Aug 02, 2021

CIOが放った「裸の王様」の真意

By タニウム合同会社, Chief IT Architect CISSP、CISA, 楢原 盛史

前回のブログにて、大規模組織におけるWindows 10のFUやQU適用におけるさまざまな課題や、非管理端末がさまざまな業種の中間値として15%程度存在する点などを解説させていただきました。
先日のことですが、とある上場企業のCIOに対して、これらの実態についてお客様の実環境で分析したデータを報告する機会がありました。報告会でCIOが開口一番でおっしゃったのが「これは裸の王様だな」という言葉です。さて、この「裸の王様」とは一体何を意味するのか、今回はこのIT領域における「裸の王様」について解説させていただきます。

常々、CIOやCISOといった立場になりますと日々、業務の可用性維持や、何か発生した際の安全宣言や説明責任が問われ続けます。しかし現場サイドに「うちは大丈夫か?」と質問すると、「大丈夫だと思います」という回答や、「〇〇の脆弱性確認はちゃんとやっているか?」と質問すると「やっています」という回答が来ます。これは皆さんも日々、経験されていることではないでしょうか?

経営サイドは常に正確な情報を得て、さまざまな事項に対して迅速な意思決定を求められますが、現場サイドから報告される情報は残念なことに往々にして「曖昧な情報」である、という事実です。この「やっています」とは、例えば子供に対して親が「宿題はちゃんとやったの?」と質問すると、子供は「やったよ!」と回答するのと同義といえるでしょう。もしかしたらノートや教科書しか開いていない?かもしれません。
この「やっている」と経営サイド(親)が求める「実現出来ている?」には非常に大きな乖離があります。

話を戻しますと、多くの大規模組織が、非管理端末率が15%もあり、FUやQU適用率が50%や60%程度にも関わらず、「ちゃんとやっているか?」という質問に対して、業務自体(宿題)は「やっている」は間違いではないのですが、経営サイドが求める評価指標(KPI)に対して「実現出来ているか?」に対しては「実現出来ていない」という事実が浮き彫りになります。これはセキュリティの世界だけではなく、一般的なIT運用の領域でも同様のことが言えるわけですが、残念ながら多くの組織が、経営サイドの期待値には応えられてはいない、というのが実態です。

さて、CIOがこれは「裸の王様だな」と放った言葉は、現場サイドに対するメッセージでした。現場サイドはこの実情を今回の分析をせずとも日々の業務で「理解していた」事実であった、ということです。しかし、現場サイドから見ると、限られたIT&セキュリティ予算で、全世界の非管理端末率を0%に近づけ、FUやQUの適用率をコンスタントに100%実施し、更に適用時間を短縮し、有効帯域の圧迫を防ぎ、在宅勤務端末も同様に対応し、さらにシステムやユーザ業務の可用性劣化を防ぐ・・・といったことの全てを実現するのは不可能だからとわかっており、また半ば諦めているからです。ですからCIOの放った「裸の王様」とは、このような実態を現場サイドは分かっていたのにも関わらず報告出来ずに苦しんでいた、表現を変えますと「臭い物の蓋を閉めていた」あるいは「蓋を閉めざるを得なかった」という事実に対する愛情のこもった言葉だったのです(CIOの後日談)。

このCIOが放った「裸の王様」発言がきっかけで、経営サイドと現場サイドが「評価指標(KPI)」ベースで現実を直視し、対応に向けた検討する開始する大きなトリガーとなり、同社のエンドポイント管理の高度化プロジェクト名は別名「裸の王様プロジェクト」として、スタートを切ることになりました。是非、皆さんも自組織が「裸の王様」ではないか?改めて直視いただき、次回はこの「裸の王様」にならないための「共通の物差し」とは何か?について解説させていただきます。


ブログ記事に関してご質問やご要望がございましたらこちらからお問い合わせください。