このページの本文へ

前へ 1 2 3 次へ

日本MS蔵本氏が伝授、セキュリティ現場担当者のための説明&交渉ノウハウ

“ドラッカーの言葉”で経営層からセキュリティ投資を引き出す術

2016年01月20日 11時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

もしも社長がセキュリティ対策を聞いてきたら、どう説明すればいい?

 経営戦略やマーケティング戦略のフレームワークを活用することで、サイバーセキュリティの専門知識を持たない企業経営層でも、セキュリティ投資や対策について正しい認識を持ち、正しく判断することが可能になる――。

 日本マイクロソフト(日本MS)が12月16日に開催したセミナー「サイバーセキュリティと企業経営リスク」において(関連記事)、日本MS セキュリティアーキテクトの蔵本雄一氏は「経営視点からのサイバーセキュリティ対策」と題した講演を行った。

日本マイクロソフト マイクロソフトテクノロジーセンター セキュリティアーキテクト、筑波大学非常勤講師の蔵本雄一氏。軽妙な語り口で実践的ノウハウとアイデアを紹介

 「もしも社長がセキュリティ対策を聞いてきたら」という著書も持つ蔵本氏は、投資対効果の高いセキュリティ対策の検討や、現場セキュリティエンジニアと経営層の間のコミュニケーション改善などに役立つ、実践的なノウハウとテクニックを紹介した。

投資対効果の高いセキュリティ対策は「最大公約数」で考えよう

 蔵本氏がまず取り上げたのは「現状分析の重要性」というテーマだ。

 企業を取り巻くビジネスや社会の環境は、常に変動している。たとえば現在ならば、企業を狙うサイバー攻撃の激化、マイナンバー制度の開始、ワークスタイル変革やクラウド活用の推進といった変化があり、それぞれの変化に対応したセキュリティ対策も必要となってくる。

 だが、「これら全部のセキュリティ対策を、別個にプロジェクト化して、別個に予算をとって、別個の対策を入れていくとなると、正直きりがない」。その代わりに蔵本氏が勧めるのが「セキュリティ対策の『最大公約数』を考えること」だ。

 「たとえば、僕が考える最大公約数は『クライアント保護』『データ保護』『ID保護』の3つ。この3つを保護することで、ワークスタイル変革にも、サイバー攻撃対策にも、マイナンバー対策にも、もれなく効く」

 すべての課題に共通して効果のあるセキュリティ対策を考え、それを最優先に投資と実施を進めていくことで、対策にかかる手間やコスト、製品やライセンスの購入、サービス契約などを効率化できる。「セキュリティコスト削減の鍵は、まさにここにある」と蔵本氏は語る。

 また、外部環境の変化によって「何をやらなければいけないのか」を洗い出すためのツールとして「PEST分析」が紹介された。マーケティング戦略の策定時に使われる外部環境要因の分析手法だ。

PEST分析により、企業の外部環境要因をP(政治的)/E(経済的)/S(社会的)/T(技術的)に整理分類し、外部環境の変化が自社にどのような変化をもたらすかをより的確に捉えることができる

 「『サイバー攻撃が流行ってるから、その対策を考えよう』ではなくて、一回冷静になって『ほかに何をやらなければならないのか』も洗い出さないといけない。そのためにPEST分析は使いやすいツール」

技術的に正確な説明は必要ない、ビジネスインパクトに変換して伝えよう

 現状分析に関しては、経営層と現場セキュリティエンジニアの現状認識のズレもよく問題となるところだ。蔵本氏も「とても問題だと思っている」と述べ、両者のコミュニケーションをどう改善していくべきかを語った。

 「経営層と現場の会話/認識のプロトコルがかみ合ってない。このプロトコルがかみ合えば、もっとうまくいくと思う」

 両者の現状認識を合わせていくためには、特にエンジニア側からの歩み寄りが必要だ。そして肝要なのは、現状を(技術的な意味で)正確に説明することや、専門用語を簡単な言葉に置き換えて説明することではなく、あくまで「プロトコルを合わせること」だと、蔵本氏は強調する。

タクシーを例に説明。タクシー運転手が通りや交差点の名前で説明するのはたしかに「正確」ではあるが、「僕は車を運転しないし関西人なので、どこやねんソレ?となってしまう」

 ここで言うプロトコルとは、具体的には「経営への影響、ビジネスインパクト」を指している。セキュリティ対策が「いかに自社のビジネスに寄与するのか」「やらないと何を損するのか」を、できるだけ定量的に(金額や数値で)伝えなければならないという意味だ。同セミナーでは別のセッションでも、同じことが議論されていた(関連記事)。

 「ビジネスインパクトに変換して説明する」という作業は、経営経験のないエンジニアにとっては難しそうに思える。しかし蔵本氏は、実はそれほど難しいことではないと語り、経営層への説明で「伝わらないパターン」「伝わるパターン」の例を挙げて説明した。説明内容が投資の判断材料として使えるかどうかが鍵だ。

蔵本氏が例に挙げた、経営層への説明で「伝わらないパターン」と「伝わるパターン」

 「『この対策をしないとウイルス感染します、ハッキングされます』という説明だけでは、ビジネスへの影響がわからないので経営者に伝わらない。説明が、投資の意思決定材料になるまでは昇華していない。あと半歩踏み込んで『ビジネスにこういう影響があるんですよ』と説明できれば、経営層にも意味が伝わり、全社のセキュリティ対策が一気に進む」

 さらに蔵本氏は、セキュリティリスクを数値として可視化するツールとして、製造業で使われるFMEA(故障モード影響解析)も紹介した。これは、各製造プロセスに潜在するリスクを、発生頻度/影響度/防御困難度(各4点満点)の3要素を掛け合わせて算出する手法だ。

 「〔さまざまなセキュリティリスクのシナリオに対して〕このまま使ったらどうか。先にも話したとおり、正確かどうかが重要ではない。まずは経営層に伝わるかどうか」「〔点数として示すことで〕このリスクシナリオは優先度何点です、と言える。そうすることで、やっとお互いのプロトコルが通じて、会話ができてくるのではないか」

FMEAは、発生頻度/影響度/防御困難度を各4点で表し、その積を「リスク優先度」とする手法。セキュリティインシデントにも適用できる

前へ 1 2 3 次へ

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード