あなたの会社では、情報システム部(情シス)と情報セキュリティ部の関係は良好ですか?
「情シスは事業部門の言いなりでセキュリティを軽視している」 「セキュリティ部はリスクばかり指摘してビジネスのスピードを落とす」
企業のITを支える車の両輪であるはずの両部門の対立は、多くの組織が抱える根深い課題です。
私は、東証プライム上場企業で情報システム部のセキュリティ担当として、日々この両者の「境界線」に身を置いています。CISSP(認定情報システムセキュリティプロフェッショナル)として、そして情報処理安全確保支援士(登録セキスペ)として断言できるのは、この対立は個人の問題ではなく、組織の構造的な課題に根差しているということです。
そして2025年の今、DXの加速に加え、生成AIの爆発的な普及が、この両部門の関係性に新たな、そしてより複雑な問いを突きつけています。
この記事では、情シスとセキュリティ部がなぜ対立するのかという構造的課題を解き明かすとともに、生成AIという新時代のファクターがもたらす新たな責任分界点と役割の変化を分析。これからの時代に必須となる「戦略的パートナーシップ」への進化の道筋を、現場の視点から具体的に解説します。
- 第1部 デジタル化の双発エンジン:それぞれの役割とミッション
- 第2部 なぜ対立は生まれるのか?両部門が抱える根深い課題
- 第3部 連携不全が引き起こす組織的リスク
- 第4部 生成AIが突きつける新たな挑戦
- 第5部 対立から協調へ。明日から始める戦略的パートナーシップ
- まとめ:機能的サイロから戦略的パートナーへ
第1部 デジタル化の双発エンジン:それぞれの役割とミッション
1.1 情報システム部(情シス):事業を前に進める「アクセル」
情シスの最大のミッションは、ITの力で事業の有効化(Enablement)と効率化を推進することです。彼らの活動は、従業員がより速く、より快適に業務を遂行できるよう、ITツールやシステムを提供し、安定稼働させることに集約されます。
- 戦略企画(攻めのIT): 経営戦略に基づき、売上向上や業務効率化に繋がる新システムを企画・導入します。
- システム開発・運用・保守(守りのIT): 企業の根幹を支える基幹システムが止まらないよう、安定稼働に責任を持ちます。
- インフラ構築・運用: サーバーやネットワークなど、企業活動の土台となるITインフラを管理します。
- ユーザーサポート: 「PCが動かない」といった社員からのあらゆるIT相談に対応する、企業の駆け込み寺です。
情シスは、事業部門の「こうしたい」という要求に応え、ビジネスを円滑に進めるための「アクセル」の役割を担っているのです。
1.2 情報セキュリティ部:事業を守る「ブレーキ」
一方、情報セキュリティ部のミッションは、企業の最も重要な資産である「情報」をあらゆる脅威から保護(Protection)することです。その活動は、情報資産の機密性・完全性・可用性(CIA)を確保し、事業リスクを最小化することに集約されます。
- ガバナンスと戦略: 組織全体のセキュリティ方針(ポリシー)を策定し、遵守を徹底させます。
- リスク管理: 自社が抱えるリスクを評価し、許容可能なレベルに抑えるための対策を講じます。
- セキュリティ運用: ファイアウォールなどのセキュリティ製品を運用・監視し、サイバー攻撃を検知・対応します。
- 教育と啓発: 従業員のセキュリティ意識を高めるための教育や訓練を実施します。
情報セキュリティ部は、潜在的なリスクを予見し、事業が道を踏み外さないようにするための「ブレーキ」や「ガードレール」の役割を担っています。
1.3 【比較表】一目でわかる!目的・KPI・思考様式の違い
両部門の違いをまとめたのが、以下の表です。
| 特徴 | 情報システム部(情シス) | 情報セキュリティ部 |
|---|---|---|
| 主要目的 | 事業の有効化と効率化:ITシステムを円滑に機能させ、事業運営を支援し生産性を向上させる。 | 資産の保護とリスク低減:情報資産を保護し、サイバー脅威に対する事業のレジリエンスを確保する。 |
| 中核的思考 | サービスと可用性:「どうすればユーザーのためにより速く、より良く、より信頼性の高いシステムを提供できるか?」 | リスクと回復性:「何が問題になりうるか? それをいかにして予防、検知し、対応するか?」 |
| 代表的なKPI | システム稼働率、ヘルプデスク解決時間、プロジェクト納期遵守率、ユーザー満足度(CSAT) | 平均検知・対応時間(MTTD/MTTR)、脆弱性修正率、セキュリティ研修完了率、監査指摘事項件数 |
| 事業との関係 | しばしば運用担当または「コストセンター」と見なされる。戦略的パートナーへの脱却を目指す。 | ますます中核的な事業リスク管理機能と見なされ、経営層に直接報告するケースが増加。 |
このように、両者は見ている方向(目的)も、評価される指標(KPI)も、考え方の癖(思考様式)も全く異なるのです。この根本的な違いが、後の対立構造を生み出す土壌となります。
第2部 なぜ対立は生まれるのか?両部門が抱える根深い課題
両部門の目的が違うことはわかりました。しかし、なぜそれが深刻な対立にまで発展してしまうのでしょうか。それは、それぞれが外部からは見えにくい、構造的な課題と矛盾を抱えているからです。
2.1 情シスが苛まれる「3つの矛盾」
情シスは、経営層や事業部門からの期待と、社内の現実との板挟みになっています。
- レガシーシステムの重圧: 経産省が警鐘を鳴らす「2025年の崖」。長年使い続けた基幹システムは複雑怪奇な「秘伝のタレ」と化し、その維持管理だけで予算と人員の大半が食い潰されています。
- コストセンターの烙印: システムの安定稼働は「当たり前」と見なされ、利益を直接生まないコストセンターというレッテルを貼られがちです。これにより、システムの近代化や人材増員のための予算確保は困難を極めます。
- 維持管理とDX推進の板挟み: 古いシステムの維持で手一杯なのに、経営からは「DXを推進せよ」という号令がかかる。この矛盾した期待が、情シスを疲弊させています。
この状況は、私が「レガシーシステム・デススパイラル」と呼ぶ負の連鎖を生み出します。
レガシーシステムの維持にリソースを割かれる → コストセンターと見なされ投資が得られない → 人材が育たず、さらに疲弊する → 結果、レガシーシステムを延命させるしかなくなる
このスパイラルに陥った情シスは、革新的な取り組みに挑戦する余力を失ってしまうのです。
2.2 セキュリティ部を襲う「見えざる戦い」
一方でセキュリティ部もまた、異なる種類の深刻な課題に直面しています。
- 消滅する防御境界: クラウド化、リモートワークの常態化、そして取引先を踏み台にするサプライチェーン攻撃の増加により、「社内は安全」という従来の前提は崩壊しました。守るべき領域は無限に広がり、もはやどこから攻撃が来るかわからない状態です。
- 深刻な人材不足: 日本全体でセキュリティ人材が決定的に不足しています。特に中小企業では専任担当者が不在のケースも多く、限られた人員に過大な負荷がかかっています。
- 経営層との認識ギャップ: これが最も根深い問題かもしれません。ある調査では、経営層の91%が自社の対策は十分と考えている一方、そのうち63%の企業が過去1年でインシデントを経験しているという衝撃的なデータがあります。
この認識ギャップは、私が「セキュリティ投資の正当化パラドックス」と呼ぶ現象を引き起こします。
セキュリティ対策が成功し、何も事件が起きない → 経営層は「問題ない」と安心し、脅威を不可視化する → 「なぜ問題が見えないものに、さらに投資が必要なのか?」と予算が削減される → 結果、新たな脅威への備えが疎かになる
セキュリティ部は、何かが起きてからでは遅いのに、何も起きていないと価値を証明しにくいという、根本的なジレンマを抱えているのです。
第3部 連携不全が引き起こす組織的リスク
それぞれが苦しい状況にある両部門。その連携がうまくいかないと、具体的にどのようなリスクが組織に現れるのでしょうか。代表的な3つの例を見てみましょう。
3.1 シャドーIT:便利さの裏に潜む脅威
シャドーITとは、従業員が情シスやセキュリティ部の許可なく、業務に利用する個人契約のクラウドストレージやチャットツールなどを指します。
これは、両部門の連携不全が引き起こす典型的な症状です。 * 情シスの視点: 従業員が必要とするツールを、公式な手続きでは迅速に提供できない。生産性を維持したい従業員の気持ちもわかるため、黙認せざるを得ないプレッシャーを感じる。 * セキュリティ部の視点: 管理外のサービスは、情報漏洩やマルウェア感染の温床そのもの。組織の防御網に巨大な穴を開ける行為であり、断固として禁止したい。
結果、セキュリティ部はシャドーITを封じ込めようとし、情シスは板挟みになるという対立構造が生まれます。
3.2 クラウドの落とし穴:「責任共有モデル」の誤解
DXの要であるクラウドサービスですが、ここにも連携不足の罠が潜んでいます。クラウドには、クラウド事業者と利用者の間でセキュリティ責任を分担する「責任共有モデル」という大原則があります。
しかし、多くの企業でこのモデルが正しく理解されていません。 * 情シスの失敗: 「クラウド事業者が全部やってくれるだろう」と誤解し、セキュリティ設定の重要性を見落としたままサービスを導入してしまう。 * セキュリティ部の失敗: クラウドという新しい環境に対する可視性や管理権限を持てず、情シス任せになってしまい、設定ミスに気づけない。
この共同責任による失敗が、意図しない情報公開といった致命的なインシデントに繋がるのです。
3.3 ゼロトラスト導入の壁:究極の協力課題
「社内も社外も信頼しない(Never Trust, Always Verify)」を原則とするゼロトラストは、現代のセキュリティモデルの最適解と言われます。しかし、その実現は単一の製品導入では不可能です。
- 情シスの役割: ID管理、デバイス管理、ネットワークアクセスといった根幹コンポーネントを構築・管理する。
- セキュリティ部の役割: 誰が・いつ・何にアクセスして良いかという詳細なポリシーを定義し、異常を監視する。
ゼロトラストは、ITインフラとセキュリティポリシーが完全に一体化して初めて機能します。これは、これまで縦割りだった両部門に、前例のないレベルでの統合と協力を要求する、究極の協力課題なのです。
第4部 生成AIが突きつける新たな挑戦
従来の課題に加え、今、両部門の目の前には「生成AI」という、これまでの常識を覆すゲームチェンジャーが登場しました。生産性を飛躍的に向上させる可能性を秘める一方で、それは新たなカオスと、より深刻なセキュリティリスクをもたらしています。
4.1 「シャドーAI」の脅威:シャドーITの再来と進化
かつて問題となったシャドーITは、今「シャドーAI」として進化し、再来しています。これは、従業員が会社の許可なく、個人で契約したChatGPTなどの生成AIサービスを業務に利用する行為を指します。
シャドーITと構図は同じですが、リスクの質が全く異なります。
- 機密情報の入力と学習: 従業員が何気なく入力した顧客情報や開発中のソースコードが、AIモデルの学習データとして取り込まれ、外部に漏洩するリスク。
- 著作権侵害: AIが生成した文章や画像が、意図せず他者の著作権を侵害してしまうリスク。
- ハルシネーション(もっともらしい嘘): AIが生成した誤った情報を信じ込み、誤った意思決定を下してしまうリスク。
この問題は、利便性を求める従業員のニーズに、公式なIT提供が追いついていないという点で、まさに情シスとセキュリティ部の連携が問われる最前線なのです。
4.2 新たな責任分界点:誰がAIの「しつけ」をするのか?
では、企業として生成AIを安全に活用するために、両部門はそれぞれどのような役割を担うべきでしょうか。私は、これを「AIの飼育員と調教師」という比喩で捉えています。
情シスの新役割 = AIの「飼育員(ブリーダー)」
- 役割: AIが健全に育つための安全な環境(プラットフォーム)を提供し、従業員がその能力を最大限引き出せるよう支援する。
- 具体例: Azure OpenAI Serviceのように、入力したデータが外部モデルの学習に使われない、セキュアな法人向けAI環境を導入・管理する。プロンプトエンジニアリングの研修などを企画し、社内のAIリテラシー向上を支援する。
セキュリティ部の新役割 = AIの「調教師(トレーナー)」
- 役割: AIが暴走したり、危険な行動をとったりしないように、明確なルール(ガイドライン)を定め、その遵守を監督する。
- 具体例: 「個人情報や機密情報は絶対に入力しない」「生成物のファクトチェックを義務付ける」といった利用ガイドラインを策定・周知する。AIの利用状況を監視し、ポリシー違反がないか監査する。
飼育員が最高の環境を用意しても、調教師による適切なしつけがなければ、AIはただの猛獣になりかねません。逆に、厳しすぎるルールばかりでは、AIはその能力を発揮できずに終わってしまいます。この両者のバランスこそが、AIガバナンスの核心です。
4.3 協力の必須要件:AIガバナンス体制の共同構築
結論として、生成AIの活用は、情シスとセキュリティ部が最初から共同で取り組まなければ絶対に成功しません。どちらか一方に任せた場合、活用は進まず形骸化するか、あるいは重大なインシデントを引き起こすかのどちらかです。
私の会社でも、生成AIの全社導入にあたっては、両部門合同のタスクフォースを立ち上げました。情シスは「どうすれば便利に使えるか」、セキュリティ部は「どうすれば安全に使えるか」というそれぞれの専門的知見を持ち寄り、実用性と安全性を両立させた活用ガイドラインを策定しました。これこそが、これからの時代に求められる協力の形です。
第5部 対立から協調へ。明日から始める戦略的パートナーシップ
では、どうすればこの根深い対立を乗り越え、協力体制を築くことができるのでしょうか。私の信条は「自分が動くのではなくルールを変えて人と組織を動かす」です。精神論ではなく、仕組み(ガバナンス)で解決する必要があります。
5.1 ガバナンス構築:「IT・セキュリティ連携 成熟度モデル」で自社を診断する
まず、自社がどのレベルにあるのか客観的に把握することから始めましょう。以下の「成熟度モデル」は、そのための診断ツールです。
| 成熟度レベル | 特徴 | 情シスの役割 | セキュリティ部の役割 | 結果 |
|---|---|---|---|---|
| レベル1:対立 | 部門は縦割り。目標が競合。 | セキュリティをブロッカーと見なす。 | 執行者(ゲートキーパー)として振る舞う。 | 高リスク、遅い革新、相互の不満。 |
| レベル2:協調 | 形式的なコミュニケーション。チェックリストの受け渡し。 | プロジェクトのためにチェックリストに従う。 | コンプライアン-スを監査し報告する。 | リスクは低減するが非効率。セキュリティは「後付け」。 |
| レベル3:協力 | 主要プロジェクトで共同計画。共有ツールと可視性。 | 設計段階で積極的にセキュリティの意見を求める。 | コンサルタントおよびイネーブラーとして機能する。 | より速く、より安全なプロジェクト遂行。 |
| レベル4:戦略的パートナーシップ | 事業成果に連動した共有予算とKPI。取締役会へ共同で戦略を提示。 | レジリエントで、デフォルトでセキュアなプラットフォームを管理する。 | 事業革新を安全に有効化することに注力する。 | 安全なDXを推進する単一のエンジンとして機能する。 |
あなたの組織はどのレベルにありますか? まずはレベル2「協調」を目指し、定例会議の設置やチェックリストの共有から始めるのが現実的です。最終的には、事業成果という共通のKPIを持つレベル4「戦略的パートナーシップ」が理想形です。
5.2 人材問題の克服:採用だけに頼らない育成と自動化
深刻な人材不足は、採用だけで解決できません。 * 内部人材のスキル向上: 情シス担当者にセキュリティの基礎知識を、セキュリティ担当者にクラウドやAI技術の研修を実施するなど、相互理解を深める「クロススキリング」が有効です。 * プロセスの自動化: パッチ適用や脆弱性診断など、定型的な業務は積極的に自動化し、限られた人材をより戦略的な業務に集中させます。 * 戦略的アウトソーシング: 24時間監視など、専門性の高い業務は外部のマネージドサービス(MDRなど)の活用も検討します。ただし、ベンダーを管理する能力は必ず社内に残すべきです。
5.3 経営を動かす:ビジネスの言葉でリスクと価値を翻訳する技術
経営層の支持を得るには、技術用語を封印し、ビジネスの言葉で語る必要があります。
悪い例: 「最新のEDR(Endpoint Detection and Response)が必要です」 良い例: 「競合他社を襲ったランサムウェア攻撃で、年間売上の30%に相当する被害が出ました。この事業リスクを、想定被害額の5%の投資で回避できます」
このように、セキュリティ対策を「コスト」ではなく「事業継続のための戦略的投資」として再定義し、その投資対効果(ROI)を明確に示すことが、経営を動かす鍵となります。
まとめ:機能的サイロから戦略的パートナーへ
本記事では、情報システム部と情報セキュリティ部の役割の違いから、両者が抱える構造的な課題、そして連携不全がもたらすリスクについて詳しく解説してきました。
- 情シスは「アクセル」、セキュリティ部は「ブレーキ」であり、目的もKPIも異なる。
- 両部門はそれぞれ「レガシーシステム・デススパイラル」「セキュリティ投資の正当化パラドックス」という根深い課題を抱えている。
- DX時代のシャドーITやクラウド設定ミスに加え、生成AI時代の「シャドーAI」は、両部門の連携不全が引き起こす新たな、そして深刻なリスクである。
- 生成AIのガバナンスでは、情シスは「飼育員」、セキュリティ部は「調教師」としての役割を担い、初期段階からの協働が不可欠となる。
- 解決策は、精神論ではなく、「成熟度モデル」のような仕組み(ガバナンス)で対立構造を解消し、戦略的パートナーシップを築くことにある。
DX、そして生成AIの荒波を乗り越え、企業が持続的に成長していくためには、情シスとセキュリティ部が互いを「ブロッカー」と見なす対立関係を解消しなくてはなりません。
両者は、「安全かつ迅速なデジタルトランスフォーメーションの実現」という共通の目標を持つ、本来対等なパートナーなのです。この記事が、あなたの組織で両部門の関係を見直し、より強固な協力体制を築くための一助となれば幸いです。
