6月15日、米マカフィーの最高セキュリティ責任者(CSO)であるマーティン・カーマイケル氏が来日し、都内で会見を開いた。カーマイケル氏は、「(セキュリティベンダーという)売り手の立場ではなく、企業のセキュリティ対策の責任者の立場で話す」と前置きした上で、セキュリティ責任者が抱える課題について語った。
ビジネスの価値を提示することが事業部門との対話を生む
「CSO(最高セキュリティ責任者)の悩みは、セキュリティ対策がどうビジネスにつながるか見えにくいこと。自らの活動の価値を明確にすることが難しいからだ」。米マカフィーCSOのマーティン・カーマイケル氏はこのように語る。
米マカフィーCSO マーティン・カーマイケル氏
カーマイケル氏が指摘するのは、企業にとってセキュリティ対策は、自社のビジネスにとってどのような貢献をもたらすのか、直接的なメリットを感じにくいという問題だ。「セキュリティ部門の議論は技術的な話に偏りがち。だが、暗号化の技術についていくら語っても事業部門や経営者には通じない。セキュリティ部門はコミュニケーションがとりにくい存在になっている」(カーマイケル氏)。
カーマイケル氏は、セキュリティ対策を取るうえで、セキュリティ製品単体ではなく、プロセスとしてとらえる「セキュリティリスクマネジメント」(SRM)の考え方が必要だと説く。氏が言うSRMとは、リスクの発見、それに対する対策、ポリシーの適用、定量化、継続的な改善――の5つのステップを指す。中でも、このうちの定量化のステップがセキュリティ部門と他部門とのギャップを埋めるために重要なのだという。
ここでいう定量化とは、すなわち、ROI(投資利益率)を示すことである。リスクとその対策についてあらかじめシミュレーションを行ない、具体的な数字を使って経営者や他部門に対してメリットを提示する。たとえば業界の平均値や当初策定した基準に対して、どれぐらズレているのか可視化し、それが投資によってどのぐらい改善されるのかを明確にしていく。そしてそれをレポートとして、経営者層や他部門に提供する。
「もし財務であれば、当然レポートの提出を求めるはず。セキュリティでも同じことだ。これによって事業部門とのよい対話が生まれる」(カーマイケル氏)
「事業部門や経営者は、直感的な答えを求めている」と繰り返すカーマイケル氏。「セキュリティ部門と事業部門は敵対的な関係ではなく、パートナーにならないとダメだ。そうした姿勢をまずは打ち出すことが重要だ」と強調している。
