「セキュリティに金をかけない」としぶる上司を納得させるコツ：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

上司を納得させる工夫

　筆者はある企業にダメ元で提案をした。それは「本来これだけは実施したい」という案件と、管理者が好みそうな案件を混在させ、「情報セキュリティ強化策2014年上期版」として企画書を記載してはどうかというものである。

　例えば、中小企業の多くは「ログ採取」の段階で立ち止まってしまう。筆者はいつも「採取だけでは意味がない」とお伝えしているが、経営者はそう感じていない場合が多い。採取したログを常に分析・解析して、犯罪行為や犯罪予備行為を早く認知することに活用すれば、被害の拡大防止につながる。

　このことを主目的として企画書を作成する場合、まず目立つような場所に「実担当、管理者・役員以外は入室不可とする個人認証装置の導入」と記載する。個人認証装置といってもピンキリだが、素人受けするスマホの機能を使った認証システムなら、単体では数万円で導入できる。一応ログも収集する。役員には「スマホをお貸しください。登録すると、このスマホを持つ役員だけが入室可能になります」と提案する。その様子を目にすれば、役員はほぼ100％満足するはずだ。

　ログ分析・解析を主目的とした企画書なら、そうすることで役員に承認され、その企業のセキュリティの向上も期待できる（個人認証もある程度は貢献するだろう）。

　なお、筆者がダメ元で提出したこの企画書は見事承認された。その後、この成果かどうなった検証できない立場なのが残念である。

---

　現場の担当者が自身の正義感を貫こうと頑固に主張したところで、担当者の“お客様”にはその正義感が「あなたのわがまま」にしか映らない。うまく権限者を巻き込むように工夫したい。上記の場合なら、「部長や役員のスマホで個人認証が可能となります」とひと言加えるだけで、担当者の目指す企画が通る可能性が高まる。結局それは企業にとっても、とても良い企画であることには変わりがないはずだ。

　こうした工夫は情報セキュリティ以外の分野でも同じかもしれない。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。