　苛烈さを増すサイバー攻撃。企業の規模や事業内容を問わず、日々さまざまなインシデントが報じられている。一方で、攻撃に立ち向かう企業の体制はまちまちだ。情報セキュリティ企業のNRIセキュアテクノロジーズが日本・米国・オーストラリアの約3000社を対象に実施した調査によれば、日本企業の6割強が「セキュリティ予算はIT予算の1割」と回答。米国・オーストラリアに比べて予算が少ない状況が明らかになったという。

　特に、セキュリティに注力する余裕のない中小企業ではこの傾向が顕著だろう。同社のホワイトペーパー「経営層を説得するセキュリティ予算獲得術」を基に講演などを行う瀬戸達也さん（DXセキュリティプラットフォーム事業本部　GRCプラットフォーム部　シニアセキュリティコンサルタント）も「中小企業はセキュリティに責任を持つCISOの設置率も海外に比べて低く、予算が増えにくい傾向にある」と指摘する。

NRIセキュアテクノロジーズの瀬戸達也さん

　状況の改善には、セキュリティ対策の強化と、それに応じた予算の増額が必要になる。しかし、セキュリティを管掌する部門や、情報システム部門の中には「上層部、例えば経営層の理解を得られず、予算が増やせない」というところも多いかもしれない。

　そこで本記事では、瀬戸さんへの取材を通し、セキュリティに理解がない上層部を説得するテクニックを探る。セキュリティ予算獲得のために、関連部門はどんな動き方をすべきなのか。

なぜセキュリティに予算を注がないか　経営層のキモチ

　まず、経営層などがセキュリティ予算の投入に踏み切らない要因を整理する。瀬戸さんによれば主な理由は3つ。1つ目は、セキュリティ＝コストという考え方が根強いことだ。セキュリティより、新サービスや新機能の開発に予算を投じた方が売り上げは立ちやすい──と考えがちなのはおかしな話ではない。

　2つ目は、単純にセキュリティへの理解度が低いこと、そして3つ目が「どうせ中小企業なんか狙われないだろう」という油断だ。特に致命的になりがちなのは3つ目。近年では中小企業を足掛かりに大企業へ攻撃を仕掛ける「サプライチェーン攻撃」も多いが、まだそのリスクが認知されていないわけだ。

　さらに、瀬戸さんは「セキュリティについては『担当者が一人で騒いでいるだけ』という見られ方になりがち」とも指摘する。「会社の規模にもよるが、セキュリティ担当者は少人数になりがち。なかなか理解されない場合、社内で孤立してしまうケースも見られる」という。

　瀬戸さんが見てきた中では、この構図が大ごとになった企業もあったそうだ。「あるグループの子会社で起きた出来事。親会社にはセキュリティの統括部門があったが、子会社には1人しか担当者がいなかった。その担当者はグループ各社と話をするなどしてセキュリティ強化に取り組んでいたが、なかなか上層部に理解してもらえないので、親会社に『自分一人ではどうにもならない。もう直接指示か強制をしてほしい』」と、独自にエスカレーションさせようとしたケースがあったという。

上層部説得の方法論　5つの考え方

　以上のような理由でセキュリティに力を注がない経営層・上層部を説得するコツは大きく5つあると瀬戸さん。（1）同業他社を引き合いに出す、（2）政府機関などの資料を使って権威付けする、（3）自社のインシデントがグループ企業や委託先に影響する可能性を伝える、（4）事業停止のリスクに加え、責任の所在が経営層にも及ぶ可能性を伝える、（5）セキュリティの強化がブランド向上やマーケティング強化にもつながる可能性を伝える──ことが肝要という。

　まず（1）については、経営層の中にはライバルの動向を気にする人も多いことから「例えば情報漏えいを起こした競合がいたとき『この競合はこれだけの対策をしてても不足があった。自社のセキュリティはそれに及んでいるか』としっかり訴えていくべき」（瀬戸さん）という。

　（2）については、情報処理推進機構（IPA）や中小企業庁といった公的機関に加え、外部の専門家の声を基に主張の権威付けをすべきと瀬戸さん。どれだけ情シス側の説得がロジカルだったとしても、そもそもの理解度が経営層と異なる場合がある。「それはあなたの主観でしょ」と言われないように、意見の根拠を示すべきという。

　（3）については、もしインシデントが起きたとき、自社以外にも影響が及ぶ可能性を呼び掛けるべきと瀬戸さん。最近だと、情報の不正持ち出しが発生したことで、クライアント59社の情報が漏えいした恐れのあるNTTマーケティングアクトProCX（大阪市）や、ランサムウェア攻撃によってグループ内の複数社で情報漏えいが起きたセイコーグループなどが例として分かりやすいだろう。

　（4）については、インシデントが起きた結果、事業が止まったり、経営責任を追及されたりするリスクを明確化すべきという。実際、6月にランサムウェア攻撃を受けたエムケイシステムは、クラウド型人事労務向けサービスなどの提供が約1カ月停止する事態に。2014年に発生した大規模漏えいが発覚したベネッセホールディングスでは、取締役2人が辞任する事態になった。

　（5）については「セキュリティ強化は守りの施策ではなく、“攻め”にも使える意識を高めるのが重要」と瀬戸さん。実際に、セキュリティ強化に向けた施策の内容をブログなどで発信し、採用の強化やイメージ向上を狙う企業は少なくない。ただ守りを固めるだけで終わりではなく、外部への情報発信も視野に入れることで、広報やマーケティングの強化にも活用できる可能性を示すべきという。

「OK。じゃ、諸々まとめて」と言われたら

　　　　　　 1|2 次のページへ