検索
  • 石川幸佑

テクノロジーやIoTを導入する大企業の課題:情報セキュリティポリシー

最終更新: 3日前


2020年にDX銘柄2020が発表

経済産業省は、東京証券取引所と共同で「デジタルトランスフォーメーション銘柄(DX銘柄)」を選定し、本日、「DX銘柄2020」選定企業35社と「DX注目企業2020」21社を発表しました。これらの企業は、ビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革することにとどまらず、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すべく取り組んでいる企業として選定されており、コロナ禍においてもデジタル技術を最大限に活用した活躍が期待されています。

https://www.meti.go.jp/press/2020/08/20200825001/20200825001.html



これを眺めながら、大企業のDX(デジタルトランスフォーメーション)について、考えることにした。


本記事は今のスタートアップで大企業とのやりとりにおけることをベースとして記載する。

このフェイズは下記の記事にも関連している。

スタートアップが大企業とコラボするときの罠:関係性の誤認







情報セキュリティポリシーというハードル


ズバリ、テクノロジーやIoTを導入する大企業の課題に情報セキュリティポリシーがある。

情報セキュリティポリシーとは、企業や組織において実施する情報セキュリティ対策の方針や行動指針のことです。

※総務省webより


というもので、大企業にとってはDX推進する上でけっこうなハードルになりえる。

・会社のPCになんでも好きなソフトをインストールできない

・メールソフトは指定のものに限定されている

・特定のインターネット先は閲覧できない

などは情報セキュリティポリシーに影響を受けている



自分たちスタートアップが大企業に対して、IoTサービスを提供するにあたって、

たびたび聞かれることは


「データの通信経路はどうなっていますか?」

「データを直接弊社のサーバやシステムに送信できませんか?」

である。



大企業は他社と共用するような通信ネットワークやサーバを使いたくない。



なぜならセキュリティの面で情報が漏洩する可能性を避けたいからという考えがあるから。

そうさせている「ルール」が情報セキュリティポリシーだったりする。



「このサービスはぜひ使いたい。でも、社内のセキュリティポリシーのために使えない」

ということが会話で繰り返される。






アップデートされていないポリシー


どのように情報セキュリティポリシーを作成するかは以下のような総務省の記載がある。

情報セキュリティ対策は画一的なものではなく、企業や組織の持つ情報や組織の規模、体制によって、大きく異なります。つまり、業務形態、ネットワークやシステムの構成、保有する情報資産などを踏まえた上で、その内容に見合った情報セキュリティポリシーを作成しなければなりません。

https://www.soumu.go.jp/main_sosiki/joho_tsusin//security/business/executive/04-2.html

とういうわけだ。規模や体制によって大きくポリシーは変わる。


そして、情報セキュリティポリシーがアップデートされておらず、「時代遅れ」になっている場合が多い。



DX、IoT、AI、クラウド、ビッグデータ」の推進が社内で唱えられていても、

ベースとなる情報セキュリティポリシーでガチガチに現場(新しいサービスやDXを活用したい方々)が縛られてしまっている。







新しいテクノロジーはタダでも使わない


新しいテクノロジー・サービスがタダなのにも関わらず、使ってくれないひとはいる。


新しいことをやるのはそれなりにめんどくさいのだ。


それに加えて、

「情報セキュリティポリシー」というルールが相手であると、なかなか手ごわい。


スタートアップであれば、自社のルールを構築、変更するのはスピーディに対して、

大企業はリスクを過度に評価するために、ルールの変更は時間と手間が大きくかかる。






使ってもらうヒント1:現実感のあるデモを行う


IOTDXや新しいテクノロジーをあまり活用したことのない人は、そのテクノロジーからどんなメリットを得られるかを想像しにくい。


そのために、テクノロジーの「デモ」が重要になる。


現実感のあるデモをするには

・顧客の業務をヒアリングする。(顧客の仕事を経験するのがいい)

・顧客の業務のどこにテクノロジーが活用できるか想像する。

・未来の顧客の業務をイメージして、テクノロジー導入のビフォー・アフターを示しながらデモを行う

・顧客にデモアカウントをわたす。ハードウェアなら、使えなくても筐体一個をおいてくる。


そして、デモの段階ではセキュリティポリシーについては触れないことだ。


まずは価値を感じてもらい、それを使うための障壁(セキュリティポリシー)の存在には触れない。





使ってもらうヒント2:テストとして、小さくはじめられるか


デモで相手がテクノロジーを使ってみたいと感じたら、いきなり本番導入をすることを狙わず、限定的に小さくはじめられるか。


限定された場所、部署、サービスレベルということにして、本番ではなく、「テスト」という建前で実施する。


実は、大企業では、こっそりとポリシーに縛られず、リスクをとりながらも新しいテクノロジーを使い始めている人も存在する!





相手がセキュリティポリシーを気にし始めたらやること


・どんなテクノロジーを会社内で使っているかを確認する。

gmail、office365、AWS、Zoom、Slack、VPN、シンクライアント、dropboxなどとにかく、相手が使っているかもしれないテクノロジーを片っ端から聞いていく。


1つでも新しいサービスを使っているとしたら、そこが突破口になり得る。


他の誰かが、新しいテクノロジーを社内に導入しているからだ。


そのテクノロジーをどんな人が推進していたか、どんな論理で通したのか、どんな人の承認を得たのかを押さえる。



・新しいもの好きで、新規事業を実施している人を聞く。

テクノロジーの導入がなくても、社内に一人くらいは「新しいもの好きの人」であり、「新規事業を手掛けている人」はいる。

こういう人は、社内で少し異端でありながらも、社内の人的ネットワークを知っている場合が多い。こういう人に相談できるかが、1つの突破口になりえる。



著者:石川幸佑

IoTのスタートアップCACH(カック)のCOO(最高執行責任者)で、工事現場や橋などの社会インフラの維持管理のDXを実施中。


経歴はIT企業、SDGs関連のコンサルティング企業、米国のリサイクルスタートアップを経験後、NEDOのSUI事業支援や東京都の創業支援施設のコミュニティマネージャーとして、多くの起業家やスタートアップの支援を実施。

トレラン後の風呂とサウナが好き。




 

購読登録フォーム

  • Twitter

©2019 by  koske1211