ドラッカーが定義するコスト/リスクでセキュリティ投資を検討してみる
著名な経営学者であるピーター・ドラッカーの言葉や考え方ならば、経営層もなじみがあるはずだ。蔵本氏は、セキュリティ対策がドラッカーの定義した企業経営にまつわる「4つのコスト」と「4つのリスク」のどれに当てはまるのか、そこからセキュリティ投資をどう検討できるのかを考察した。
「4つあるコストのうち、セキュリティ対策が最も近いのは『監視的コスト』。これは『投資したらどれだけ儲かるか』というタイプのコストではない。ドラッカーは『対策をしなければどれだけ損するか』を考えましょう、と書いてある」
「セキュリティ投資を考えるうえでは『リスクを負わないリスク』が非常に重要。『セキュリティリスクがあるからワークスタイル変革をやらない』というのでは、企業競争力が下がるというリスクが増大する」
ドラッカーが定義した「4つのコスト」と「4つのリスク」
リスクを負わないリスクとは、「危険だからITを使うのをやめよう、禁止しよう」という発想である。蔵本氏は、エンジニアは経営者のこうした考えを変えるために説得し、行動すべきだと述べ、自動車にたとえてこう説明した。
「自動車はすごくスピードが出て目的地に早く着くが、交通事故の危険もある。だから、シートベルトやエアバッグといった“イネーブラ”が必要になる。経営層が『自動車に乗りたい』と言ったときに、『シートベルトやエアバッグを付ければ安全かつ速く走れます』と提案できるのが、優秀なエンジニアというもの」
加えてフグのたとえ話も。「フグには毒があるが、取り除けば美味しく食べられる。そして毒を取り除けるのはプロのエンジニアだけ。そこをうまく使って交渉してほしい」
