セキュリティの現場とトップはどう融合すべき？【Taneva - コミュニティ活動レポート】

はじめに

こんにちは！Tanevaコミュマネの引野です。
マクニカでは、企業のセキュリティを担う方々が集まるコミュニティ「Taneva（タネバ）」を運営しています。

2025年11月12日、Tanevaにとって最初の一歩となるMeetupが、渋谷ソラスタコンファレンスで実現しました。

テーマは、「企業変革を支えるセキュリティへの挑み方 」。業界を代表するリーダー達と「現場とトップの融合」について熱く議論しました。同じミッションを持つ仲間が集まるコミュニティだからこその知恵や経験の共有、そして意見のぶつけ合い。
その熱量に私自身も圧倒され、学びと興奮が止まらない3時間となりました。このブログを通して、当日の熱気を少しでもお届けできたらと思います！

　Meetupの詳細：https://go.macnica.co.jp/Entry-MNC-CSSCU-Community-20251112-TanevaVol1.html　

目次

• 「Taneva」とは？
• なぜ「現場とトップの融合」をテーマにしたのか？
• 現場とトップが融合するには？
• メディアを鵜呑みにしない情報収集のやり方
• 懇親会の様子

「Taneva」とは？

「Taneva」は、TaneとValueを掛け合わせた造語で、コミュニティで生まれた新しいタネが新たな価値へと成長する、そんな場所を作りたいという想いで名付けたコミュニティとです。
Tanevaの企画が始まったのは、約1年前。ユーザーさん達とどんなコミュニティにしていくのがいいか、どんなテーマを扱おうか、と色々議論している間にあっという間に1年がたってしまった、という感じです(笑)

なぜ「現場とトップの融合」をテーマにしたのか？

すべては、あるコミュニティメンバーからの、悲痛とも言える叫びがきっかけでした。

「現場はインシデントの種を見つけるだけでも必死なんです。なのに、経営層はその価値を評価してくれない。そもそも、私たちが何と戦っているのかさえ分かっていない」 

この言葉は、私たちが日頃コミュニティを運営する中で、肌で感じていた「大きな課題」そのものでした。

組織としてCISOを擁し、全社一丸となってセキュリティに取り組めている企業は、日本ではまだほんの一握り。現実は、特定のセキュリティエンジニア個人のスキルと責任感に、過度に依存してしまっている......それが日本の現状ではないでしょうか。

経営層と現場が見ている景色は、決定的に異なります。
事業に対する視座、時間軸、そして持っている情報とその背景、これらが異なるからこそ、両者の間には深い認識のギャップが生まれ、断絶が起きてしまいがちです。 

そのギャップのせいで、現場が孤独な戦いを強いられる現状を変えたい。
経営層と現場が、互いの見ている景色を理解し合い、組織としてセキュリティの「本質」を議論できる未来を作りたい。その想いが、今回のテーマへと私たちを突き動かしました。

現場とトップが融合するには？

記念すべき最初のセッション。そこで問いかけたのは、現場と経営の間に横たわるコミュニケーションの深い溝を、いかにして飛び越えるかというテーマでした。
経営層から不意に説明を求められた時の「守り」の局面、そして、投資を引き出すために自ら経営を動かしにいく「攻め」の局面、この2つのシチュエーションで、経営層は一体何を求め、現場はどう対応すべきなのか？
実際の経営を担う立場の方と、現場で活躍されるセキュリティ担当の方にご登壇いただき、セッションを進めていきました。

セッションをぎゅっと凝縮すると、以下の３つのポイントにまとめられます。

経営層が求める情報

まず突きつけられたのは、「共通言語」を持つことの重要性です。
経営層の頭の中には常に「KPI（重要業績評価指標）」があります。何かが起きた時、彼らが真っ先に知りたいのは技術的な詳細ではなく、「ビジネスのKPIにどう影響するのか？」という一点です。だからこそ、現場はその文脈で語らなければなりません。
もし指標が存在しないのなら、そこで諦めるのではなく、経営側と膝を突き合わせ、KPIそのものを共に創り上げることが大事です。それは、事業運営のステークホルダー全員が同じ前提で議論するための「軸」となり、組織が一丸となって同じ方向へ向かうための「道標」となるからです。

そしてもう一つ、経営層が求めているのは「戦場のリアル」です。
定期報告ではKPIの進捗だけではなく、今まさに自社で受けている攻撃の兆候を伝えることも大切です。
「どの拠点が狙われているのか」「どんな攻撃が仕掛けられているのか」。たとえインシデントに至っていない水面下の攻防であっても、その事実を正確に伝えていきましょう。
敵がどこを狙っているのかを明らかにすることこそが、次の投資をどこに重点的に配備すべきか、経営陣が正しい決断を下すための、重要な情報源となります。

経営層と現場がコミュニケーションする機会は、様々な場面であります。ここまで述べてきたように、「お互いの共通言語を持つこと」「戦場のリアルを伝えること」、それに加えて「確かな情報を伝える」ということも、経営層と現場のコミュニケーションにおいては、大事な要素になります。特に非常時においては、混沌とした状況の中で、事実と憶測を見極め、正しい情報を経営に伝えていく。そこに脚色は不要です。まずは確実な事実を、そして、状況が動けば即座にアップデートしていく。いざという時の密なコミュニケーションが、その企業のセキュリティを一枚岩にし、企業の危機を救います。そのための信頼関係を平時から積み上げておくことが経営層と現場、双方において重要だと感じました。

経営層を動かすための3つの武器

・対策の必要性を、経営層がわかる言葉で説明する
・自社の事業特性から、守るべきことの優先順位を決める
・発生可能性、被害時のインパクトを定量化して伝える
　例：工場の稼働停止が 2カ月続いたら売上損失はいくらか
　例：顧客の情報が漏えいしたら、取引停止の金額損失はいくらか

日々、脅威と対峙し続ける現場の人達には、組織のあらゆる「綻び」が見えています。
「やれることは全部やりたい！」
それは、責任感が強ければ強いほど湧き上がる、偽らざる本音でしょう。

しかし、現実はシビアです。情熱のままにすべてを網羅しようとするだけでは、「知恵がない」と判断されてしまう。
そこで必要となるのが、「優先順位」です。
自社の事業特性というフィルターを通し、リスクを定量的に見積もる。そして、経営層に届く「投資対効果」という共通言語に翻訳して伝えることこそが、現状打破の突破口となります。

「リスクの数値化なんて難しい」----その通りです。だからこそ、IT部門だけで孤独に戦ってはいけないのです。
経営企画やリスク管理部門、あるいは最前線の営業や生産部門へ。
自ら足を運び、密に連携し、泥臭く情報を集める。部門の壁を越えて味方をつけるコミュニケーションこそが不可欠です。気の遠くなるほど地道な作業ですが、そこまでやるからこそ人と組織、経営は動くのだと思いました。

百聞は一見にしかず、百見は一行にしかず

もし、経営層がセキュリティに関心を示さない時は、実際に体験してもらうのが効果的かもしれません。実際にセキュリティインシデントを起こしてみて、対応をシミュレーションしてみる。かなり荒業ではありますが、「自社がどれだけできていないか」を経営層に体験してもらうことで、セキュリティへの感度があがるのではないか、という議論で最初のセッションは締めくくられました。

メディアを鵜呑みにしない情報収集のやり方

情報過多の時代において、日々膨大な情報が流れてきますが、その中には誤った情報や過剰な誇張も少なくありません。適切な情報を適切なタイミングで入手し、それを適切なアクションに結びつけるために適切に処理するということが求められています。
本セッションでは、セキュリティ担当者としてどのように情報を収集し、どのように正確な判断を下すのかについて、実践的な方法やツール活用の工夫を中心にお届けしました。

セッションをぎゅっと凝縮すると、以下の３つのポイントにまとめられます。

信頼できる情報源は？

さまざまな情報が出回る中、特に重視すべきは、「in-the-wild」つまり実際に攻撃が発生している情報です。これは脅威として嘘をつきません。さらに、複数のセキュリティベンダーから同時多発的に情報が出てきたら、「遅かれ早かれうちにも来るな」と警戒レベルを上げると先回りした対策につながるのではないでしょうか。煽るタイトルの記事は特に、信ぴょう性を確認しましょう。

＜ポイント＞
・煽る見出しの記事は外れやすい、リサーチャー発の新種の攻撃手法も注意が必要
・脆弱性悪用事例や複数ベンダーによる注意喚起は警戒レベルをUPしよう
・情報収集を続けるうちに、読む価値がある/ないのノウハウは蓄積される

AI活用

情報収集にAIを活用する方も多いのではないでしょうか。昨今のツールは、情報の網羅性も申し分ない精度になってきています。ただし、分析してインサイトを出すことはまだまだ人間の判断が必要な部分です。単純作業だけ任せるなど、工夫して活用できると良いかもしれません。

 ＜ポイント＞
・収集能力に関しては8-9割の網羅性が出せる
・しかし、インサイト抽出は人間の判断が必要

情報整理の仕方

情報収集をするといっても、どこからやればよいか困っている方も多いかもしれません。セッションでは、マクロ情報（法令・ガイドライン・トレンドなど）と、ミクロ情報（ソリューション）に分けて整理する方法が紹介されました。パネラーの皆さんからは、ベンダーからの情報だけに頼るのではなく、同業他社の取り組みを把握することで、経営層への説明材料として役立てているという声もありました。その際のポイントとして強調されていたのは、単に「どの製品を使っているか」を聞くだけでなく、導入の背景や環境まで含めて情報交換すること。そうすることで、自社の環境に本当に適した選択肢を見極めやすくなるという点です。

また、他社の取り組みや実情は、普段なかなか表に出てこない情報でもあります。だからこそ、Tanevaをはじめとしたコミュニティを活用し、実践者同士で知見を共有する場を持つことで、より良い意思決定につなげていただければと思います。

＜ポイント＞
・事実と推測、憶測を仕分ける
・技術動向は、マクロ（トレンド）とミクロ（ソリューション）に分けて整理し、同業他社の動向も把握する
・情報量の多いガイドラインなどは、自分で要約してブログに残すとポイントが覚えられる

アウトプットする情報を活用してもらうためには？

整理した情報の中には不確かな情報が含まれることもあると思います。実はそれも伝え方次第。しっかりと確認したうえで確かな情報だけを伝えるのも一つの手ですが、「不確かな情報です」と前置きしたうえでスピード重視で小出しに情報共有するという手もあるかもしれません。

＜ポイント＞
・真偽不明だが広く出回ってしまっている情報については、「不確かな情報です」と明言した上で共有することで振り回されることを避ける
・「何かあればこの人に聞けばOK」と思ってもらえるように、社内関係者との信頼を地道に積み重ねておく（信頼貯金）
・貯金が足りない場合は、信頼できる人の名前と言葉を借りる

他社のインシデントニュースが起きた際、経営層から「うちは大丈夫なのか？」と問われる場面も多いのではないでしょうか。そんな時の情報収集の仕方、伝え方など、ぜひ皆さんも参考にしてみてください！

懇親会の様子

19時から始まった懇親会では、テーマごとに分かれて、お酒を片手にワイワイ語り合いました！チャタムハウスルールのもと、普段は言えないような本音の話が飛び交っていたように思います。

リソース不足への対処、経営層の理解を得る難しさ、インシデント発生時の対応など、立場や企業規模を超えて、同じ悩みを持つ仲間同士がつながり、具体的なアドバイスが飛び交う時間になりました。

最後に

「経営層にわかる言葉で会話をすることが一番大事」「人間は見たいものだけ見る」「信頼貯金を積む」など、この日、会場で交わされた言葉の一つ一つが、参加者の心に残ったのではないでしょうか。
すべては行動に移してこそ意味があるもの。ただセキュリティを語り合う場ではなく、マニュアルには載っていない、実践者だからこそ語れるリアルな知見を共有し合い、行動につなげていくことができる。そして、失敗しても同じ悩みを持つ仲間と励まし合い、成功に向けて共に切磋琢磨する場所。それがTanevaです。

冒頭でもご紹介しましたが、Tanevaという名前には、ここで共有されたアイデアが未来への種となり、参加者の活動を通じて価値に変わっていくという願いが込められています。今回のMeetupで得た学びが、皆様の組織で花開き、大きな価値を生み出すことを心から願っています。

次回の開催情報は、マクニカのウェブサイトおよびSNSでお知らせいたしますので、ぜひチェックしてみてください♪

▼Taneva公式サイトはこちら