「当社をサイバー攻撃してくれないかなぁ」 コスパ企業の担当者が漏らした本音：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

セキュリティ分野の仕事をしていると、しばし経営者から「今期の情報セキュリティの実績はどう？」と聞かれる。経営視点での評価軸は1つだけではないはずだが、なぜか数字だけで考える経営者は少なくない。

[萩原栄幸，ITmedia]

　情報セキュリティのコンサルタントをしていると、どうしても経営者に理解してもらえないことがある。今回はその2回目として、某食品加工業での出来事を紹介したい。やはり、この会社のケースも他のどんな会社でも起きている問題である。

予算配分の検討委員会にて

　この企業は、半期ごとに各部門の予算消化率、実績、中長期の経営戦略事項から見た予算配分の見直しなどを行っている。部門長にとっては極めて重要な今期の評価、来季の予算配分、また、中長期の視点で目玉になる別枠予算の配分（暫定版）をこの「予算配分検討委員会」の場で決めているわけだ。参加メンバーに社長など経営層も含まれ、ここでの決定事項は極めて重要な会社としての意思決定に等しい。

　この会議を毎回嫌がっているのが、「情報セキュリティ統括部長」である。なぜなら、他の部門は「チョコレート菓子について綿密に市場を調査し、パッケージ画像をアニメの人気キャラクターに頻繁に変更する戦略にしたら、売上が238％増加しました。よって、キャラクター使用権の支払い増を加味しても、営業収益は181％増になり、計画達成です！！」という発言を経営層に対して堂々とできるからだった。

　筆者は時々、「本当に因果な分野を選択したもんだ……」と思うときも多々ある。それが情報セキュリティ分野だろう。経営者の多くは、まるで評価の物差しが1つしかないのでは、と疑ってしまうような発言をされる。

　その物差しとは、「どう収益に貢献したのか？」「いかに安いコストで計画を達成したのか？」であり、要するに「費用対効果」となる。メディアのバズワードでいえば「コスパ（コストパフォーマンス）」だ。

　企業にとって営利は第一義であり、評価軸がそうなりがちなのは分かる。しかし、その評価軸だけで決められたら、間接部門の存在意義が追及され、委縮してしまうだろう。その最たるものが情報セキュリティであり、ただでさえ多くの経営者から「無駄の飯食らい」と思われているだけに扱いが難しい。

　この食品加工業の会社で情報セキュリティ担当の中間管理職の一人は、言ってはいけない事をコンサルタントである筆者に大きな声で話した。それが耳に痛く響いた。

「うちでもサイバー攻撃で重要ファイルが盗まれたり、Webが改ざんされたり、内部不正で個人情報が丸ごと盗まれたりしてくれないかなーってと思っているんですよ。そうなればセキュリティ対策の予算も大幅に増えるし、増員もしてくれるでしょ。今まで『単価が高い』と言って採用してくれなかったネットワークセキュリティ技術者もたぶん、申請すれば採用してくれると思うんですよねー。こういう考えは情報セキュリティにお詳しい方にしか言えないもんですよ」

　そりゃそうだ。下手すれば、この発言は背任行為とも受け取られてしまいかねない。でも、その心は痛いほど筆者も分かる。