この記事を読んでいただいている方々は何らかの形でサイバーセキュリティに関心を持ち、さまざまな機会を捉えては情報を収集なさっているのではないでしょうか。
そんな皆さまにとって、自組織外で起きているセキュリティの生の現場を知り、そしてそれを踏まえて自社で何を考え、行動すればよいかについて、示唆を得られる絶好の機会が11月9日に開催される「2017 MPOWER:Tokyo」です。
今回は「伝授:“広島流”働き方改革」と題して講演される、広島県 総務局 情報戦略総括監 桑原 義幸 氏にお話を伺いました。
先日、2017年 アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)を受賞者された桑原氏、自治体での働き方改革とセキュリティの両立をどのように進めてこられたのか、具体的な内容の一部を講演に先立ってお話しいただきます。
日本の自治体でセキュリティクラウドを推進、そして受賞
マカフィー:今回受賞されたアジアパシフィックISLA(情報セキュリティ・リーダーシップ・アチーブメント)賞について具体的な内容を教えて頂けますか?
桑原氏:情報セキュリティプロフェッショナル認定資格のグローバルスタンダードであるCISSPを運営する(ISC)2(アイエスシー・スクエア)が、地域ごとにセキュリティに貢献した人を表彰していて、各地域単位で年1回表彰しています。ノミネートされる部門が3つあって広島県のセキュリティクラウドが受賞したのはManagerial Professional for Information Security Projectという部門です。
アジアパシフィックで情報セキュリティに関する人材育成で継続的に貢献したということで受賞しました。ちなみに私もCISSPの資格は持っています。
マカフィー:自治体でセキュリティクラウドの受賞というのはインパクトがありますね。
桑原氏:この賞は2007年から始まっていて今年で11回目、過去に日本人も受賞していますが、日本の地方自治体の職員が受賞するのは初めてでした。
マカフィー:一般企業でも取り組みが進んでいないところもある中で、自治体からというのは周囲の反応も大きかったのではないですか?
桑原氏:地元紙(中国新聞)や業界誌(電気新聞)などで取り上げられましたね。 ご覧になった方から官民含めて(受賞の件について)声をかけていただきました。
マカフィー:受賞をきっかけに広島県の取り組みの認知が増えているという印象ですか?
桑原氏:そうですね。我々の取り組みは自治体のみならず、民間企業でも参考になるんだなと感じました。
働き方改革の推進は、「明確なゴール提示」と「進め方のバランス」が必要
マカフィー:今回の登壇テーマである広島県の「オフィス中心の働き方から人中心への働き方へ」を基本方針とした働き方改革について、内容を教えて頂けますか?
桑原氏:もともとの話として、広島のみならず官公庁の世界は文化として仕事はオフィスでするものというのが定着していると思います。
仕事をするのは人であって、オフィスに行くことが仕事ではなく、(すべてに該当するわけではないですが)基本的な発想としてオフィスにいかなければ仕事ができないというのはやめましょう、人がいればサービスを提供できますという考え、それが「人中心の働き方」のコンセプトです。
自分がどこにいてもICTを活用すればオフィスでできることは家でも喫茶店でもできるでしょうというのが基本方針です。
マカフィー:桑原様が官公庁の出身ではないというところから発想が出てきたのでしょうか?
桑原氏:それもあるかもしれませんが、今の知事が就任されて、平成22年の12月に行政経営刷新計画というものを作りました。そこに最小の経費で最大の効果を発揮し、県民サービスの向上を図るという湯崎(広島県)知事の方針がありました。
そのためには職員の効率を上げる必要があり、その手段としてICTの積極活用がありました。
私はこれができた年に広島県庁に来ました。これを受けて具体的にIT戦略を最初に作ったのが平成23年です。そのころは今のように働き方改革がブームになっていませんでした。私のほうでミッションやビジョンを作って、それを骨子としてぶれないようにしています。時代によって微調整はしていますが、「オフィス中心から人中心」はぶれない柱として持っています。
そして、「自治体のベストプラクティスになろう」という明確なゴールを作りました。先ほどの受賞のプロジェクトについても、プロジェクトメンバーの意思統一のためにセキュリティクラウドはうちがベストプラクティスになろう、というのを掲げて進めました。
マカフィー:広島県の働き方改革、ICT活用の浸透度合いについてどのようにみられていますか?また、進めるにあたって壁があった点・課題など教えて頂けますか?
桑原氏:やはり、官公庁の場合、民間と違ってドラスティックにできない、ちょっとずつスモールスタートで積み上げていくスタイルになるのは仕方ない、というのは一番思うところです。
実際6年くらい経っていますが、少しずつ動いている感じがします。意識しているところは、ボトムアップとトップダウンの使い分けが必要で、これはバランスが難しいかなと思います。
比較的うまくいったのは、最初にペーパーレス会議を導入したときです。県の中で経営戦略会議というトップが集まる会議体があってまずその会議体からペーパーレスを進めました。
マカフィー:まさにトップダウンですね。
桑原氏:そうですね、そこが進めばその下の会議もペーパーレスが進んでいきます。
それは比較的うまくいったと思います。 他の部署でもペーパーレス化しないと、という意識の醸成ができました。セミナーの当日話そうと思いますが、ペーパーレス会議は成功の秘訣があります。既存の資料を無理やりタブレット使って見ようとすると書類の電子化が必要ですよね。PDFにするとか。皆、誤解するのが、それをタブレットでやってペーパーレス化した気になる。
しかし、実際にはペーパーレス会議を意識した資料作成が必要で、その環境に応じた資料の作り方、文字の大きさや行数、見るときの画面サイズなど、どうあるべきかを先に定義していく必要があります。
それ以外のテレワークとかもありますが、一番大きな壁は官公庁ならではかもしれない、「制度の壁」ですね。人事規定とか。私たちも制度変更を3回にわたって行いました。人事部門や関係部署を巻き込んで。
民間はわかりませんが、官公庁は絶対そうですね。制度の壁が高かったです。実はもう一つ、大きな壁があって、それはMPOWER当日お伝えしたいと思います。おそらく外資系民間企業の人とかには分からないのではないかと思う、そういう壁があります。
働き方改革とセキュリティ強化、とにかく考え抜く
マカフィー:なるほど、その大きな壁は当日のセッションを乞うご期待ということで。
次に、働き方改革がご担当領域であるセキュリティ部門に与えた影響はどのようなものでしたか?
桑原氏:セキュリティと働き方改革はある種、相反する部分があって、その壁に我々も当たりました。
年金機構の件から始まって総務省からセキュリティに関する指示が来まして、それを全部言われたとおりにやると、これまでの取り組みが無駄になってしまう可能性がありました。総務省にも意見は述べさせていただきましたが、我々としては、セキュリティ対策するための最低ラインの基本方針を打ち出すことにしました。
一番重要なこととして我々もサービスプロバイダーで、行政サービスのクオリティは落とさない、二番目に、セキュリティをやるからと言って働き方改革を犠牲にすることはやめましょう、としました。
総務省に言われたことをそのままやると働き方改革も行政サービスの質も落ちる可能性もあったので、関係者で協議して、この方針をキープしつつ、総務省から言われたことを守るのにどうしていくかを考えました。
マカフィー:二律背反する中でどのように進めていくのかというのは、セキュリティ担当者としては参考になるところですね。
桑原氏:セキュリティ強化はこのご時世必要で、官民含めて同じテーマだと思いますね。
ただ、そこだけに目を取られると失敗する。セキュリティ強化が目標ではない、サービスレベルが上がることはあっても下げてはいけない。そのためにどうしていくかを脳ミソに汗をかかないといけない。
マカフィー:今回の講演はどんな人に聞いてほしいですか?
桑原氏:自治体の方中心に、民間の方も聞いてもらえると参考になると思っています。
セキュリティフォーカスで言うと、侵入されることがリスクではなく、侵入後に情報とられることがリスクという話をしていて、これははっきり発信しています。侵入後に情報をどう守るかにフォーカスしている。
今は変わってきたと思いますが2年くらい前は皆侵入がリスクというスタンスだった。優秀なハッカーは入ってくる、入ってこられた後にどうするかを考えるのが広島県のセキュリティの方針ですね。
マカフィー:二律背反する中での改革の進め方など、当日はセキュリティ担当者全般的に役に立つお話しが聞けそうですね。会場限定のお話も楽しみにしています。
本日はありがとうございました。
著者:MPOWER事務局
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)