McAfeeのCSOいわく「人事考課が数値化できるのだからセキュリティリスクだって」

米McAfeeのCSO、マーティン・カーマイケル氏が来日し、CSOの果たすべき役割について述べた。

[ITmedia]

　「CSO（Chief Security Officer）は技術専門用語を語るのではなく、経営陣に通じる言葉でビジネスについてコミュニケーションするべきだ」――米McAfeeのCSOを勤めるマーティン・カーマイケル氏は6月15日に行った説明会の中で、CSOの果たすべき役割についてこのように語った。

　同氏は、セキュリティは1つのテクノロジ、1つの製品だけで解決できる問題ではなく、プロセスこそが重要だと指摘。セキュリティはビジネスと相反するものととらえられがちだが、これをビジネスプロセスの中に統合し、事業に役立てていかなければならないと述べた。

　それを実現していく上で鍵を握るのが、企業経営陣とCSOとの対話だ。このとき伝えるべきなのは「いくつパケットが飛び、どんな攻撃があったか」というような話ではない。企業をどんなリスクが取り巻いており、どのような対策があり、それによって得られる効果はどのようなもなのかを伝えていくことがCSOの役割だという。

米McAfeeのCSO、マーティン・カーマイケル氏

　それも、ただ「この製品を導入すれば効果があります」と言うだけでは説得力に欠ける。ここで欠かせないのがセキュリティの「定量化」だ。

　「われわれはファイナンシャルプランナーに対し、数字、つまり明確に定量化されたデータを求める。セキュリティについても同じことが求められている」（カーマイケル氏）

　例えばこの対策にはどういった効果があり、対策しなければどのようなリスクがあり、その結果どの程度の損失が生じうるのか、一方で対策に要するコストはどのくらいか……こういった要素を明確に示すことで、経営陣もどのリスクを受け入れ、どれは受け入れないのかといった判断を下すことができる。

　セキュリティの分野は数値化が難しいとされるが、「人事考課だって定量化の1つだし、営業マンも日常的に今後の売り上げ予測を定量化し、その裏付けを取っている。問題は、彼らにはExcelをはじめとする定量化のためのツールがあるのに対し、セキュリティ分野には、簡単にこうしたことを行えるツールがなかったこと」とカーマイケル氏は述べ、McAfeeではリスク分析のためのデータベースをはじめとするツールを通じて、経営層とセキュリティ担当者の間を橋渡ししていきたいとした。