米国金融機関のセキュリティ担当者が、最も重視しているものは何か。海外送金やクレジットカード発行を手がける米Western UnionのDavid Levin情報セキュリティ担当ディレクターは「従業員の生産性」と断言する。

 Western Unionは2015年に「バグ報奨金制度」を開始するなど、先進的なセキュリティ対策で知られる(関連記事:社外の力でセキュリティ強化、メーカーや金融に広がる「バグ報奨金制度」)。もっとも、同社が「セキュリティ先進企業」と呼ばれるのは、セキュリティ対策が厳しいからではない。むしろ同社の従業員は「使いたいクラウドサービスがあれば、ほぼ何でも使える」(Levin氏)状態という。

写真●米Western UnionのDavid Levin情報セキュリティ担当ディレクター
[画像のクリックで拡大表示]

 なぜなら同社は「従業員が使いたいというクラウドサービスがあったら、その利用を禁止するのではなく、安全に使える方法を情報システム部門が考案する」(Levin氏)という方針を採っているからだ。CISO(最高情報セキュリティ責任者)直属のディレクターとしてセキュリティ対策を立案するLevin氏に、詳しい話を聞いた。

Levin氏の肩書きである「情報セキュリティ担当ディレクター」の業務とは?

 私はセキュリティ担当者の業務を「エンドユーザーに最新のテクノロジーを届ける(デリバリーする)仕事」だと定義している。過去10年に渡って、当社でサイバーセキュリティ担当者として働いているが、その仕事内容は大きく変化してきた。

 10年前の我々は「コンプライアンスドリブン(駆動)」で仕事をしていた。しかし今は、セキュリティ担当者にも「ビジネスを前進させる」発想が求められている。金融業を取り巻く競争環境が激変していることが大きい。

 セキュリティの水準を高く保つことは当然の責務だが、それだけを考えていたのでは失格だ。今は金融機関が、ソーシャルメディアを通じて顧客と直接コンタクトする時代だ。どのようなテクノロジーを活用すれば、顧客満足度やサービス品質を高め、イノベーションを加速できるのか。それをセキュリティ担当者も考えなければならない。セキュリティはビジネスをスローにする存在であってはならない。

具体的にはどのような取り組みをしていますか?

 エンドユーザーから新しいテクノロジーやサービスを使いたいという要望を受けたら、情報システム部門はそれがセキュアに利用できるかどうか評価(アセスメント)を実施し、もし何か問題があれば、それを改善する策を考える。

 重視しているのは、エンドユーザーとの対話だ。エンドユーザーのニーズに背を向けてしまうと、従業員や部門が勝手にクラウドサービスを活用する「シャドーIT」がはびこりかねない。

 新しいクラウドサービスを導入する際には、安全な使い方に関するエンドユーザー教育も実施している。当社が重視するのは、ビデオを使った教育コンテンツだ。10万人を超えるエンドユーザーが情報システム部門が作成したチュートリアルのビデオを閲覧して、サービスの正しい使い方を学んでいる。

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら