経営層と現場セキュリティ担当者のコミュニケーションを改善するには
「経営者とセキュリティ担当者が腹を割って話せる機会があまりないのではないか。その唯一の機会が『事故が起きた後』というのでは問題だ」(高橋氏)
セキュリティの現場担当者には、サイバー攻撃の実態やセキュリティ対策の重要さといったことがなかなか経営層には伝わらず、対策予算も付かないという不満が多くある。同セッションでは、そうしたセキュリティ現場の“言葉”がなぜ経営陣に伝わらないのか、という問題も議論された。
ディアイティの河野氏は、経営者とは本来、ビジネスのことだけを考える存在であり、経営者自らが率先してセキュリティに注力するというのは本末転倒であると指摘する。具体的なセキュリティ対策や情報提供はセキュリティ担当者に任せつつ、経営判断に必要な情報をリアルタイムに収集できる仕組みが必要だ。
「経営者は、その責任を果たすためにさまざまな情報を欲しいと思っているが、なかなか伝わってこないのが現状。それは〔経営と現場の〕言葉が違う、視点が違うということではない。判断のために必要な情報を、セキュリティ担当者がリアルタイムに上げていくことが求められている」(河野氏)
ディアイティ クラウドセキュリティ研究所 所長の河野省二氏
そのためには、セキュリティ対策における目的の明確化、レポートラインの構築、そして中長期的な視点に基づいた予算などのリソース割り当てが必要だという。
「まずは企業全体が同じ方向を向くために、経営層が〔セキュリティ対策の〕目的を明確化する。現場担当者は、目的に応じた対策を実行し、結果を報告する。経営層は、目的に沿っているかを確認したうえで、さらなる改善を指示する」(河野氏)
経営者とセキュリティ担当者はどのように連携すべきか。まずはセキュリティ対策の目的を明確化し、同じ目的(方向)に向くことが肝要
河野氏が言う「さらなる改善」とは、セキュリティ対策を新たに追加することばかりではない。これまでの対策を見直し、不要なものは削ってコストを抑えることも含まれている。その例として河野氏は、現在のWindowsクライアントが標準搭載するマルウェア対策機能の「Windows Defender」や、Windows 10の認証機能を強化する「Windows Hello」、クラウド版「Azure Active Directory」などの活用を挙げた。
「〔これらの活用で〕トータルコストを下げられるのに、なぜ経営者が判断できないか。それは、判断に必要な情報が上がっていないから。やはり、経営者が判断しやすい〔情報共有の〕環境を作っていくことが必要だ」(河野氏)
同様に、たとえば「標的型攻撃メール対応訓練」を実施した場合でも、単に「○○%の従業員が模擬攻撃メールを開いてしまった」という情報を報告するだけでは、経営層には「伝わらない」という。状況改善のための経営判断、投資判断ができないからだ。IT活用で回避できるセキュリティリスク、同時に改善できる業務の無駄といったものを数値化(金額化)し、提示することで、経営層にも「伝わる」報告になると、河野氏は語る。
たとえば「標的型攻撃メール対応訓練」の実施を提案する際も、セキュリティリスクと業務リスクの両方が低減できることを、具体的な金額で示すことで、経営層に伝わりやすいものとなる
ラックの長谷川氏、日本MS高橋氏もそれぞれに、経営層とセキュリティの現場とをつなぐためには、情報共有のあり方やその内容を考えるべきだと語った。
「経営陣は現場に対して、意思決定のためにどういうITの情報が欲しいのかを言ってもらいたいし、現場担当のほうは、そうした情報が得られるように運用業務を定義してほしい。それをやらなければ、会社内や社会における〔セキュリティ担当者の〕地位も向上しないし、人材不足も改善されないと思っている」(長谷川氏)
「よく顧客から『どんな数字を〔経営層に〕上げればいいのか』と尋ねられる。わたしの答えは『どんな数字でもいいから、とにかく上げてみたら?』。数字を上げてみることで、それが足りているのかどうかがわかるし、変化が生まれる。失敗しないことだけをやろうとしても、先には進まない」(高橋氏)
