経営陣に腹の底から理解してもらうセキュリティ対策はあるのか? | 東京IT新聞

経営陣に腹の底から理解してもらうセキュリティ対策はあるのか?

コンシューマー セキュリティ

本連載の前回(第30回)では、まずは客観的に自らの組織におけるセキュリティ対策レベルを直視したうえで、目指すべき対策レベルを中長期的に想定される想定脅威を踏まえて設定。そして、経営陣の合意を得ていくとのアプローチが重要だと解説しました。この「経営陣の合意」を得るにはどうすればいいのか。今回(第31回)はそのポイントを紹介します。

セキュリティ対策の強化や改善も「純粋な投資」

 企業規模に関わらず、必ず組織は事業発展を目的とした中長期計画が存在し、それを踏襲したITの中長期計画もあるはずです。

 これらの計画は経営陣を筆頭に、株主にも合意を得て計画が実行されていきます。事業を遂行する上ではくごく当たり前のことですが、セキュリティ対策においてはこのロジックがなぜか働きません。なぜでしょうか。

 答えはとてもシンプル。経営陣から見れば、投資に対するリターンが見込めなければ基本的に投資判断ができないためです。

 極端に言えば、セキュリティ対策の強化や改善も“純粋な投資”であり、リターンが明確でなければ、経営陣はとても投資判断などできません。

責任だけ背負い、負のスパイラルに陥るIT部門

 毎年、IT部門は特にセキュリティ対策関連において、コスト削減の厳しい要請を受けています。「セキュリティ対策の投資はネガティブ投資だ」という暗黙の風潮もあり、経営陣に対しては苦しく厳しい交渉を迫られます。

 これが毎年繰り返されるのです。インシデントなど起ころうものならさらに追及され、「対策しているはずなのになぜ事故が起こるんだ!」と矢面に立つのがIT部門というのが実情です。

 最大の問題は何らかのインシデントが発生した際、形式的な責任は経営陣であるものの、実質的な責任はIT部門が問われる、という点です。

 そんな状況のため、IT部門は疲弊していき、特に現場で頑張る担当者のモチベーションが著しく低下する、という負のスパイラルに陥ります。これは非常に大きな問題です。

投資ならばセキュリティ面の責任も経営陣です

 たとえば、企業の中長期計画が経営陣や株主の承認を得て実行され、経営が著しくないのであれば、株主総会で経営陣が責任を問われます。

 セキュリティ対策も純粋な投資と捉えるのであれば、セキュリティ対策における責任も経営陣が取るべきです。

 この考えを経営陣は腹の底から理解しているでしょうか。まずしていないでしょう。その理由は、セキュリティ対策における投資対効果(ROI)の定義や分析があいまい過ぎて、経営陣から見ればとても投資判断ができないからです。

 よく現場で聞かれる「セキュリティ対策の強化や改善に対し、経営陣はネガティブな反応が多い」という課題ですが、これは現場側に責任があり、この溝を埋めないと前に進むことができないのです。

投資に対するリターンをロジカルに分析すること

 経営陣が腹の底から理解できる、ということは、投資に対するリターンがロジカルに分析され、その計画は網羅的かつ定量的でなければなりません。

 セキュリティの中長期計画化は過去から実施されてますが、大きく欠落していると思われる点があります。

 たとえば3年~5年先に自組織が受けるであろうセキュリティ脅威(外部犯行や内部犯行)を網羅的に洗い出し、その脅威に対して自組織の対策レベルを客観的に定義する必要がありますが、その想定脅威の網羅性が大きく欠落しているのです。

 想定脅威の洗い出しは専門家の観点からも、非常に高度で幅広い知見と、実際に大規模なインシデント対応などの現場の経験値が求められます。マニュアル的な情報や知見で歯が立つ世界ではありません。

 具体的には想定される脅威に対して、既存の対策レベルを技術と運用(人)の観点で分析し、残存リスクを分析する必要があります。

専門用語を使わずコミュニケーションをとるために

 残存リスクはすべて定量的に数値化することが必須です。想定される脅威に対して目指すべきセキュリティレベルを年度別に設定し、残存リスクを技術と運用(人)の観点でイニシャル、ランニングコストの軸でマッピングしていきます。(このマッピングや網羅性、さらには数値化に向けた係数がきわめて重要なのですが今回は割愛します)

 そうすると、目指すべき対策レベルを年度別に定義し、コストもマッピングされる事により、経営陣が判断できる精度の情報となります。ここで初めて経営陣と「専門用語」を使うことなく、コミュニケーションが可能となります。

網羅性を欠かさず“絵に描いた餅”にもしない

 私が国内の企業や行政機関を拝見している限り、この作業はとても自組織だけでは解決ができません。

 これまで述べた通り、最先端の攻撃や技術の知見、経営の視点、さらには現場の運用観点という深い知識と経験が求められます。

 それが無いと偏った分析となり、網羅性に欠けてしまいます。もしくは網羅性があっても実効性に問題が出てくるでしょう。“絵に描いた餅”にしないようにすることが重要です。

 あくまでセキュリティの中長期計画は計画書という名の“バイブル”です。経営陣から現場までが使いこなせないようでは意味がありません。

 9月ごろからは来期へ向けて本格的な予算設定の計画がスタートすると思いますが、毎年忙殺されるこの業務を、3年、5年先の投資計画に経営者の合意を取り、本来の業務に集中して頂きたい、というのが筆者の願いでもあります。

《楢原 盛史》

特集

コンシューマー アクセスランキング

  1. 話題の「ユーチューバー」は本当に儲かる? その実態と現実を先駆者に聞く

    話題の「ユーチューバー」は本当に儲かる? その実態と現実を先駆者に聞く

  2. <EC売上調査>トップはアマゾン日本、セブン&アイは対抗できるか

    <EC売上調査>トップはアマゾン日本、セブン&アイは対抗できるか

  3. イオンやセブンなど大手小売が連呼する「オムニチャネル」とは何なのか?

    イオンやセブンなど大手小売が連呼する「オムニチャネル」とは何なのか?

  4. 実はすごい「ホームドア」 鉄道の自動運転化には欠かせぬ存在だった

  5. コインランドリー専門展、初の開催…新業態など注目 12月2-4日

アクセスランキングをもっと見る

page top