「セキュリティに金をかけない」としぶる上司を納得させるコツ：萩原栄幸の情報セキュリティ相談室（1/3 ページ）

現場の担当者が「良かれ」と思ったことでも、上司の同意を得にくいという場合は多い。特に情報セキュリティはこの傾向が顕著だ。上司をうまく巻き込むための方法を解説する。

[萩原栄幸，ITmedia]

　ITmediaで人気の高い「ディルバート」で4月17日に掲載された「上司に予算を承認させる方法」を拝見した。実は、昨年頃から「情報セキュリティ予算の承認をとりやすくする方法」に注目していたからである。今回はディルバートをヒントに、「情報セキュリティ編」としてお届けしたい。

セキュリティに金はかけたくない

　最近少しずつ景気が上向いてきたという経済記事に対して、まるで背く様にどん底に近い状況となっているのが、中小企業を中心とした「情報セキュリティ予算」だと感じている。

　ある製造業のセキュリティ担当者は、「経営者から『セキュリティという訳の分からないものに貴重な予算を割けることはできない。最低限として必要な経費以外はダメだ』といわれ、それを説得したいが全くできなかった」と嘆いていた。

　また、ある中小の金融機関の担当者は「金融業だからセキュリティを強化できると思ったら大きな間違い。経営側から前年比28％のコストカットを申し渡された。今後の対応として最低でも15％、できれば22.5％の増額が必要だと事前に役員たちへ根回ししたにもかかわらず無視された。これじゃ最低レベルの対応すらできない。どうすればいいんだ」と話していた。

　筆者も銀行員時代に自分の企画が通らず、彼らのように上司を責めていた側であった。このギャップはどうしてなのか……。この疑問に間接的に答えたのが、IPAが発行した「組織内部者の不正行為によるインシデト調査報告書」である。

　内部犯罪防止は筆者の専門の1つであり、20年以上この作業に携わっている。2年前に発行されたこの報告書の内容は、ほとんどが既知の情報だが、その中に極めて興味深い内容が記されていた。それは「内部不正への気持ちが低下する対策に関する社員と経営者・管理者の意識のギャップ」というものだ。

　ここで最も注目すべき内容は、社員の立場から「こういう対策があると内部不正の犯罪をしたくなくなる」と挙げられた第1位の「社内システムの操作の証拠が残る」である。実に54.2％という圧倒的な回答だ。ところが、この点について「経営者・管理者」の立場で挙げた人はなんと0.0％である。これは筆者にとっては全くの想定外だった。

　多くの企業で一般の社員は時間をかけて管理職に昇進していく。筆者は、一般職の時に感じたことを管理者になっても忘れるはずがないだろうと考えていた。ところが、実際はどの企業でも「部長になったら急に言う事が変わる」というケースがかなり多い。

　筆者は企業にコンサルティングを行う際、よく「『自分が犯罪者なら』という視点や思考でセキュリティを見直しなさい」と忠告している。IPAの報告書をみても分かるように、内部犯罪におよぶ人間は「社内システムの操作の証拠が残る」ことを嫌う。犯罪がスムーズに行われたとしても、証拠（ログ情報や監視カメラなど）によって自分が犯人だと特定されるのを恐れるからだ。ところが、管理者や経営者は社員が恐れる対策を誰ひとりとして考えていない。

　それはなぜか。あるコンサルティング会社で主任の社員が上司に、セキュリティ対策強化の企画書を提案したケースを紹介しよう。