最後に「ICSCoE卒業生は役に立ったか」については、役に立つような環境整備を経営層に求めたいという切り返しがあった。サイバーリスクは無くならない、厳然として存在するからこそ、

 

「経営層にはリスクを正しく恐れることのできる組織構築を望む」

 

　とのこと。具体的には、

 

・実務者が育つ環境（魅力ある仕事）

・組織として施策（リスクマネジメント）を実行できること

・（トップと現場の）コミュニケーション

・（予算等は）トップダウン

 

　ということらしい。DXによってデジタル技術・データ・組織が企業の中核に位置付けられると、セキュリティ事故の影響がより大きくなる。コストダウン・品質向上・新しいサービスといったバラ色の目標を掲げても、セキュリティを怠れば逆に奈落の底だということ。

 

　組織構築の中には、階層が多層でコミュニケーションに支障をきたしていたり、全く見えていないリスクがあることへの対処も含まれている。前者の例としては、経営層・司令塔機能・実行部隊の３階層でいいのに、IT部門長や担当常務などが間に入って迅速な対応ができないこと、後者の例としてはIT部門やセキュリティ司令塔含めて誰も管掌していないOT部門が挙げられていた。

 

　　　　

 

　対処法は一つではないが、まず出来るところから組織を整理し、リスクを一元化して経営層から見えるように、見えやすいようにするべきだと彼らは言う。そのような組織改編の中で「中核人材」はどういう役割を果たすかと言うと、

 

・自社システムの安全性、信頼性を客観的に評価し、リスクとセキュリティ戦略について経営幹部に（分かる言葉で）説明する。

・最新の攻撃トレンド等に精通し、他業界や海外の事情も含め、自社の対策立案する。

・適用する対策の安全性、信頼性、必要技術、コストを精査でき、効率的に実装する。

 

　ことだという。まだ若い３人だが、１年間のカンヅメ研修は、彼らに自信を与えたようだ。若手の優秀層を１年間業務から外すというのは、大企業にとっても辛いこと。それを忍んだ成果は（少なくともこの３社には）十分にあったものと思われる。

 

　４期生はもうじき卒業、７月には５期生が入ってくるはずです。ずっと日陰の仕事だったサイバーセキュリティ、Global & Digital の潮流に乗って重要視されるようになったのはとてもいいこと、及ばずながら応援しますよ。