　前回は、IoT時代の安心・安全を確保するための組織変革の進め方の具体例として、大企業の仮想の組織図をもとに、セキュリティ課題解決のために、どのような組織変革を行えば良いのかを一案とともに考察した。最終回の今回は、中小企業の組織変革の進め方について考察したい。中小企業といっても幅広いが、本記事の趣旨に沿って、IoTを活用して価値を生みたいと考えている大企業寄りの規模（工場を複数もっているなど）の製造業を例に挙げる。

中小企業における組織の現状

　まず、中小企業の典型的なセキュリティの組織体制と課題を検討しよう。中小企業においてセキュリティは、情報システム部の一機能でしかなく、ネットワークやPC管理のついでにセキュリティ対策を実施するくらいで、そもそも専任でやっている人がいないのが実情だろう。ましてや、工場のセキュリティ対策にまで手が回っているような企業はほとんどないのではないか。

　前回まで考察してきた大企業と中小企業の主な違いは、負の面では、セキュリティに関わる「人的リソース」と「予算」であり、正の面では、「管理対象が小規模」ということだ。管理対象が小規模な分、情報システム管理のついでにセキュリティ対策を実施する程度であれば、少人数でも何とかなってしまう面もある。

　しかし、昨今の標的型メールなどの脅威の高まりや、大きな被害をもたらしたランサムウェア「WannaCry」の感染がOT（制御技術）システムにまで及んでいる状況を考えると、実際のリスクと対策が見合っていない状況となっている。そのような状況のまま、「IoTを活用して価値を生む」という取り組みを行えば、さらにリスクが高まることになる。もし、大きな投資をしたIoTプロジェクトでセキュリティ事故が起これば、経営の存続が危ぶまれることになるだろう。セキュリティ対策が最重要なはずの金融業界でさえ、対策の不備により、巨額の仮想通貨が窃取された事案^※1）を見れば、コスト削減を優先しがちな中小企業のセキュリティ意識が、いかに低いかが分かるだろう。

中小企業における組織変革の考え方

　では、このような現状から、十分なセキュリティ対策を行うことができる組織を構築するには、どのようにしたら良いのだろうか。「経営層の理解」が最重要で、経営戦略に応じた中長期的な戦略、戦術（プロジェクト）が必要であるというのは、大企業も、中小企業も変わらない。また、セキュリティのガバナンスが不十分なことに起因する課題も共通である（連載第7回で紹介した「4つの主な課題」を参照）。

　しかし、解決方法は同じではない。なぜなら、「人的リソース」と「予算」に制約がある中では、大企業のように、セキュリティ対策の専任者を何人も置けないと考えられるからだ。せいぜい1人か2人の専任を確保するのが精いっぱいだろう。従って、やりたいことは大企業と同じであっても、アウトソーシングを積極的に活用しながら、小回りの効く組織の変革を考える必要がある。

中小企業における組織変革の例

　　　　　　 1|2|3 次のページへ