ドラッカーが定義するコスト/リスクでセキュリティ投資を検討してみる
著名な経営学者であるピーター・ドラッカーの言葉や考え方ならば、経営層もなじみがあるはずだ。蔵本氏は、セキュリティ対策がドラッカーの定義した企業経営にまつわる「4つのコスト」と「4つのリスク」のどれに当てはまるのか、そこからセキュリティ投資をどう検討できるのかを考察した。
「4つあるコストのうち、セキュリティ対策が最も近いのは『監視的コスト』。これは『投資したらどれだけ儲かるか』というタイプのコストではない。ドラッカーは『対策をしなければどれだけ損するか』を考えましょう、と書いてある」
「セキュリティ投資を考えるうえでは『リスクを負わないリスク』が非常に重要。『セキュリティリスクがあるからワークスタイル変革をやらない』というのでは、企業競争力が下がるというリスクが増大する」
ドラッカーが定義した「4つのコスト」と「4つのリスク」
リスクを負わないリスクとは、「危険だからITを使うのをやめよう、禁止しよう」という発想である。蔵本氏は、エンジニアは経営者のこうした考えを変えるために説得し、行動すべきだと述べ、自動車にたとえてこう説明した。
「自動車はすごくスピードが出て目的地に早く着くが、交通事故の危険もある。だから、シートベルトやエアバッグといった“イネーブラ”が必要になる。経営層が『自動車に乗りたい』と言ったときに、『シートベルトやエアバッグを付ければ安全かつ速く走れます』と提案できるのが、優秀なエンジニアというもの」
加えてフグのたとえ話も。「フグには毒があるが、取り除けば美味しく食べられる。そして毒を取り除けるのはプロのエンジニアだけ。そこをうまく使って交渉してほしい」
本記事はアフィリエイトプログラムによる収益を得ている場合があります
