない、という危機感が組織全体に広がっていました。
そして、18ヶ月以内に専門セキュリティ運用組織を立ち上げることになりました。委員会的なバーチャルな運用から実体のある組織への転換、業務プロセスの確立、さらに外部ベンダーとの協業体制の構築まで含めた包括的な取り組みが必要でした。
プロセス
目指す組織の定義と合意形成
私がプロジェクトに参画したのは、プロジェクト開始時からで、クライアントのインフラシステム部の部長からの要請により、組織設計とプロジェクト立上げを支援するコンサルタント兼クライアント側のPMOとしてのポジションでした。この段階では、「セキュリティ体制強化」という大方針は示されているものの、具体的にどのような組織を目指すべきかが明確になっていませんでした。
当初はコンサルティング活動が中心となり、セキュリティ組織の各種ベストプラクティスや業界標準フレームワークを調査し、このクライアントが目指すべき組織像を明確化する作業から開始しました。私自身はセキュリティ組織の専門的な知見を持っていなかったため、外部の有識者への相談、専門文献の調査、さらにはChatGPTなどのAIツールも活用して、しっかりと情報収集を行い、そのうえで、クライアントとの壁打ち形式のディスカッションを重ねながら資料をまとめていきました。
このフェーズでは、IT部門内の上位マネジメントレイヤーとの合意を取り付ける必要がありましたが、関係者の合意形成は、予想以上に困難を極めました。重大インシデントの発生により、セキュリティ強化の必要性については全員が理解していたものの、具体的な業務分担となると各部門から「それは我々の仕事ではない」という反発が相次ぎました。これまでバーチャルに行われていた業務を実体のある組織の正式な仕事として再定義する過程で、周辺業務領域との責任範囲の明確化が必要となり、ハイレベルな議論だけでは解決できない現実的な課題が次々と浮上しました。
しかし、具体的なシステム導入での各チームの役割分担の例示や業務移管のステップを定義するなど課題を紐解きながら進めた結果、セキュリティ専任組織の組織的位置づけ、基本的なミッション、ハイレベルな業務範囲について、IT部門のマネジメント層との合意を形成することができました。
具体的業務定義と組織体制整備
組織の大枠が決まった段階で、より具体的な活動内容の定義と実際の運用体制の設計に着手しました。まず既存業務の棚卸しを行い、これまでタスクフォース的に実施されていたセキュリティ関連業務を詳細に整理しました。同時に、ToBeのセキュリティ組織として実施すべき業務のうち、新たに業務要件を定義する必要があるものを明確にしました。この時点で、明らかにセキュリティ専任組織を運営する人手が不足することがわかりましたので、外部ベンダーを選定することなりました。
この段階での最大の困難は、マネジメント層の理解は得られていたものの、実際にセキュリティ業務を担当することになる現場メンバーへの浸透が想定以上に厳しかったことです。「ただでさえ忙しいのに仕事を増やしてほしくない」という感情面に加え、「どうやったらいいかわからない」「上で決めてくれないと考えられない」という技術的・組織的な問題が発生しました。特にマネジメント層と現場レベルの温度差も大きく、メンバーとの調整に労力を要しました。
さらに、具体的な業務改善のタスクの進め方の話になると意見がバラバラになる状況が頻発しました。このため、個別の認識合わせを丁寧に実施し、1人1人への個別説明や背景の共有を行いながら、新組織の業務体系についてチーム全体の理解を深めていきました。一部の内容は、抽象度の高い段階では議論が深まらないと判断し、外部ベンダーの参画後に細かい議論をしていく方針に切り替えました。
これらの取り組みにより、実施すべき具体的な業務内容、必要な人員規模とスキル要件、外部ベンダーとの役割分担について、まとめあげることができました。また、セキュリティ組織として実施すべき業務範囲が当初想定よりも広範囲に及ぶこと、外部ベンダーとの協業が不可欠であることを証明できたことも重要な成果でした。
運用開始とチーム立上げ支援
運用フェーズでは、選定した外部ベンダーとクライアントの社内メンバーを統合し、組織の垣根を超えたワンチームでセキュリティ運用業務を開始しました。当初は専門家同士の連携であれば自然に立ち上がると期待し、1〜2ヶ月様子を見ていましたが、期待に反して議論が噛み合わない状態がつづき、リカバリー対応が必要となりました。
大変だったのは、外部ベンダーメンバーの独り立ちを支援することと、チーム全体のタスク推進力の向上でした。「こうするべきだ」という評論だけの議論に終始していたり、「検討しています」という報告は上がるものの、実際のアウトプットが出てこない状況が続いたため、前回会議のアクションアイテムの確認、未解決課題の進捗追跡といった基本的な会議運営を徹底し、愚直な課題整理と交通整理によってプロジェクトを前進させました。
そして、外部ベンダーのPMとクライアントPMと一緒に、プロジェクト定義書・計画書・体制図の再作成に取り掛かりました。外部ベンダーやクライアントそれぞれの視点ではなく、ひとつの混成チームとしてのプロジェクトを立ち上げるで、同じ目標にそれぞれのチーム・役割で向かっていける状態が必要だと感じたためです。
これらの取り組みにより、混乱していたチーム運営を正常化し、外部ベンダーと社内メンバーが効果的に協働できる体制を構築することができました。スコープを定義し、体制を決め、スケジュール化し、管理、ファシリテーションをするというプロジェクトマネジメントの基本を徹底することで、新しい組織の立ち上げに成功し、その組織が機能し、前に進んでいくという状況を作り上げることができました。プロジェクトマネジメントがシステム開発だけでなく、組織立上げなど幅広い分野で効果があることを実証できたのではないかと思います。
結果
予定通りにセキュリティ専任組織の立上げを完了し、継続的なセキュリティ業務の遂行と改善ができる組織を実現できました。クライアントの部長からも「軌道に乗った感がある」という評価をいただき、組織として自立的な運用が開始できていることが確認されています。
プロジェクトの成功要因として、以下の点が挙げられます。
- プロジェクトマネジメントの基本徹底:プロジェクト定義書、計画書、体制定義といった基本要素を確実に整備し、専門性だけでは解決できない部分を補完したこと。
- 継続的な課題整理と交通整理:技術的な専門知識よりも、愚直な課題の可視化と解決のための交通整理を継続的に実施したこと。
- 段階的な組織変革アプローチ:バーチャルな運用から実体組織への転換という難しい変革を、関係者の理解度に応じて段階的に進めたこと。
組織の立ち上げから業務開始までの全フェーズをやり遂げたことは、私にとって大きな成果となりました。また経営会議でのタスククローズを正式に報告できるという言葉をいただけたときは、強い達成感と安堵に包まれました。
クライアントメンバーから寄せられた「状況を的確に可視化してくれる」「共に前進してくれる」という言葉は、私たちの存在価値を改めて実感させてくれるものであり、本プロジェクトは、その意味でも非常に意義深い経験となりました。
